Страница 1 из 1
внешняя подсеть
Добавлено: 2009-04-27 13:59:04
Graf
3 дня ломаю голову, не пойму в чем причина..
поможите люди добрые...
итак:
из-за отсутствия дополнительных внешних ИП адресов (так сказал сам пров), провайдер дает нам подсеть и один ИП через который мы сами должны маршрутизировать эту самаю подсеть. Для примера:
IP - 195.195.195.55
сеть - 85.85.85.112/29
дабы не тратить зря ИПешники я пустил и всю локалку через этот выданный ИП, прикрутив кальмара и iptables. Проблем нет, все довольны.
Есть у нас некое оборудование (веб-камеры и т.д.) к которым из "хрен_знает_от_куда" через инет надо иметь постоянный доступ.
Маршрутизирую:
Код: Выделить всё
route add -net 85.85.85.112 netmask 255.255.255.248 gw 195.195.195.55
и открываю в iptables:
Код: Выделить всё
IPTABLES -A FORWARD -i $INET_IFACE -p ALL -d 85.85.85.112/29 -j ACCEPT
подключены 4 устройства с данными им мной ИП:
85.85.85.113
85.85.85.114
85.85.85.115
85.85.85.116
и собственно вот трабла:
два из этих устройства и пингуются и дают работать с ними с любой точки Земли, два других нет
. Причем опробывали в локалке - устройства рабочие на все 100. В логах тока ошибки вида:
Код: Выделить всё
IPT INPUT packet died: IN=eth2 OUT= MAC=_МАК_ВНЕШНЕЙ_СЕТЕВУХИ_ SRC=_КАЖДЫЙ_РАЗ_РАЗНЫЕ_ВНЕШНИЕ_АДРЕСА DST=195.195.195.55 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=22257 DF PROTO=TCP SPT=1699 DPT=1397 WINDOW=65535 RES=0x00 SYN URGP=0
с удаленного сервака даю команду
Код: Выделить всё
# telnet -b 195.195.195.55 85.85.85.113 9999
и смотрю на сервере (195.195.195.55)
Код: Выделить всё
# tcpdump -i eth2 -n -nn host 85.85.85.113
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes
13:24:33.397364 IP 195.195.195.55.42898 > 85.85.85.113.9999: S 3520044807:3520044 807(0) win 5840 <mss 1460,sackOK,timestamp 305285010 0,nop,wscale 5>
13:24:36.395204 IP 195.195.195.55.42898 > 85.85.85.113.9999: S 3520044807:3520044 807(0) win 5840 <mss 1460,sackOK,timestamp 305285760 0,nop,wscale 5>
13:24:38.395187 arp who-has 85.85.85.113 tell 195.195.195.55
13:24:38.396858 arp reply 85.85.85.113 is-at 00:b0:19:20:30:40
13:24:42.395200 IP 195.195.195.55.42898 > 85.85.85.113.9999: S 3520044807:3520044 807(0) win 5840 <mss 1460,sackOK,timestamp 305287260 0,nop,wscale 5>
13:24:54.395206 IP 195.195.195.55.42898 > 85.85.85.113.9999: S 3520044807:3520044 807(0) win 5840 <mss 1460,sackOK,timestamp 305290260 0,nop,wscale 5>
даже не знаю куда смотреть и где копать...
ИП меняли - не помогает
Re: внешняя подсеть
Добавлено: 2009-04-27 17:48:07
hizel
проверте шлюзы маски на недоступных устройствах :-)
как вариант поднять проксю и работать через нее :-/
Re: внешняя подсеть
Добавлено: 2009-04-27 18:09:21
Graf
hizel писал(а):проверте шлюзы маски на недоступных устройствах :-)
IP - 85.85.85.113
mask - 255.255.255.248
GW - 195.195.195.55
что не так?
hizel писал(а):как вариант поднять проксю и работать через нее :-/
дык мне из вне доступ надо к этим устройствам, а не наружу...
или я чего-то не знаю про проксю?
Re: внешняя подсеть
Добавлено: 2009-04-27 18:44:36
hizel
пардон и как с таким ip и такой маской система достучицо до шлюза
ну есть обратный прокси, в том же nginx например
Re: внешняя подсеть
Добавлено: 2009-04-27 19:28:15
abanamat
во во. надоть ip из этой /29 подсетки на маршрутизаторе нарисовать. Хотя п алиасом на тот же интерфес, где 195.195.195.55 нарисован. И оно само прекрасно туда-сюда забегает. Безо всяких форвардов.
Re: внешняя подсеть
Добавлено: 2009-04-28 9:52:10
Graf
я же написал... про маршрутизацию
Graf писал(а):
Маршрутизирую:
Код: Выделить всё
route add -net 85.85.85.112 netmask 255.255.255.248 gw 195.195.195.55
Или вы не внимательно читали... или одно из двух
но я так же написал... что два устройства из этой сети работают на ура и хлеба не просят (ip - ....115 и .....116)
для эксперимента поменяли ip у не рабочих на 116 - не помогает..
Re: внешняя подсеть
Добавлено: 2009-04-28 10:16:15
hizel
с такими шлюзами и маской?
Re: внешняя подсеть
Добавлено: 2009-04-28 10:20:20
Graf
hizel писал(а):с такими шлюзами и маской?
ну, а что не так?
чет не пойму...
Re: внешняя подсеть
Добавлено: 2009-04-28 10:31:53
f_andrey
Graf писал(а):hizel писал(а):с такими шлюзами и маской?
ну, а что не так?
чет не пойму...
Юзаем поиск, имеем
решение 
Чтобы
правильно юзать поиск, учим
правильную терминологию, а что бы
определить что надо юзать поиск, учим теорию построения сетей
Re: внешняя подсеть
Добавлено: 2009-04-28 11:18:20
Graf
f_andrey писал(а):Юзаем поиск, имеем
решение
сорри, но ничего нового не узнал.
И объясните, мне тупому, почему, при вышеописанных настройках, Амстердам через веб камеру на 85.85.85.116 видит мою небритую морду, и в это же время из НН передают файлы на комп 85.85.85.115, а модульное устройство на 85.85.85.113 на всех из вне забило и общается только с компом на 85.85.85.115 (что есть правильно, они в одной подсети).
И почему traceroute из того же НН до 85.85.85.116(115) выдает правильный маршрут через 195.195.195.55 и рапортует о дошедших пакетах и скорости передачи, а вот до 85.85.85.113 рисует мне снежинки АКА звездочки после 195.195.195.55?
Re: внешняя подсеть
Добавлено: 2009-04-28 11:57:02
hizel
что то я видимо не понимаю, а можно таблицу маршрутизации на шлюзе глянуть
обычно делают так
Код: Выделить всё
85.85.85.114 ----+ +--------+
| | | <- route add 85.85.85.114/29 195.177.195.55
85.85.85.115-----+----------------85.85.85.113+ router +195.195.195.55-------------
| | |
85.85.85.116 ----+ +--------+
и соотвественно у устройств
85.85.85.114
255.255.255.248
85.85.85.113
а так устройству не понятно как ломицо на далешь в мир и оно пытаецо выяснить мак адрес(sic!) удаленного устройства
Re: внешняя подсеть
Добавлено: 2009-04-28 12:34:39
Graf
hizel писал(а):что то я видимо не понимаю, а можно таблицу маршрутизации на шлюзе глянуть
вот
Код: Выделить всё
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
85.85.85.112 195.195.195.55 255.255.255.248 UG 0 0 0 eth2
195.195.195.53 * 255.255.255.240 U 0 0 0 eth2
192.168.2.0 * 255.255.255.0 U 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default 195.195.195.54 0.0.0.0 UG 1 0 0 eth2
hizel писал(а):обычно делают так
т.е. ты предлагаешь поставить ещё одну сетевуху, дать ей адрес 85.85.85.113 пророутить ее как хост через 195.195.195.55 и на устройствах указывать её же IP как гетвей ?
Re: внешняя подсеть
Добавлено: 2009-04-28 12:47:56
hizel
ээм, а что это за ip 195.195.195.55, что на нем висит?
чото моск закипел
как провайдер выдал вам эту подсеть?
он же если дает подсеть, должен дать и шлюз или сделать в вашу сторну хотя-бы route 85.85.85.114/29 195.195.195.53
Re: внешняя подсеть
Добавлено: 2009-04-28 12:58:46
zingel
Код: Выделить всё
% Information related to '195.194.0.0/15AS786'
route: 195.194.0.0/15
descr: JANET
descr: JANET(UK) Network Operations Centre
descr: 100 Gray's Inn Road
descr: London WC1X 8AL
descr: United Kingdom
origin: AS786
mnt-by: JIPS-NOSC
source: RIPE # Filtered
что то я сомневаюсь, что это его провайдер
Re: внешняя подсеть
Добавлено: 2009-04-28 13:10:08
Graf
hizel писал(а):ээм, а что это за ip 195.195.195.55, что на нем висит?
Graf писал(а):
из-за отсутствия дополнительных внешних ИП адресов (так сказал сам пров), провайдер дает нам подсеть и один ИП через который мы сами должны маршрутизировать эту самаю подсеть. Для примера:
IP - 195.195.195.55
сеть - 85.85.85.112/29
я просто скрыл реальные IP за придуманными.., имхо, суть дела не меняет
hizel писал(а):он же если дает подсеть, должен дать и шлюз или сделать в вашу сторну хотя-бы route 85.85.85.114/29 195.195.195.53
он не может этого сделать. Это должны сделать мы. А для того чтобы инет бегал они нам дали отдельный IP - 195.195.195.55 свой шлюз 195.195.195.54
и свои ДНС. И я прорутил. как - уже показал выше только 85.85.85.112/29 на 195.195.195.55
Re: внешняя подсеть
Добавлено: 2009-04-28 13:11:53
Graf
zingel писал(а):что то я сомневаюсь, что это его провайдер
ну ессессино, я ж сказал, что адреса придуманы, а вот сеть /29 нет
Re: внешняя подсеть
Добавлено: 2009-04-28 13:12:15
zingel
мы сами должны маршрутизировать эту самаю подсеть.
руки оторвать такому провайдеру, напрочь оторвать и выкинуть, у него обязан быть маршрут до бекбона.
Re: внешняя подсеть
Добавлено: 2009-04-28 13:17:31
Graf
zingel писал(а):руки оторвать такому провайдеру, напрочь оторвать и выкинуть, у него обязан быть маршрут до бекбона.
да, кстати, мне тоже не понятно почему он не мог дать просто 6 адресов и прорутить их у себя через тот же 195.195.195.54 или ещё как.
но проблема осталась
два устройства у меня работают два нет
Re: внешняя подсеть
Добавлено: 2009-04-28 13:19:33
zingel
а скажите мне в личку ip, я на AS и bgpшечку их погляжу, потому, что у меня чувство, что провайдер Ваш школота
Re: внешняя подсеть
Добавлено: 2009-04-28 13:30:20
Graf
zingel писал(а):а скажите мне в личку ip, я на AS и bgpшечку их погляжу, потому, что у меня чувство, что провайдер Ваш школота
скинул..., но есть чувство, что где-то и я чего-то не доделал