форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"проблема с доступом в подсеть со шлюза"

Сообщение от Viper76 (ok) on 04-Янв-09, 16:08

Есть шлюз на PC (Slackware-12.1) eth0 (aa.bb.cc.dd) - смотрит в инет eth1 (10.10.0.2) - смотрит в частную сеть (10.0.0.0/24) через криптошлюз (10.10.0.1) eth2 (192.168.1.2) - в локалку офиса 1 eth3 (192.168.2.2) - в локалку офиса 2 для сети 10.0.0.0 прописан роут: route add -net 10.0.0.0/24 gw 10.10.0.1 eth1 так как криптошлюз не знает о существовании сетей 192.168.1.0 и 192.168.2.0, траффик из них в сеть 10.0.0.0 маскарадится. iptables -A -t nat POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source aa.bb.cc.dd iptables -A -t nat POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to-source aa.bb.cc.dd iptables -A -t nat POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 10.10.0.2 iptables -A -t nat POSTROUTING -s 192.168.2.0/24 -o eth1 -j SNAT --to-source 10.10.0.2 С клиентских машин из локалок прекрасно гуляется в интернет и 10.0.0.0 (через NAT). Проблема, в том, что нет возможности зайти на http-сервер находящийся в сети 10.0.0.0 с самого шлюза. Т.е.  links 10.0.0.1, lynx 10.0.0.1, попытка зайти мозиллой, оперой - не проходит. Тупо висит и ждет ответа от сервера. При этом, по tcpdump, ответ приходит. Squid тоже не добирается до этих ресурсов, собственно из-за него-то вся петрушка. В чем может быть проблема? Кривые руки не исключаю.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "проблема с доступом в подсеть со шлюза"

Сообщение от reader (ok) on 04-Янв-09, 18:37

>[оверквотинг удален] >iptables -A -t nat POSTROUTING -s 192.168.2.0/24 -o eth1 -j SNAT --to-source >10.10.0.2 > >С клиентских машин из локалок прекрасно гуляется в интернет и 10.0.0.0 (через >NAT). Проблема, в том, что нет возможности зайти на http-сервер находящийся >в сети 10.0.0.0 с самого шлюза. Т.е.  links 10.0.0.1, lynx >10.0.0.1, попытка зайти мозиллой, оперой - не проходит. Тупо висит и >ждет ответа от сервера. При этом, по tcpdump, ответ приходит. Squid >тоже не добирается до этих ресурсов, собственно из-за него-то вся петрушка. >В чем может быть проблема? Кривые руки не исключаю. покажите iptables-save и tcpdump

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "проблема с доступом в подсеть со шлюза"
	Сообщение от Viper76 (ok) on 04-Янв-09, 21:29
	>покажите iptables-save и tcpdump в iptables те 4 строки на построуте. FORWARD, INPUT и OUTPUT - ACCEPT проблема в том, что с локалхоста свободно ходится куда угодно через основной шлюз, а через прописанный роут на 10.0.0.0/24 только с хостов из локалки. При этом с локалхоста, машины в сети 10.0.0.0  пингуются и трассировка до них нормально проходит. вывод tcpdump сейчас не могу привести.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "проблема с доступом в подсеть со шлюза"
	Сообщение от reader (ok) on 04-Янв-09, 22:40
	>>покажите iptables-save и tcpdump > >в iptables те 4 строки на построуте. FORWARD, INPUT и OUTPUT - >ACCEPT я конечно верю, но хотелось бы увидеть, что ACCEPT во всех таблицах >проблема в том, что с локалхоста свободно ходится куда угодно через основной >шлюз, а через прописанный роут на 10.0.0.0/24 только с хостов из >локалки. При этом с локалхоста, машины в сети 10.0.0.0  пингуются >и трассировка до них нормально проходит. вывод tcpdump сейчас не могу >привести. тоесть icmp протокол проходит, с MTU это не связано?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "проблема с доступом в подсеть со шлюза"
	Сообщение от Viper76 (ok) on 04-Янв-09, 23:57
	>>проблема в том, что с локалхоста свободно ходится куда угодно через основной >>шлюз, а через прописанный роут на 10.0.0.0/24 только с хостов из >>локалки. При этом с локалхоста, машины в сети 10.0.0.0  пингуются >>и трассировка до них нормально проходит. вывод tcpdump сейчас не могу >>привести. > >тоесть icmp протокол проходит, с MTU это не связано? есть один момент. traceroute работает только если указать явно -i eth0. Если не указывать, он пишет: traceroute: Warning: Multiple interfaces found; using 127.0.0.1 @ lo..... и не проходит никуда.   > я конечно верю, но хотелось бы увидеть, что ACCEPT во всех таблицах # Generated by iptables-save v1.4.0 on Sun Jan  4 23:52:40 2009 *mangle :PREROUTING ACCEPT [58:4292] :INPUT ACCEPT [58:4292] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [38:24972] :POSTROUTING ACCEPT [38:24972] COMMIT # Completed on Sun Jan  4 23:52:40 2009 # Generated by iptables-save v1.4.0 on Sun Jan  4 23:52:40 2009 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source xx.xx.xx.xx -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to-source xx.xx.xx.xx -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 10.10.0.2 -A POSTROUTING -s 192.168.2.0/24 -o eth1 -j SNAT --to-source 10.10.0.2 COMMIT # Completed on Sun Jan  4 23:52:40 2009 # Generated by iptables-save v1.4.0 on Sun Jan  4 23:52:40 2009 *filter :INPUT ACCEPT [16:1200] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [38:24972] COMMIT # Completed on Sun Jan  4 23:52:40 2009
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "проблема с доступом в подсеть со шлюза"
	Сообщение от reader (ok) on 05-Янв-09, 01:08
	>[оверквотинг удален] >>>шлюз, а через прописанный роут на 10.0.0.0/24 только с хостов из >>>локалки. При этом с локалхоста, машины в сети 10.0.0.0  пингуются >>>и трассировка до них нормально проходит. вывод tcpdump сейчас не могу >>>привести. >> >>тоесть icmp протокол проходит, с MTU это не связано? > >есть один момент. traceroute работает только если указать явно -i eth0. Если >не указывать, он пишет: traceroute: Warning: Multiple interfaces found; using 127.0.0.1 >@ lo..... и не проходит никуда. то есть не может определить маршрут? тогда что в route -n >[оверквотинг удален] >COMMIT ># Completed on Sun Jan  4 23:52:40 2009 ># Generated by iptables-save v1.4.0 on Sun Jan  4 23:52:40 2009 > >*filter >:INPUT ACCEPT [16:1200] >:FORWARD ACCEPT [0:0] >:OUTPUT ACCEPT [38:24972] >COMMIT ># Completed on Sun Jan  4 23:52:40 2009
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "проблема с доступом в подсеть со шлюза"
	Сообщение от Viper76 (ok) on 05-Янв-09, 10:41
	>>есть один момент. traceroute работает только если указать явно -i eth0. Если >>не указывать, он пишет: traceroute: Warning: Multiple interfaces found; using 127.0.0.1 >>@ lo..... и не проходит никуда. > >то есть не может определить маршрут? >тогда что в route -n Kernel IP routing table Destination     Gateway         Genmask         Flags Metric Ref    Use Iface xx.xx.xx.xx     0.0.0.0         255.255.255.248 U     0      0        0 eth0 10.0.4.0        0.0.0.0         255.255.255.0   U     0      0        0 eth4 192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2 192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth3 10.10.0.0       0.0.0.0         255.255.255.0   U     0      0        0 eth1 10.0.0.0        10.10.0.1       255.255.255.0   UG    0      0        0 eth1 127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo 0.0.0.0         xx.xx.xx.xx     0.0.0.0         UG    1      0        0 eth0
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "проблема с доступом в подсеть со шлюза"
	Сообщение от reader (ok) on 05-Янв-09, 12:49
	>[оверквотинг удален] >     0       >  0 eth1 >127.0.0.0       0.0.0.0     >    255.0.0.0       >U     0       >0        0 lo >0.0.0.0         xx.xx.xx.xx   >  0.0.0.0         >UG    1      0 >       0 eth0 интересно, помоему это не связано ни с маршрутизацией, ни с iptables. вы писали, что tcpdump показывает что ответы приходят, а какой адрес используется? 10.10.0.2?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "проблема с доступом в подсеть со шлюза"
	Сообщение от Viper76 (ok) on 05-Янв-09, 15:14
	>интересно, помоему это не связано ни с маршрутизацией, ни с iptables. >вы писали, что tcpdump показывает что ответы приходят, а какой адрес используется? >10.10.0.2? именно он.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "проблема с доступом в подсеть со шлюза"
	Сообщение от Viper76 (ok) on 05-Янв-09, 16:51
	в дополнение, вывод tcpdump -ni eth1 при links 10.0.0.1 16:35:25.216735 IP 10.10.0.2.50066 > 10.0.0.1.80: S 2124744962:2124744962(0) win 5840 <mss 1460,sackOK,timestamp 6051184 0,nop,wscale 7> 16:35:25.243116 IP 10.0.0.1.80 > 10.10.0.2.50066: S 3742329487:3742329487(0) ack 2124744963 win 5792 <mss 1460,sackOK,timestamp 146227900 6051184,nop,wscale 7> 16:35:25.243158 IP 10.10.0.2.50066 > 10.0.0.1.80: . ack 1 win 46 <nop,nop,timestamp 6051190 146227900> 16:35:25.244039 IP 10.10.0.2.50066 > 10.0.0.1.80: P 1:595(594) ack 1 win 46 <nop,nop,timestamp 6051190 146227900> 16:35:25.264702 IP 10.0.0.1.80 > 10.10.0.2.50066: R 3742329488:3742329488(0) win 0 16:35:25.264892 IP 10.10.0.2.50067 > 10.0.0.1.80: S 2126973838:2126973838(0) win 5840 <mss 1460,sackOK,timestamp 6051196 0,nop,wscale 7> 16:35:25.268538 IP 10.0.0.1.80 > 10.10.0.2.50066: R 3742329488:3742329488(0) win 0 16:35:25.284591 IP 10.0.0.1.80 > 10.10.0.2.50067: S 3757775759:3757775759(0) ack 2126973839 win 5792 <mss 1460,sackOK,timestamp 146227912 6051196,nop,wscale 7> 16:35:25.284622 IP 10.10.0.2.50067 > 10.0.0.1.80: . ack 1 win 46 <nop,nop,timestamp 6051201 146227912> 16:35:25.284874 IP 10.10.0.2.50067 > 10.0.0.1.80: P 1:595(594) ack 1 win 46 <nop,nop,timestamp 6051201 146227912> 16:35:25.308497 IP 10.0.0.1.80 > 10.10.0.2.50067: . ack 595 win 55 <nop,nop,timestamp 146227918 6051201>
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "проблема с доступом в подсеть со шлюза"
	Сообщение от reader (ok) on 05-Янв-09, 22:41
	>[оверквотинг удален] >16:35:25.243116 IP 10.0.0.1.80 > 10.10.0.2.50066: S 3742329487:3742329487(0) ack 2124744963 win 5792 <mss 1460,sackOK,timestamp 146227900 6051184,nop,wscale 7> >16:35:25.243158 IP 10.10.0.2.50066 > 10.0.0.1.80: . ack 1 win 46 <nop,nop,timestamp 6051190 146227900> >16:35:25.244039 IP 10.10.0.2.50066 > 10.0.0.1.80: P 1:595(594) ack 1 win 46 <nop,nop,timestamp 6051190 146227900> >16:35:25.264702 IP 10.0.0.1.80 > 10.10.0.2.50066: R 3742329488:3742329488(0) win 0 >16:35:25.264892 IP 10.10.0.2.50067 > 10.0.0.1.80: S 2126973838:2126973838(0) win 5840 <mss 1460,sackOK,timestamp 6051196 0,nop,wscale 7> >16:35:25.268538 IP 10.0.0.1.80 > 10.10.0.2.50066: R 3742329488:3742329488(0) win 0 >16:35:25.284591 IP 10.0.0.1.80 > 10.10.0.2.50067: S 3757775759:3757775759(0) ack 2126973839 win 5792 <mss 1460,sackOK,timestamp 146227912 6051196,nop,wscale 7> >16:35:25.284622 IP 10.10.0.2.50067 > 10.0.0.1.80: . ack 1 win 46 <nop,nop,timestamp 6051201 146227912> >16:35:25.284874 IP 10.10.0.2.50067 > 10.0.0.1.80: P 1:595(594) ack 1 win 46 <nop,nop,timestamp 6051201 146227912> >16:35:25.308497 IP 10.0.0.1.80 > 10.10.0.2.50067: . ack 595 win 55 <nop,nop,timestamp 146227918 6051201> могу ошибаться, но похоже что браузер соединение с сервером установил и запросил данные, но они или не дошли или сервер сбросил соединение
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "проблема с доступом в подсеть со шлюза"
	Сообщение от Viper76 (ok) on 05-Янв-09, 23:25
	>могу ошибаться, но похоже что браузер соединение с сервером установил и запросил >данные, но они или не дошли или сервер сбросил соединение Проблема разрешилась. Дело видимо в кривоватом криптошлюзе на который смотрит eth1 в старых линуксах /proc/sys/net/ipv4/tcp_window_scaling стояло в 0. в новых - 1. Поставил 0 и все заработало.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]