внешняя подсеть

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

внешняя подсеть

Непрочитанное сообщение Graf » 2009-04-27 13:59:04

:st: 3 дня ломаю голову, не пойму в чем причина..
поможите люди добрые...

итак:
из-за отсутствия дополнительных внешних ИП адресов (так сказал сам пров), провайдер дает нам подсеть и один ИП через который мы сами должны маршрутизировать эту самаю подсеть. Для примера:
IP - 195.195.195.55
сеть - 85.85.85.112/29

дабы не тратить зря ИПешники я пустил и всю локалку через этот выданный ИП, прикрутив кальмара и iptables. Проблем нет, все довольны.
Есть у нас некое оборудование (веб-камеры и т.д.) к которым из "хрен_знает_от_куда" через инет надо иметь постоянный доступ.
Маршрутизирую:

Код: Выделить всё

route add -net 85.85.85.112 netmask 255.255.255.248 gw 195.195.195.55
и открываю в iptables:

Код: Выделить всё

IPTABLES -A FORWARD -i $INET_IFACE -p ALL -d 85.85.85.112/29 -j ACCEPT
подключены 4 устройства с данными им мной ИП:
85.85.85.113
85.85.85.114
85.85.85.115
85.85.85.116

и собственно вот трабла:
два из этих устройства и пингуются и дают работать с ними с любой точки Земли, два других нет :(. Причем опробывали в локалке - устройства рабочие на все 100. В логах тока ошибки вида:

Код: Выделить всё

IPT INPUT packet died: IN=eth2 OUT= MAC=_МАК_ВНЕШНЕЙ_СЕТЕВУХИ_ SRC=_КАЖДЫЙ_РАЗ_РАЗНЫЕ_ВНЕШНИЕ_АДРЕСА DST=195.195.195.55 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=22257 DF PROTO=TCP SPT=1699 DPT=1397 WINDOW=65535 RES=0x00 SYN URGP=0
с удаленного сервака даю команду

Код: Выделить всё

# telnet -b 195.195.195.55 85.85.85.113 9999
и смотрю на сервере (195.195.195.55)

Код: Выделить всё

# tcpdump -i eth2 -n -nn host 85.85.85.113
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes
13:24:33.397364 IP 195.195.195.55.42898 > 85.85.85.113.9999: S 3520044807:3520044 807(0) win 5840 <mss 1460,sackOK,timestamp 305285010 0,nop,wscale 5>
13:24:36.395204 IP 195.195.195.55.42898 > 85.85.85.113.9999: S 3520044807:3520044 807(0) win 5840 <mss 1460,sackOK,timestamp 305285760 0,nop,wscale 5>
13:24:38.395187 arp who-has 85.85.85.113 tell 195.195.195.55
13:24:38.396858 arp reply 85.85.85.113 is-at 00:b0:19:20:30:40
13:24:42.395200 IP 195.195.195.55.42898 > 85.85.85.113.9999: S 3520044807:3520044 807(0) win 5840 <mss 1460,sackOK,timestamp 305287260 0,nop,wscale 5>
13:24:54.395206 IP 195.195.195.55.42898 > 85.85.85.113.9999: S 3520044807:3520044 807(0) win 5840 <mss 1460,sackOK,timestamp 305290260 0,nop,wscale 5> 
даже не знаю куда смотреть и где копать...
ИП меняли - не помогает :(

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: внешняя подсеть

Непрочитанное сообщение hizel » 2009-04-27 17:48:07

проверте шлюзы маски на недоступных устройствах :-)

как вариант поднять проксю и работать через нее :-/
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение Graf » 2009-04-27 18:09:21

hizel писал(а):проверте шлюзы маски на недоступных устройствах :-)
IP - 85.85.85.113
mask - 255.255.255.248
GW - 195.195.195.55

что не так?
hizel писал(а):как вариант поднять проксю и работать через нее :-/
дык мне из вне доступ надо к этим устройствам, а не наружу...
или я чего-то не знаю про проксю?
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: внешняя подсеть

Непрочитанное сообщение hizel » 2009-04-27 18:44:36

пардон и как с таким ip и такой маской система достучицо до шлюза :shock:

ну есть обратный прокси, в том же nginx например ;-)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение abanamat » 2009-04-27 19:28:15

во во. надоть ip из этой /29 подсетки на маршрутизаторе нарисовать. Хотя п алиасом на тот же интерфес, где 195.195.195.55 нарисован. И оно само прекрасно туда-сюда забегает. Безо всяких форвардов.

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение Graf » 2009-04-28 9:52:10

я же написал... про маршрутизацию
Graf писал(а): Маршрутизирую:

Код: Выделить всё

route add -net 85.85.85.112 netmask 255.255.255.248 gw 195.195.195.55
Или вы не внимательно читали... или одно из двух :)
но я так же написал... что два устройства из этой сети работают на ура и хлеба не просят (ip - ....115 и .....116)
для эксперимента поменяли ip у не рабочих на 116 - не помогает..
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: внешняя подсеть

Непрочитанное сообщение hizel » 2009-04-28 10:16:15

с такими шлюзами и маской? :shock:
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение Graf » 2009-04-28 10:20:20

hizel писал(а):с такими шлюзами и маской? :shock:
ну, а что не так?
чет не пойму...
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение f_andrey » 2009-04-28 10:31:53

Graf писал(а):
hizel писал(а):с такими шлюзами и маской? :shock:
ну, а что не так?
чет не пойму...
Юзаем поиск, имеем решение :evil:
Чтобы правильно юзать поиск, учим правильную терминологию, а что бы определить что надо юзать поиск, учим теорию построения сетей :st: :st: :st:
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение Graf » 2009-04-28 11:18:20

f_andrey писал(а):Юзаем поиск, имеем решение
сорри, но ничего нового не узнал.
И объясните, мне тупому, почему, при вышеописанных настройках, Амстердам через веб камеру на 85.85.85.116 видит мою небритую морду, и в это же время из НН передают файлы на комп 85.85.85.115, а модульное устройство на 85.85.85.113 на всех из вне забило и общается только с компом на 85.85.85.115 (что есть правильно, они в одной подсети).
И почему traceroute из того же НН до 85.85.85.116(115) выдает правильный маршрут через 195.195.195.55 и рапортует о дошедших пакетах и скорости передачи, а вот до 85.85.85.113 рисует мне снежинки АКА звездочки после 195.195.195.55?
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: внешняя подсеть

Непрочитанное сообщение hizel » 2009-04-28 11:57:02

что то я видимо не понимаю, а можно таблицу маршрутизации на шлюзе глянуть
обычно делают так

Код: Выделить всё

85.85.85.114 ----+                            +--------+
                 |                            |        |                             <- route add 85.85.85.114/29 195.177.195.55
85.85.85.115-----+----------------85.85.85.113+ router +195.195.195.55-------------
                 |                            |        |
85.85.85.116 ----+                            +--------+
и соотвественно у устройств
85.85.85.114
255.255.255.248
85.85.85.113

а так устройству не понятно как ломицо на далешь в мир и оно пытаецо выяснить мак адрес(sic!) удаленного устройства
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение Graf » 2009-04-28 12:34:39

hizel писал(а):что то я видимо не понимаю, а можно таблицу маршрутизации на шлюзе глянуть
вот

Код: Выделить всё

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
85.85.85.112    195.195.195.55   255.255.255.248 UG    0      0        0 eth2
195.195.195.53   *               255.255.255.240 U     0      0        0 eth2
192.168.2.0      *               255.255.255.0   U     0      0        0 eth0
loopback         *               255.0.0.0       U     0      0        0 lo
default         195.195.195.54   0.0.0.0         UG    1      0        0 eth2

hizel писал(а):обычно делают так
т.е. ты предлагаешь поставить ещё одну сетевуху, дать ей адрес 85.85.85.113 пророутить ее как хост через 195.195.195.55 и на устройствах указывать её же IP как гетвей ?
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: внешняя подсеть

Непрочитанное сообщение hizel » 2009-04-28 12:47:56

ээм, а что это за ip 195.195.195.55, что на нем висит?

чото моск закипел :unknown:

как провайдер выдал вам эту подсеть?
он же если дает подсеть, должен дать и шлюз или сделать в вашу сторну хотя-бы route 85.85.85.114/29 195.195.195.53
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение zingel » 2009-04-28 12:58:46

Код: Выделить всё

% Information related to '195.194.0.0/15AS786'

route:          195.194.0.0/15
descr:          JANET
descr:          JANET(UK) Network Operations Centre
descr:          100 Gray's Inn Road
descr:          London WC1X 8AL
descr:          United Kingdom
origin:         AS786
mnt-by:         JIPS-NOSC
source:         RIPE # Filtered
что то я сомневаюсь, что это его провайдер =)
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение Graf » 2009-04-28 13:10:08

hizel писал(а):ээм, а что это за ip 195.195.195.55, что на нем висит?
Graf писал(а): из-за отсутствия дополнительных внешних ИП адресов (так сказал сам пров), провайдер дает нам подсеть и один ИП через который мы сами должны маршрутизировать эту самаю подсеть. Для примера:
IP - 195.195.195.55
сеть - 85.85.85.112/29
я просто скрыл реальные IP за придуманными.., имхо, суть дела не меняет
hizel писал(а):он же если дает подсеть, должен дать и шлюз или сделать в вашу сторну хотя-бы route 85.85.85.114/29 195.195.195.53
он не может этого сделать. Это должны сделать мы. А для того чтобы инет бегал они нам дали отдельный IP - 195.195.195.55 свой шлюз 195.195.195.54
и свои ДНС. И я прорутил. как - уже показал выше только 85.85.85.112/29 на 195.195.195.55
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение Graf » 2009-04-28 13:11:53

zingel писал(а):что то я сомневаюсь, что это его провайдер =)
ну ессессино, я ж сказал, что адреса придуманы, а вот сеть /29 нет :)
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение zingel » 2009-04-28 13:12:15

мы сами должны маршрутизировать эту самаю подсеть.
руки оторвать такому провайдеру, напрочь оторвать и выкинуть, у него обязан быть маршрут до бекбона.
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение Graf » 2009-04-28 13:17:31

zingel писал(а):руки оторвать такому провайдеру, напрочь оторвать и выкинуть, у него обязан быть маршрут до бекбона.
да, кстати, мне тоже не понятно почему он не мог дать просто 6 адресов и прорутить их у себя через тот же 195.195.195.54 или ещё как.
но проблема осталась :(
два устройства у меня работают два нет :(
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение zingel » 2009-04-28 13:19:33

а скажите мне в личку ip, я на AS и bgpшечку их погляжу, потому, что у меня чувство, что провайдер Ваш школота
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: внешняя подсеть

Непрочитанное сообщение Graf » 2009-04-28 13:30:20

zingel писал(а):а скажите мне в личку ip, я на AS и bgpшечку их погляжу, потому, что у меня чувство, что провайдер Ваш школота
скинул..., но есть чувство, что где-то и я чего-то не доделал :(
С кем поведешься - так тебе и надо!
http://slackware.su