Konrad Konon

Konrad Konon Administrator
Systemów i Sieci

Temat: ip route - problem

Witam, piszę ponieważ mam taki dziwny problem i nie mam rozwiązania.
Mój serwer jest za dwoma routerami w sieci lokalnej -> serwer;192.168.1.1,następny hop to 192.168.1.11, następnie świat. Routing jest w ten sam sposób przygotowany, tą trasą. Łącząc się od teściów, nie rozumiem z jakiego powodu, polecenie ip route show cache pokazuje, że IP z którego się łącze do serwera jest dostępny przez bramę 192.168.1.11, a dst nat jest inaczej zaimplementowany. Z tego powodu nie mogę się połączyć do usług. Rozwiązaniem jest ip route flush cache, ale to nie jest rozwiązanie stałe. Jak mogę wymusić routing statyczny? Oczywiście konfiguracja interfejsu jest prawidłowa, default route itd... system to Debian 7.
Czekam na sugestie.
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: ip route - problem

Chaos, widzę chaos.

W tej samej sieci router prowadzi przez dwa routery?
Jeśli router 192.168.1.11 jest w tej samej sieci co serwer no to będzie się od razu do niego łączył - a nie przez ten pierwszy/drugi router.

--edyta--

Trochę bzdury tu wyżej napisałem. Już prostuję:
Miał być ruch idący przez dwa routery.
Następnie chodziło o to, że ruch powrotny będzie szedł bezpośrednio z pierwszego routera do serwera (albo przynajmniej będzie próbował).Ten post został edytowany przez Autora dnia 26.12.13 o godzinie 21:55
Konrad Konon

Konrad Konon Administrator
Systemów i Sieci

Temat: ip route - problem

Na serwerze jako brama domyślna jest router 192.168.1.1(mikrotik), który jest jako firewall, na nim bramą jest router podłączony do łącza providera, w drugą stronę z 1.11 jest dmz na 1.1 i tam dopiero ruch kierowany jest do serwera po przefiltrowaniu. Na serwerze nie ma nigdzie w konfiguracji routera o adresie 1.11, to dlaczego w ip route ,w cache widać że sobie ustawia routing w ten sposób, dla tego tylko adresu? nie ma chaosu, wszystko jest przemyślane. Pozdrawiam
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: ip route - problem

Nie wiem jaką masz tam dokładnie maskę, ale jeśli to jest 24 (albo i mniej) to dla urządzenia pod adresem 192.168.1.11 sieć 192.168.1.0 jest siecią 'connected' czy jak to się tam nazywało - bezpośrednio podłączoną.
Więc jeśli to urządzenie ma coś wysłać do adresu wewnątrz tej sieci to będzie wysyłać bezpośrednio do tego urządzenia (czyli z właściwym już adresem docelowym warstwy drugiej), a nie na bramę.
Jakub Bartkowiak

Jakub Bartkowiak Informatyk -
Administrator Sieci
WIFI

Temat: ip route - problem

tak jak kolega wyżej napisał, pierwszą sieć robisz np 192.168.1.1 a drugą 192.168.2.1 i powinno działać od razu. Za take herezje kiedyś palili na stosie, aby obydwie sieci było pod końcówką 1.x.
Konrad Konon

Konrad Konon Administrator
Systemów i Sieci

Temat: ip route - problem

Widzę że się nie rozumeimy, wszystko działa prawidłowo, ale jak od teściów się łacze do siebie to mam taką sytuację, muszę przez vpna się łączyć i czyscić cache wpierw. Wygląda to tak:
root@dex:~ > ip route
default via 192.168.1.1 dev br0
172.16.97.0/24 dev vmnet8 proto kernel scope link src 172.16.97.1
172.11.136.0/24 dev vmnet1 proto kernel scope link src 172.11.131.1
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.6

root@dex:~ > ip route show cache|grep "168.1.11"
multicast 239.255.255.250 from 192.168.1.11 dev lo src 192.168.1.6
95.xxx.xxx.xxx from 192.168.1.6 via 192.168.1.11 dev br0 <---tu jest problem, powinno byc jak default route - przez 1.1, dlaczego ustawiany jest 1.11 ?
Konrad Konon

Konrad Konon Administrator
Systemów i Sieci

Temat: ip route - problem

maska jest 24, wszystkie urzadzenia są w domenie rozgłoszeniowej, prawda.
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: ip route - problem

Konrad K.:
wszystko działa prawidłowo
No właśnie widzę - działa, ale nie działa.

Szczerze to nie rozumiem skąd się wziął ten wpis w cache, ale jak znam życie to pewnie zacznie działać jak nas posłuchasz :)
Konrad Konon

Konrad Konon Administrator
Systemów i Sieci

Temat: ip route - problem

Sukces! rozwiązaniem było wyłaczenie "net.ipv4.conf.*.accept_redirects". Dziękuję za sugestie. pozdrawiam
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: ip route - problem

No to już wiemy skąd się to wzięło - człowiek się uczy cały czas.
No ale oczywiście ma to związek z tym o czym pisałem wcześniej.
Tomasz L.

Tomasz L. Inzynier Systemów
Bezpieczeństwa,
ASCOMP S.A.

Temat: ip route - problem

Czytając to nadal nie wiem czemu obydwa routery masz w jednej sieci, ale nic to :)
Jakub B.:
tak jak kolega wyżej napisał, pierwszą sieć robisz np 192.168.1.1 a drugą 192.168.2.1 i powinno działać od razu. Za take herezje kiedyś palili na stosie, aby obydwie sieci było pod końcówką 1.x.
Kiedyś pewnie tak. Notabene swego czasu miałem 2 działające sieci z tą samą dokładnie adresacją snatująco/dnatujące się wzajemnie i łączące się do jednego servera :)
Konrad Konon

Konrad Konon Administrator
Systemów i Sieci

Temat: ip route - problem

Ten drugi router to mikrotik na którym mam natowane konkretne porty do serwera, na nim mam np. mechanizm obrony przed skanowaniem portów(od razu ban), dodatkowo wycinam ponad 3k podsieci - Chiny, etc...może jak będę miał trochę czasu to przeniose to na iptablesy na serwer. Nie rozumiem dlaczego kolegom sie nie podoba taki schemat, przecież można nawet 5 routerów w tej samej podsieci postawić ,na każdym skonfigurować routing statyczny, jako bramę nastepny itd... U mnie usługi ftp, www, sip(asterisk),mail działaja prawidłowo, mimo że serwer jest za 2 routerami. Pozdrawiam
Tomasz L.

Tomasz L. Inzynier Systemów
Bezpieczeństwa,
ASCOMP S.A.

Temat: ip route - problem

Odpowiem na Twoje pytanie chociaż w zasadzie odpowiedź już padła. W jednej podsieci urządzenia widzą się wzajemnie i bywa, że nawet pomimo poustawianych masek, tras statycznych etc. będą się chciały komunikować bezpośrednio zamiast tak jak sobie zaplanowałeś.
Bezpieczniej jest te podsieci wydzielić, nawet vlanami.
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: ip route - problem

Konrad K.:
Ten drugi router to mikrotik na którym mam natowane konkretne porty do serwera, na nim mam np. mechanizm obrony przed skanowaniem portów(od razu ban), dodatkowo wycinam ponad 3k podsieci - Chiny, etc...może jak będę miał trochę czasu to przeniose to na iptablesy na serwer. Nie rozumiem dlaczego kolegom sie nie podoba taki schemat, przecież można nawet 5 routerów w tej samej podsieci postawić ,na każdym skonfigurować routing statyczny, jako bramę nastepny itd... U mnie usługi ftp, www, sip(asterisk),mail działaja prawidłowo, mimo że serwer jest za 2 routerami. Pozdrawiam
To może wróćmy do początku.
Co to jest router? Do czego służy?

Następna dyskusja:

Problem z certyfikatem SSL.




Wyślij zaproszenie do