BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 15 ] 
Автор Сообщение
 Заголовок сообщения: маршрутизация между подсетями
СообщениеДобавлено: Ср 18 окт, 2017 7:40 pm 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 18
сори если не правильно излагаю суть, но вы подправьте меня)

есть FreeBSD 11.0-RELEASE-p12, c PF для ната и проброски портов и IPFW для биллинга (шейпит + дает доступ абонентам в инет)

интерфейс VLAN 10, на нем две подсети
10.168.125.0/26
10.168.128.0/26
с адресами
10.168.128.1
10.168.125.1

есть два роутера, один в одной подсети другой в другой
адрес первого роутера 10.168.128.23 внутренняя подсеть 192.168.1.0/24
адрес второго роутера 10.168.125.16 внутренняя подсеть 192.168.0.1/24

так на роутере 10.168.125.16 прописал, что подсеть 192.168.1.0/24 находиться за 10.168.128.23
и он ее не видит
когда шлюзом был микротик все работало

по моему скромному мнению ипфв не дает доступ, потому как на втором роутере выдавая ему адрес с подсети 10.168.128.0/26 все начинает прекрасно работать
пожалуйста помогите решить проблему
ipfw show
Код:
[root@homeline ~]# ipfw show
00050       6927        583684 allow tcp from any to me dst-port 22
00051       5156       5354229 allow tcp from me 22 to any
00110     815727    4938074092 allow ip from any to any via lo0
00120   11467586    1030548260 skipto 1000 ip from me to any
00130        785         48064 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160   29504426    2479879586 skipto 2000 ip from any to me
00200 2257096069 2006104238211 skipto 500 ip from any to any via vlan109
00300  857180047  175357100789 skipto 4500 ip from any to any in
00400 1385503015 1800664869514 skipto 450 ip from any to any recv vlan109
00420    5979672     658111804 divert 1 ip from any to any
00450 1391482583 1801322979238 divert 2 ip from any to any
00490 1391429355 1801247261540 allow ip from any to any
00500 1407697783 1831834201142 skipto 32500 ip from any to any in
00510  849398286  174270037069 divert 1 ip from any to any
00540  849387422  174269714613 allow ip from any to any
01000    5988868     579607343 allow udp from any 53,7723 to any
01010      15069       3059337 allow tcp from any to any setup keep-state
01020    9200811    1105534660 allow udp from any to any keep-state
01100     769297      68291958 allow ip from any to any
02000          0             0 check-state
02010      57478       5247542 allow icmp from any to any
02020     161974      10424107 allow tcp from any to any dst-port 22,80,443,5006
02030          0             0 allow tcp from table(101) to any dst-port 3306
02050   18675978    1323876749 deny ip from any to any via vlan109
02060    6012440     409063138 allow udp from any to any dst-port 53,7723
02100      90097       5323012 deny ip from any to any
04500     217296      14830629 allow ip from any to table(100)
05000          0             0 skipto 18502 ip from table(24) to table(14)
05001          0             0 allow ip from table(44) to table(14)
05002  777148829  146954809517 skipto 18503 ip from table(21) to table(11)
05003   78521170   28237583296 allow ip from table(41) to table(11)
18500     415969      29540154 fwd 127.0.0.1,8080 tcp from any to any dst-port 80
18501     874238     120087433 deny ip from any to any
18502          0             0 pipe tablearg ip from table(24) to any
18503  777148829  146954809517 pipe tablearg ip from table(21) to any
32000          0             0 deny ip from any to any
32490       2545        249760 deny ip from any to any
32500     172607      19725579 allow ip from table(100) to any
33000          0             0 skipto 46501 ip from table(14) to table(34)
33001          0             0 allow ip from table(14) to table(44)
33002 1303956363 1700927142207 skipto 46502 ip from table(11) to table(31)
33003  103568813  130887333356 allow ip from table(11) to table(41)
46500          0             0 deny ip from any to any
46501          0             0 pipe tablearg ip from any to table(34)
46502 1303956363 1700927142207 pipe tablearg ip from any to table(31)
60000          0             0 deny ip from any to any
65535          0             0 deny ip from any to any


часть rc.conf
Код:
[root@homeline ~]# cat /etc/rc.conf
cloned_interfaces="vlan10"

ifconfig_vlan10="inet 10.88.88.5 netmask 255.255.255.0 vlan 10 vlandev bce0"
ifconfig_vlan10_alias0="inet 10.168.125.1/26"
ifconfig_vlan10_alias1="inet 10.168.128.1/26"

firewall_enable="YES"
gateway_enable="YES"
local_unbound_enable="YES"

pf_enable="YES"
mysql_enable=YES
apache24_enable=YES
ipcad_enable=YES



Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Чт 19 окт, 2017 10:25 am 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 18
забыл добавить, оба роутера работают в режиме NAT


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Чт 19 окт, 2017 8:20 pm 
В сети

Зарегистрирован: Вт 17 авг, 2010 8:48 pm
Сообщения: 493
Откуда: Беларусь
WideAreaNetwork писал(а):
так на роутере 10.168.125.16 прописал, что подсеть 192.168.1.0/24 находиться за 10.168.128.23
и он ее не видит


вот тут мне не понятно что вы сделали, т.к. нужно, чтобы роутер 125.16 спрашивал сеть 192.168.1.0/24 у 125.1, а тот в свою очередь у 128.23. Или я не правильно понял Вашу схему сети?
поэтому лучше всего для начала изучить таблицы маршрутизации всех ваших маршрутизаторов и выключить файерволы.

WideAreaNetwork писал(а):
забыл добавить, оба роутера работают в режиме NAT


с учетом этого сообщения стало более запутанно. если роутер 128.23 натит 192.168.1.0/24, то как вообще кто-либо (напр. 125.16) до неё достучится??
лучше всего показать конфиги, чем пытаться тремя словами описать замысел.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Пт 20 окт, 2017 11:49 am 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 18
erema15 писал(а):
вот тут мне не понятно что вы сделали, т.к. нужно, чтобы роутер 125.16 спрашивал сеть 192.168.1.0/24 у 125.1, а тот в свою очередь у 128.23. Или я не правильно понял Вашу схему сети?
поэтому лучше всего для начала изучить таблицы маршрутизации всех ваших маршрутизаторов и выключить файерволы.

схему Вы поняли правильно, сегодня попробую отключить фаервол добавив правило
Код:
ipfw add 1 allow ip from any to any

erema15 писал(а):
с учетом этого сообщения стало более запутанно. если роутер 128.23 натит 192.168.1.0/24, то как вообще кто-либо (напр. 125.16) до неё достучится??
лучше всего показать конфиги, чем пытаться тремя словами описать замысел.

спокойно достучится, если явно указать что и где находится :)

поймите пжл, дело не в маршрутах))) до этого шлюзом был микротик и все работало

сейчас чтобы это работало я дал второму роутеру 10.168.125.16 адрес с подсети 10.168.128.0/24 и все работает, и он прекрасно видит подсеть 192.168.1.0/24, так как я ему явно указал где она находиться, то-есть за 10.168.128.23


так как с FreeBSD тока начал знакомиться не понимаю где проблема, но думаю выключение фаервола решит этот вопрос, правда тогда будет иной вопрос, как заставить все это работать)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Вт 24 окт, 2017 6:44 pm 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 18
сделал так
Код:
ipfw add 1 allow ip from any to any

и все заработало

подскажите пжл что нужно прописать в фаерволе, чтобы пропустить обмен пакетами?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Пт 27 окт, 2017 9:09 am 
В сети

Зарегистрирован: Вт 17 авг, 2010 8:48 pm
Сообщения: 493
Откуда: Беларусь
WideAreaNetwork писал(а):
подскажите пжл что нужно прописать в фаерволе, чтобы пропустить обмен пакетами?

вы уже всё прописали же )))
WideAreaNetwork писал(а):
сделал так
Код:
ipfw add 1 allow ip from any to any

и все заработало

Чтобы вам что-то подсказать, нужно знать все правила трансляции, фильтрации и маршрутизации на всех узлах
Только в вашем выводе ipfw нашел 3 divert'а всего трафика.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Сб 28 окт, 2017 9:55 am 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 18
да, только смысл от биллинга если оставить это правило)))

блокирует ипфв, его настройки есть в первом посте, нат на внешнем интерфейсе, через него траффик локальных машин не проходит


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Пн 30 окт, 2017 10:35 pm 
В сети

Зарегистрирован: Вт 17 авг, 2010 8:48 pm
Сообщения: 493
Откуда: Беларусь
WideAreaNetwork писал(а):
блокирует ипфв, его настройки есть в первом посте, нат на внешнем интерфейсе, через него траффик локальных машин не проходит

т.е. вы уже разобрались и вопрос решён?

если нет, то я всё ещё не вижу ответа на данный запрос
erema15 писал(а):
Чтобы вам что-то подсказать, нужно знать все правила трансляции, фильтрации и маршрутизации на всех узлах


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Вт 31 окт, 2017 8:57 am 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 18
напишите пжл конфиги каких вайлов выложить


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Пн 06 ноя, 2017 10:08 pm 
В сети

Зарегистрирован: Вт 17 авг, 2010 8:48 pm
Сообщения: 493
Откуда: Беларусь
это уже слишком )


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Пн 06 ноя, 2017 10:27 pm 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 18
блокирует фаервол, его конфиг я выложил, что еще надо для решения вопроса я без понятия)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Вт 07 ноя, 2017 1:57 pm 
В сети

Зарегистрирован: Вт 17 авг, 2010 8:48 pm
Сообщения: 493
Откуда: Беларусь
WideAreaNetwork писал(а):
блокирует фаервол, его конфиг я выложил, что еще надо для решения вопроса я без понятия)


ну если вы так в этом уверены, то просто смотрите счётчики правил файрвола.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Вт 07 ноя, 2017 5:48 pm 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 18
сказать бы что уверен на все 100 я не стану))) но при его отключении работает та схема которую я указал, на микротике работало по той простой причине что там ничего практически нет в фаерволе)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Ср 15 ноя, 2017 10:13 pm 
В сети

Зарегистрирован: Вт 17 авг, 2010 8:48 pm
Сообщения: 493
Откуда: Беларусь
WideAreaNetwork писал(а):
сказать бы что уверен на все 100 я не стану))) но при его отключении работает та схема которую я указал, на микротике работало по той простой причине что там ничего практически нет в фаерволе)

ну как? победили свой сабж?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: маршрутизация между подсетями
СообщениеДобавлено: Ср 15 ноя, 2017 11:50 pm 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 18
erema15 писал(а):
WideAreaNetwork писал(а):
ну как? победили свой сабж?

нет :)
трогать/играться с фаерволом не стал, ибо на машине крутиться биллинг который им управляет, с моими знаниями может получиться очень больно) ipfw понемногу изучаю, но не факт что смогу) самоучение всегда трудно дается

а можно сказать и победил, сделал проброс вланов, и оба роутера оказались в одной подсети


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 15 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], erema15


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика