Доброе, всем, время суток.
Помогите кто чем может.
Компьютер Pentium-III-733MHz-384Mb RAM с двумя сетевыми платами.
ОС - Debian Linux (почему Debian, потому, что нашелся CD c этой "отравой" и трафик в офисе "жечь" не пришлось. А мне лоху, понятно,всё что с пингвином уже Linux.) В общем соорудил я сеть.
Сеть провайдера 172.16.0.0/16
Роутер провайдера 172.16.254.1
DNSы провайдера 172.16.2.1 и 172.16.2.2
Хост в сети провайдера ("Host B") 172.16.1.46 GW:172.16.47.6 ("нацелен" на мой роутер для тестирования).
Моя сеть 172.18.0.0/16
Мой роутер 172.16.47.6(к провайдеру) и 172.18.254.1(в мою сеть)
Хост в моей сети ("Host A")172.18.1.1 GW:172.18.254.1
Таблица в моем роутере
Destination Gateway Genmask Flags Metric Ref Use Iface
--------------------------------------------------------------------------------
default 172.16.254.1 0.0.0.0 UG 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
172.16.0.0 * 255.255.0.0 U 0 0 0 eth0
172.18.0.0 * 255.255.0.0 U 0 0 0 eth1
И начались чудеса.
1. Если "пинги" давать из маршрутизатора - то он "видит" АБСОЛЮТНО ВСЕ,и интернет в том числе. Я "пинговал" www.comstar.ru
2. Если "пинги" давать с "Host B" (это машина специалиста у провайдера, он любезно согласился "пропинговать" мою сеть)
то он видиn порты eth0 и eth1 моего маршрутизатора, а так же "Host A" (да и все другие машины в моей сети 172.18.0.0, я их просто не указал).
3. А вот дальше - чудеса (по моему "лошиному" мнению). Если "пинги" давать с "Host A" то он видит порт eth1 моего маршрутизатора, порт eth0 моего маршрутизатора,
"HostB", "DNS1", "DNS2" в сети провайдера, КРОМЕ....!!!!!! порта маршрутизатора в сети провайдера т.е. 172.16.254.1.
Естественно ни о каком выходе в и-нет не может быть и речи. NSLOOKUP на "Host A" правильно определяет имена и адреса и, я так думаю, что это нормально, поскольку "DNS1" и "DNS2" доступны.
Причем когда моя машина "Host A" была подключена напрямую и имела адрес 172.16.47.6
GW: 172.16.254.1, никаких проблем не было.
Как говориться, "Помогите христа ради". Может я чего не знаю или пропустил по безграмотности.
нат сделали?
iptables -A POSTROUTING -s 172.18.0.0/16 -j MASQUERADE
iptables -A FORWARS -s 172.18.0.0/16 -j ACCEPT
ip_forward?
echo 1>/proc/sys/net/ipv4/ip_forwardЕсли что не получится. Моя ася 233-565-722
>[оверквотинг удален]
>т.е. 172.16.254.1.
> Естественно ни о каком выходе в и-нет не может
>быть и речи. NSLOOKUP на "Host A" правильно определяет имена и
>адреса и, я так думаю, что это нормально, поскольку "DNS1" и
>"DNS2" доступны.
>Причем когда моя машина "Host A" была подключена напрямую и имела адрес
>172.16.47.6
>GW: 172.16.254.1, никаких проблем не было.
>Как говориться, "Помогите христа ради". Может я чего не знаю или пропустил
>по безграмотности.
Прошу прощения, а кто такая АСЯ?
Про NAT и речи не шло, поскольку простая маршрутизация и то не работает. Так что не до NAT. К тому же, брал у друга "железный" маршрутизатор. Ничего с ним не делал, NAT не включал, только адреса "набил" на портах, и шлюз по умолчанию. Все заработало как часы.>нат сделали?
>iptables -A POSTROUTING -s 172.18.0.0/16 -j MASQUERADE
>iptables -A FORWARS -s 172.18.0.0/16 -j ACCEPT
>ip_forward?
>echo 1>/proc/sys/net/ipv4/ip_forward
>
>Если что не получится. Моя ася 233-565-722
> Хост в сети провайдера ("Host B") 172.16.1.46 GW:172.16.47.6 ("нацелен" на мой роутер для тестирования).DNS1 и DNS2 тоже "нацелены" на ваш шлюз? Если нет, то откуда они знают о "вашей" сети 172.18.0.0/16 ? (Про NAT и речи не шло)
зы: ася, у тех кто не считает себя "крутыми" спецами, называется это - http://icq.com
Сходил, куда послали. Если я понял правильно то для подключения к ICQ надо где-то зарегистрироваться и что-то поставить на машину. Пока не до того. Разобраться бы с первым вопросом.
Если я правильно понял умные книги то провайдер "держит" сеть 172.16.0.0 для присоединения вот таких "неумытых" как я. А за маршрутизатором, который 172.16.254.1 у него уже само подключение к интернету с реальным адресом сети общего доступа (согласно закону "О связи").
Хост в сети провайдера ("Host B") с адресом 172.16.1.46 это машина спеца этого провайдера. Я так понял, он специально по моей просьбе установил у себя адрес шлюза GW:172.16.47.6 (это адрес моего маршрутизатора который включен в их сеть) и пропинговал мою сеть снаружи. При этом он увидел все содержимое моей сети.
DNSы я увидел при помощи пингов.
Адреса в моей сети выбраны по предложению того самого специалиста (см. выше).
Чудо ведь в следующем. Со своих машин из сети 172.18.0.0 я вижу все содержимое их сети на 172.16....., кроме порта маршрутизатора 172.16.254.1. Причем, изнутри своего маршрутизатора я и его вижу.
>[оверквотинг удален]
>Вы это придумали или это реальная адресация? :D
>
>> Хост в сети провайдера ("Host B") 172.16.1.46 GW:172.16.47.6 ("нацелен" на мой роутер для тестирования).
>
>DNS1 и DNS2 тоже "нацелены" на ваш шлюз? Если нет, то откуда
>они знают о "вашей" сети 172.18.0.0/16 ? (Про NAT и речи
>не шло)
>
>зы: ася, у тех кто не считает себя "крутыми" спецами, называется это
>- http://icq.com
>[оверквотинг удален]
>>Вы это придумали или это реальная адресация? :D
>>
>>> Хост в сети провайдера ("Host B") 172.16.1.46 GW:172.16.47.6 ("нацелен" на мой роутер для тестирования).
>>
>>DNS1 и DNS2 тоже "нацелены" на ваш шлюз? Если нет, то откуда
>>они знают о "вашей" сети 172.18.0.0/16 ? (Про NAT и речи
>>не шло)
>>
>>зы: ася, у тех кто не считает себя "крутыми" спецами, называется это
>>- http://icq.comна провайдерском шлюзе могут просто блокировать пакеты, идущие непосредственно к шлюзу, не из 172.16.0.0 подсети, но при этом пропуска их дальше.
так что все таки делайте NAT или спрашивайте у провайдера,блокирует или нет
Доброе, всем, время суток.
Ничего не работает. Сделал следующее:
1. Взял "железный" роутер (уже другой) Planet VRT-401.
2. Нажал ему кнопочку на "попе" и долго подержал (как написано в инструкции), что бы все настройки стерлись.
3. Установил ему на порту с надписью WAN IP=172.16.47.6, MASK=255.255.0.0 (я так понимаю, что это эквивалентно /16), GW=172.16.254.1
4. На порту с надписью LAN поставил IP=172.18.254.1, MASK=255.255.0.0, DHCP=OFF.
5. Воткнул провод от WAN в розетку с интернетом, а провод от LAN в гнездо на коробочке с надписью Managed Switch, куда все остальные машины включены.
Ни какого NAT и Firewall Rules не настраивал. Все заработало как часы. Интернет есть на всех машинах. Некоторые даже сказали "Обновления для вашего компьютера готовы...". С любой машины пинги видят всё в сети 172.16.0.0/16 (провайдер мне дал некоторые адреса, DNSы я знал раньше). А самое главное пинги видят грёбаный шлюз 172.16.254.1
Выткнул все обратно. Воткнул свое творение на Debian. Ни фига не работает. Творение видит все в обоих сетях. А вот мои машины не видят в провайдерской сети вообще ничего, не только шлюз. Прошлый раз хотя бы что-то видели.
Скачал я роутер VYATTA. Настроил его по инструкции Basic Configuration. Internet Gateway. Воткнул. Опять все аналогично. Vyatta видит все. Мои машины видят только порт VYATTы который включен в сеть 172.16.0.0 т.е 172.16.47.6.
Вытащил CD из маршрутизатора. Скачал ZeroShell. Записал на CD, воткнул, загрузил, настроил по инструкции. Предыдущая ситуация, с точностью до мата который я изрыгал. Однажды, минут через 40, одна моя машина увидела 172.16.2.2 т.е. один из DNSов (я пинги запускал на постоянную с -t). Через 5 строчек - "Превышен интервал запроса".
Начинаю чувствовать себя кретином. Теперь ещё докладывать шефу в конце месяца, куда я "Нах бабла в интернет грохнул" (350 Мб как ни как).
Кстати, если я свою машину втыкаю напрямую, ведь она же диски скачивает. А, насчет должны ли DNS знать о моей сети, осмелюсь заявить после прочтения умных статей в интернете, наверное нет. Ведь коренные серверы интернета и серверы провайдера об моем компьютере вряд ли, что-нибудь знали и знают. Но он же самостоятельно работал и работает, когда один. Хотя, может быть что-то и прописывают. Но это вряд ли, поскольку уж больно нас много.
HELP!!!! HILPHE!!! КАРАУЛ!!! ПОМОГИТЕ!!!
PS: Да забыл сказать. Провайдер ответил, "...мы ничего не блокируем, поскольку наша сеть относится к сетям общего пользования и должна быть для любой информации прозрачна..." Примерно так.
>PS: Да забыл сказать. Провайдер ответил, "...мы ничего не блокируем, поскольку наша
>сеть относится к сетям общего пользования и должна быть для любой
>информации прозрачна..." Примерно так.Вы на Линуксе
echo 1 > /proc/sys/net/ipv4/ip_forward
точно делали?
После перезагрузки заново нужно делать, или прописать в /etc/sysctl.conf
net.ipv4.ip_forward=1
>Вы на Линуксе
> echo 1 > /proc/sys/net/ipv4/ip_forward
> точно делали?
>После перезагрузки заново нужно делать, или прописать в /etc/sysctl.conf
> net.ipv4.ip_forward=1Проверил.
sysctl ....../ip_forvard=1
в файле /etc/sysctl.conf ...../ip_forvard тоже равно "1"
Ознакомьтесь:Of the approximately four billion addresses allowed in IPv4, three ranges of address are reserved for private networking use. These ranges are not routable outside of private networks and private machines cannot directly communicate with public networks. They can, however, do so through network address translation.
The following are the three ranges reserved for private networks (RFC 1918):
Name Address range Number of addresses Classful description Largest CIDR block
24-bit block 10.0.0.0–10.255.255.255 16,777,216 Single Class A 10.0.0.0/8
20-bit block 172.16.0.0–172.31.255.255 1,048,576 16 contiguous Class B blocks 172.16.0.0/12
16-bit block 192.168.0.0–192.168.255.255 65,536 Contiguous range of 256 class C blocks 192.168.0.0/16Обе(172.16.0.0/16 и 172.18.0.0/16) сети "серые". Для внешнего мира провайдер использует совсем другой блок адресов, возможно вы неверно задали вопрос или вас неправильно поняли и ответили именно про внешние адреса.
Для проверки сделайте SNAT или воспользуйтесь tcpdump на шлюзе. Если проблема со стороны провайдера, то попытайтесь выйти непосредственно на специалистов, а не на сапорт и предоставьте демонстрирующие проблему логи.
>Обе(172.16.0.0/16 и 172.18.0.0/16) сети "серые". Для внешнего мира провайдер использует совсем другой
>блок адресов, возможно вы неверно задали вопрос или вас неправильно поняли
>и ответили именно про внешние адреса.
>Прочитал. И RFC прочитал (забавно переводится эта аббревиатура). Из всего понял следующее:
Сеть провайдера:Сеть с реальными адресами
------------------------------------------------------------------------
|
|
--------
| NAT |
|ROUTER|
--------
| 172.16.254.1
|
Сеть 172.16.0.0/16 |
------------------------------------------------------------------------
То есть, у провайдера есть роутер с NATом. А обратная сторона этого роутера как раз для подключения клиентов.
Не понял:
1. Почему работает "железный" роутер. На одном конце у него 172.16.47.6 а на другом 172.18.254.1. При этих же условиях все остальные мои изобретения работать не желают.
2. Даже если роутер тошнит от маршрутизации в реальную сеть информации с сети для внутреннего применения, почему не маршрутизируется информация из 172.16.0.0/16 в 172.18.0.0/16, ведь эти сети одного племени. Причем, в обратную сторону все работает даже на моих творениях, а уж "железный" как исправный солдат работает.
3. Последнее. Почему, даже в минуты просветления когда сеть 172.18.0.0/16 вдруг начинает видеть все в 172.16.0.0/16 на адрес 172.16.254.1 у неё полная куриная слепота?!!Поясните пожалуйста, что такое "серая сеть". Для меня, как МАНАГЕРА ПО ПРОДАЖАМ (по руски-торгаша), этот термин имеет вполне реальный смысл с криминальным оттенком.
Доброе, всем, время суток.
Решение пришлось найти. Пошел в магазин. Купил ДэЛинк. Позвал юношу от магазина, он мой ровесник, но в отличии от меня - умный, хотя пятерки по информатике в аттестате у него НЕТ. За 5 минут он все настроил. Я ему денег дал.
В общем перед боссом выпендриться не получилось. Ну, как говорится, не лез бы ты с МАНАГЕРСКИМ рылом в ИТэшный ряд. Спасибо ВСЕМ за участие, сочувствие и понимание. Пойду торговать. А-то босс скажет "Где бабло нах, внатуре". Надо впарить кому-нибудь то, что ему совсем не нужно. Это я, к моему счастью, умею, но видимо здесь поменять имя Loh на Master или Guru мне не удасться.
Всего доброго.
ТЕМА ЗАКРЫТА.