NAT a routování

[ZiZiTop]

Čau, mám dvě síťové krabičky.

První router:
NAT
IP: IP 192.168.0.1
Síť: 192.168.0.0/c,
nastavená statická routa:
192.168.1.0/255.255.255.0 přes LAN 192.168.0.2
Firewall: Vypnutý, vše povoleno

Druhý router:
Lan IP: IP 192.168.1.1
Wan IP: 192.168.0.2 (Tj. stejná, jako v pravidle výš.)
Síť: 192.168.1.0/C
Výchozí routa: 0.0.0.0 na 192.168.0.1 (na router výš)
Tuhle routu tam není nutné přidávat, nahodí se sama.
Firewall: Vypnutý, vše povoleno

Z pecek v podřízené síti se dostanu na zařízení výš, ale ne na net.
Jakmile na druhé krabičce zapnu taky NAT, internet jede.

Podezřívám tu krabičku s NAT (první, IP 192.168.0.1) že když do ní dorazí paket s IP jinou, než je rozsah její vnitřní sítě, tak ho buď není schopná NATovat nebo si s ním rovou vytře zadekli.

Druhý router se na net taky dostane, bez ohledu na to, jestli je na něm NAT zapnutý nebo není.
Jenže nic za ním. Routování jako takové funguje bez problémů.

Ta krabička s NAT samozřejmě nemá žádná nastavení :-(

Váš názor? Udělal jsem někde v konfiguraci botu, nebo ten NAT na tom Čínském klumpru je domršený? Nějaká rada, kromě vhození klumpru do koše a jeho nahrazení něčím, co se dá alespoň trochu konfigurovat, jako třeba Mikrotikem, kterým to bohužel nemůžu nahradit?

[Reklama]

[ZiZiTop]

PS: Jen tak cvičně jsem za ten druhý router strčil ještě třetí router, přidal do obou výše uvedených routerů pravidla a to taky funguje, ale na net se nedostanu ani z třetí sítě, což jsem neočekával.
Píšu to, protože myslím, že routování mám nastavené správně.

[vencour]

Doporučuju rozlišovat ne první a druhý router, ale vnitřní a vnější.

Pomocné řešení by bylo mít "noťas s dvěma síťovkama v bridgi" a vrazit ho mezi internet a krajní router a sledovat, co proleze z vnitřní sítě.
Dále: lze sledovat matchování pravidel iptables (iptables -nvL a iptables -t nat -nvL), nějaký provoz by měl zvyšovat countery.

Mimochodem nevidím na krajním routeru rozsah "internetového" interfejsu ... je tam dhcp nebo statika? A icmp máte povolené, neblokují se?

Měl byste dostat odpověď v LANce při traceroute na ten internetový interface ... jde to, funguje? I tohle by mělo šlapat a je to ve vaší správě, ať už "internet" jde nebo ne.

[nobody(ten blbej)]

Zapomeň na to, rozjeď IPv6!!!

[Martin]

Jako odpoved, ano, popsana konfigurace by mela fungovat, problem bude nejspise ve venkovnim routeru samotnem.
Nicmene, mohu znat duvod takového rozdeleni vnitrni síte? Prijde mi to jako prekomplikovane. Pouzil bych jako prvni router mtik, nejlacnejsi hAP Lite to zmakne, a na druhem vypnul routovani a DHCP uplne a ponechal ho pouze jako AP v bridge rezimu. Pak bude k dispozici vice rozsahu, pripadne uplne oddeleni siti pomoci VLAN a vse bez komplikovaneho routovani, s natem nebo bez.
IPv6 tam pojede taky a uplne stejne spolehlive, bez ohledu na to jestli to vnitrni router podporuje nebo ne.

[Reklama]

[Palo M.]

@ZiZiTop: Mozes sa pozriet, ako su nastavene iptables na tom vonkajsom routri? (Ak tam teda mas shell a bezi to vobec na linuxe.)
Napriklad IP-maskarada na vonkajsom routri moze byt limitovana len na jeho "vlastny rozsah" 192.168.0.0/24... co nemusi byt nutne "domrseny NAT", ale je to tak navrhnute. Ked je to lacakova krabicka, tak je pravdepodobne urcena len na jednoduchu topologiu vnutornej siete (aj ked v takom pripade je tam ten static routing pomerne neuzitocny).

[Orb]

Nechodí to, protože vnější router NATuje pouze provoz z LAN rozsahu (tedy 192.168.0.0/24), dělá to takhle většina laciných šmejdů (a dokonce i spousta předražených "značkových" šmejdů s 15 anténama). Z vnitřního routeru se ven dostaneš, protože na WAN interfacu má IP z LAN rozsahu vnějšího routeru. Jak už bylo zmíněno, dej tam něco normálního od Mikrotiku (i nejlevnější RB941 má daleko víc možností, než 99% ostatních routerů), tam si nastavíš co je třeba. Drobná nevýhoda - u Mikrotiku musíš vědět co máš dělat