внешняя подсеть

[Graf]

3 дня ломаю голову, не пойму в чем причина..
поможите люди добрые...

итак:
из-за отсутствия дополнительных внешних ИП адресов (так сказал сам пров), провайдер дает нам подсеть и один ИП через который мы сами должны маршрутизировать эту самаю подсеть. Для примера:
IP - 195.195.195.55
сеть - 85.85.85.112/29

дабы не тратить зря ИПешники я пустил и всю локалку через этот выданный ИП, прикрутив кальмара и iptables. Проблем нет, все довольны.
Есть у нас некое оборудование (веб-камеры и т.д.) к которым из "хрен_знает_от_куда" через инет надо иметь постоянный доступ.
Маршрутизирую:

Код: Выделить всё

route add -net 85.85.85.112 netmask 255.255.255.248 gw 195.195.195.55

и открываю в iptables:

Код: Выделить всё

IPTABLES -A FORWARD -i $INET_IFACE -p ALL -d 85.85.85.112/29 -j ACCEPT

подключены 4 устройства с данными им мной ИП:
85.85.85.113
85.85.85.114
85.85.85.115
85.85.85.116

и собственно вот трабла:
два из этих устройства и пингуются и дают работать с ними с любой точки Земли, два других нет . Причем опробывали в локалке - устройства рабочие на все 100. В логах тока ошибки вида:

Код: Выделить всё

IPT INPUT packet died: IN=eth2 OUT= MAC=_МАК_ВНЕШНЕЙ_СЕТЕВУХИ_ SRC=_КАЖДЫЙ_РАЗ_РАЗНЫЕ_ВНЕШНИЕ_АДРЕСА DST=195.195.195.55 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=22257 DF PROTO=TCP SPT=1699 DPT=1397 WINDOW=65535 RES=0x00 SYN URGP=0

с удаленного сервака даю команду

Код: Выделить всё

# telnet -b 195.195.195.55 85.85.85.113 9999

и смотрю на сервере (195.195.195.55)

Код: Выделить всё

# tcpdump -i eth2 -n -nn host 85.85.85.113
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes
13:24:33.397364 IP 195.195.195.55.42898 > 85.85.85.113.9999: S 3520044807:3520044 807(0) win 5840 <mss 1460,sackOK,timestamp 305285010 0,nop,wscale 5>
13:24:36.395204 IP 195.195.195.55.42898 > 85.85.85.113.9999: S 3520044807:3520044 807(0) win 5840 <mss 1460,sackOK,timestamp 305285760 0,nop,wscale 5>
13:24:38.395187 arp who-has 85.85.85.113 tell 195.195.195.55
13:24:38.396858 arp reply 85.85.85.113 is-at 00:b0:19:20:30:40
13:24:42.395200 IP 195.195.195.55.42898 > 85.85.85.113.9999: S 3520044807:3520044 807(0) win 5840 <mss 1460,sackOK,timestamp 305287260 0,nop,wscale 5>
13:24:54.395206 IP 195.195.195.55.42898 > 85.85.85.113.9999: S 3520044807:3520044 807(0) win 5840 <mss 1460,sackOK,timestamp 305290260 0,nop,wscale 5> 

даже не знаю куда смотреть и где копать...
ИП меняли - не помогает

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

проверте шлюзы маски на недоступных устройствах :-)

как вариант поднять проксю и работать через нее :-/

[Graf]

проверте шлюзы маски на недоступных устройствах :-)

IP - 85.85.85.113
mask - 255.255.255.248
GW - 195.195.195.55

что не так?

как вариант поднять проксю и работать через нее :-/

дык мне из вне доступ надо к этим устройствам, а не наружу...
или я чего-то не знаю про проксю?

[hizel]

пардон и как с таким ip и такой маской система достучицо до шлюза

ну есть обратный прокси, в том же nginx например

[abanamat]

во во. надоть ip из этой /29 подсетки на маршрутизаторе нарисовать. Хотя п алиасом на тот же интерфес, где 195.195.195.55 нарисован. И оно само прекрасно туда-сюда забегает. Безо всяких форвардов.

[Graf]

я же написал... про маршрутизацию

Маршрутизирую:

Код: Выделить всё

route add -net 85.85.85.112 netmask 255.255.255.248 gw 195.195.195.55

Или вы не внимательно читали... или одно из двух
но я так же написал... что два устройства из этой сети работают на ура и хлеба не просят (ip - ....115 и .....116)
для эксперимента поменяли ip у не рабочих на 116 - не помогает..

[hizel]

с такими шлюзами и маской?

[Graf]

с такими шлюзами и маской?

ну, а что не так?
чет не пойму...

[f_andrey]

с такими шлюзами и маской?

ну, а что не так?
чет не пойму...

Юзаем поиск, имеем решение
Чтобы правильно юзать поиск, учим правильную терминологию, а что бы определить что надо юзать поиск, учим теорию построения сетей

[Graf]

Юзаем поиск, имеем решение

сорри, но ничего нового не узнал.
И объясните, мне тупому, почему, при вышеописанных настройках, Амстердам через веб камеру на 85.85.85.116 видит мою небритую морду, и в это же время из НН передают файлы на комп 85.85.85.115, а модульное устройство на 85.85.85.113 на всех из вне забило и общается только с компом на 85.85.85.115 (что есть правильно, они в одной подсети).
И почему traceroute из того же НН до 85.85.85.116(115) выдает правильный маршрут через 195.195.195.55 и рапортует о дошедших пакетах и скорости передачи, а вот до 85.85.85.113 рисует мне снежинки АКА звездочки после 195.195.195.55?

[hizel]

что то я видимо не понимаю, а можно таблицу маршрутизации на шлюзе глянуть
обычно делают так

Код: Выделить всё

85.85.85.114 ----+                            +--------+
                 |                            |        |                             <- route add 85.85.85.114/29 195.177.195.55
85.85.85.115-----+----------------85.85.85.113+ router +195.195.195.55-------------
                 |                            |        |
85.85.85.116 ----+                            +--------+

и соотвественно у устройств
85.85.85.114
255.255.255.248
85.85.85.113

а так устройству не понятно как ломицо на далешь в мир и оно пытаецо выяснить мак адрес(sic!) удаленного устройства

[Graf]

что то я видимо не понимаю, а можно таблицу маршрутизации на шлюзе глянуть

вот

Код: Выделить всё

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
85.85.85.112    195.195.195.55   255.255.255.248 UG    0      0        0 eth2
195.195.195.53   *               255.255.255.240 U     0      0        0 eth2
192.168.2.0      *               255.255.255.0   U     0      0        0 eth0
loopback         *               255.0.0.0       U     0      0        0 lo
default         195.195.195.54   0.0.0.0         UG    1      0        0 eth2

обычно делают так

т.е. ты предлагаешь поставить ещё одну сетевуху, дать ей адрес 85.85.85.113 пророутить ее как хост через 195.195.195.55 и на устройствах указывать её же IP как гетвей ?

[hizel]

ээм, а что это за ip 195.195.195.55, что на нем висит?

чото моск закипел

как провайдер выдал вам эту подсеть?
он же если дает подсеть, должен дать и шлюз или сделать в вашу сторну хотя-бы route 85.85.85.114/29 195.195.195.53

[zingel]

Код: Выделить всё

% Information related to '195.194.0.0/15AS786'

route:          195.194.0.0/15
descr:          JANET
descr:          JANET(UK) Network Operations Centre
descr:          100 Gray's Inn Road
descr:          London WC1X 8AL
descr:          United Kingdom
origin:         AS786
mnt-by:         JIPS-NOSC
source:         RIPE # Filtered

что то я сомневаюсь, что это его провайдер

[Graf]

ээм, а что это за ip 195.195.195.55, что на нем висит?

из-за отсутствия дополнительных внешних ИП адресов (так сказал сам пров), провайдер дает нам подсеть и один ИП через который мы сами должны маршрутизировать эту самаю подсеть. Для примера:
IP - 195.195.195.55
сеть - 85.85.85.112/29

я просто скрыл реальные IP за придуманными.., имхо, суть дела не меняет

он же если дает подсеть, должен дать и шлюз или сделать в вашу сторну хотя-бы route 85.85.85.114/29 195.195.195.53

он не может этого сделать. Это должны сделать мы. А для того чтобы инет бегал они нам дали отдельный IP - 195.195.195.55 свой шлюз 195.195.195.54
и свои ДНС. И я прорутил. как - уже показал выше только 85.85.85.112/29 на 195.195.195.55

[Graf]

что то я сомневаюсь, что это его провайдер

ну ессессино, я ж сказал, что адреса придуманы, а вот сеть /29 нет

[zingel]

мы сами должны маршрутизировать эту самаю подсеть.

руки оторвать такому провайдеру, напрочь оторвать и выкинуть, у него обязан быть маршрут до бекбона.

[Graf]

руки оторвать такому провайдеру, напрочь оторвать и выкинуть, у него обязан быть маршрут до бекбона.

да, кстати, мне тоже не понятно почему он не мог дать просто 6 адресов и прорутить их у себя через тот же 195.195.195.54 или ещё как.
но проблема осталась
два устройства у меня работают два нет

[zingel]

а скажите мне в личку ip, я на AS и bgpшечку их погляжу, потому, что у меня чувство, что провайдер Ваш школота

[Graf]

а скажите мне в личку ip, я на AS и bgpшечку их погляжу, потому, что у меня чувство, что провайдер Ваш школота

скинул..., но есть чувство, что где-то и я чего-то не доделал