Routování dvou subnetů

[Green_Raul]

Zdravím,

mám CentOS 6.4 server se dvěma síťovkama.

Eth0 - (LAN segment připojený do switche) - 192.168.93.2/24
Eth1 - (WAN segment připojený do routeru od ISP) - 192.168.90.2/24

Router od ISP má adresu 192.168.90.1, kterou jsem nastavil jako default gw. Server nyní může do internetu, ale nedaří se mi proroutovat LAN segment na WAN a nastavit maškarádu... IP forwarding je zapnutý.

Poradíte prosím někdo? Díky.

[Reklama]

[SHIUNG]

Ahoj,
pomocí iptables:

Kód: [Vybrat]

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
service iptables save
service iptables restart

[Green_Raul]

Ahoj,
díky za odpověď - to bylo první co jsem zkusil, ale nic.

[root@srvr etc]$ iptables --list-rules -t nat
-P PREROUTING ACCEPT
-P POSTROUTING ACCEPT
-P OUTPUT ACCEPT
-A POSTROUTING -o eth1 -j MASQUERADE

[root@srvr etc]$ ping www.seznam.cz -I eth0
PING www.seznam.cz (77.75.72.3) from 192.168.93.2 eth0: 56(84) bytes of data.
From srvr (192.168.93.2) icmp_seq=2 Destination Host Unreachable

[root@srvr etc]$ ping www.seznam.cz -I eth1
PING www.seznam.cz (77.75.72.3) from 192.168.90.2 eth1: 56(84) bytes of data.
64 bytes from www.seznam.cz (77.75.72.3): icmp_seq=1 ttl=248 time=11.1 ms

[root@srvr etc]$ route -n
Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn Metrik Odkaz  Užt Rozhraní
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth0
0.0.0.0         192.168.90.1    0.0.0.0         UG    0      0        0 eth1

Nějaké návrhy?

[SHIUNG]

A určitě máš povoleno routování?

Kód: [Vybrat]

vi /etc/sysctl.conf
net.ipv4.conf.default.forwarding=1
Restart sítě proběhl? Ještě jednou se mi u CentOS se mi stalo, že systém byl zmatený z těch pravidel a po restartu celého serveru to bylo OK.

[Green_Raul]

Ano forwarding je na 100% zapnutý. Restartů sítě proběhlo už požehnaně i pár kompletních restartů serveru. Vypnul jsem pro jistotu úplně NetworkManager a zkontroloval ručně veškerá nastavení sítě. Sedím u toho už několik hodin a nemohu takovou trivku vyřešit... Než jsem tam přidal druhý interface (protože potřebuji nastavit proxy), tak jsem měl v IP tables pravidla na port forwardingy a pro OpenVPN, nastaven firewall a vše mi krásně fungovalo. Teď nedokážu ani spojit dva subnety. Jde to se mnou z kopce.

[Reklama]

[Palo M.]

Vystrel do tmy: Skus si vypisat aj:

Kód: [Vybrat]

iptables -L FORWARD -n -vMozno tam uvidis nieco zaujimave. A mozno nie.

[AlYoSHA]

[root@srvr etc]$ ping www.seznam.cz -I eth0
PING www.seznam.cz (77.75.72.3) from 192.168.93.2 eth0: 56(84) bytes of data.
From srvr (192.168.93.2) icmp_seq=2 Destination Host Unreachable

[root@srvr etc]$ ping www.seznam.cz -I eth1
PING www.seznam.cz (77.75.72.3) from 192.168.90.2 eth1: 56(84) bytes of data.
64 bytes from www.seznam.cz (77.75.72.3): icmp_seq=1 ttl=248 time=11.1 ms

[root@srvr etc]$ route -n
Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn Metrik Odkaz  Užt Rozhraní
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth0
0.0.0.0         192.168.90.1    0.0.0.0         UG    0      0        0 eth1

Nějaké návrhy?

Co povie traceroute?

[AlYoSHA]

Zdravím,

mám CentOS 6.4 server se dvěma síťovkama.

Eth0 - (LAN segment připojený do switche) - 192.168.93.2/24
Eth1 - (WAN segment připojený do routeru od ISP) - 192.168.90.2/24

Router od ISP má adresu 192.168.90.1, kterou jsem nastavil jako default gw. Server nyní může do internetu, ale nedaří se mi proroutovat LAN segment na WAN a nastavit maškarádu... IP forwarding je zapnutý.

Poradíte prosím někdo? Díky.

Navyse ked dobre rozumiem tak ping cez eth0 vam nejde.  Ale to posielate paket interfejsom ktory nevedie smerovm von.  WAN je predsa eth0 tam je router.  Aspon tak mi to pripada - musel by som poznat topologiu vase siete.

[AlYoSHA]

oprava WAN je eth1

[Mirek Prýmek]

[root@srvr etc]$ ping www.seznam.cz -I eth0
PING www.seznam.cz (77.75.72.3) from 192.168.93.2 eth0: 56(84) bytes of data.
From srvr (192.168.93.2) icmp_seq=2 Destination Host Unreachable

A určitě to jde takhle testovat? Nemám po ruce žádný linuxový router a s iptables si moc netykám, ale jako první věc bych to určitě zkoušel regulerně zvenku, z jiného stroje, aby ten paket fakt přišel zvenku. Nejsem si totiž vůbec jistej, jestli se POSTROUTING aplikuje na pakety, které nepřišly zvenku - podle tohodle obrázku http://www.billauer.co.il/non-html/ipmasq-html1x.gif bych řekl, že spíš ne (cpu je tam totiž z "host's IP stack". Že mají zdrojovou adresu "vnějšího rozhranní" by na tom nemělo nic měnit).

Je to jenom takovej návrh, co zkusit. Jak říkám, s iptables si moc netykám, používám PF, kde se tohle neřeší

[Mirek Prýmek]

Omlouvám se, čumím do toho obrázku a popletl jsem si POST- a PRE- Takže ten komentář je asi bezpředmětný...

[AlYoSHA]

Faktom ale je ze dostupnot LAN IPky by bolo lepsie testovat zo siete.  A pokial ide o konferu chcelo by to nejaky obrazok ako ta siet vyzera. Niekedy LAN nemusi byt LAN :-)

[James_Scott]

Mně se moc nezdá ta routing table.  Nevidím tam záznam, který by směřoval pro LAN subnet.

[AlYoSHA]

Ked na to pride tak tam nie je ani WAN.  Nejak divne pretoze obe by tam mali byt ako link.

[AlYoSHA]

Ak nad nejakym rozhranim dvihnes nejaky alias napr 192.168.90.1/24 , tak jadro by malo vytvorit patricny zaznam v routovacej tabulke pre siet 192.168.90.0/24 v ktorej sa ten alias nachadza.  Jadro potom vie, ze ktorym interfejsom ma odoslat paket ktory ma ciel v rovnakej sieti. Pokial taky alias vytvoris a v routovacej tabulke nevznikne patricny zaznam, tak je nieco hnileho v state danskom.  Posli vypis "ip a" a "ip r"