От openwrt нужно направить пакеты к шлюзу по умолчанию которым является не сам роутер

0

1

Описываю ситуацию подробнее. Есть роутер с openwrt подключенный к отдельному провайдеру через 3g(хотя это не важно) [usb0]. Есть корпоративная сеть которая подключена к одному из lan портов роутера [eth0.5], но в инет ходит не через этот роутер маршруты по умолчанию указывают не на этот роутер. Есть lan сеть роутера (оставшиеся свободные порты) [br-vlan6]. [eth0.5] и [br-vlan6] разнесены с помощью vlan.

br-vlan6
Link encap:Ethernet HWaddr 30:B5:C2:CB:EA:E3
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
eth0
Link encap:Ethernet HWaddr 30:B5:C2:CB:EA:E3
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

eth0.5
Link encap:Ethernet HWaddr 30:B5:C2:CB:EA:E3
inet addr:10.132.56.41 Bcast:10.132.56.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

eth0.6
Link encap:Ethernet HWaddr 30:B5:C2:CB:EA:E3
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

lo
Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metric:1

usb0

inet addr:192.168.0.182 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

Часть компьютеров из корпоративной сети, которые входят в одну подсеть lan1 (10.132.56.0) с роутером видят его и могут через него ходить в инет с помощью прокси установленном на роутере. Проблема в том, что не могут ходить компьютеры из корп. сети, которые лежат в другой подсети lan2 (10.132.57.0), а надо чтобы ходили. Компьютеры из lan1 и lan2 видят друг друга, порты не на основных шлюзах для этих сетей открыты.

Доп. тесты показали что роутер не пингует ни локальную сеть lan1 ни lan2 и дело тут не в фаерволе. проблема в том что в роутере для интерфеса lan [eth0.5] не указан шлюз по умолчанию. Судя по всему пакеты не знают как им идти попадая на этот роутер из корп сети. Когда прописываю основной шлюз на этом интерфейсе (10.132.56.1) все начинает пинговаться, но инет перестает работать везде, видно что до прокси запрос идет, но дальше не пускает. Судя по всему не хватает какого-то маршрута. Подскажите в чем проблема? Таблица маршрутов след:

Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 usb0
10.132.56.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0.5
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 usb0
192.168.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 usb0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-vlan6

/etc/config/firewall

config defaults
option syn_flood '1'
option disable_ipv6 '1'
option input 'DROP'
option output 'DROP'
option forward 'DROP'

config zone
option name 'lan'
option network 'lan'
option input 'DROP'
option output 'DROP'
option forward 'DROP'

config zone
option name 'wan'
option output 'ACCEPT'
option masq '1'
option mtu_fix '1'
option network 'wan wan6'
option input 'DROP'
option forward 'DROP'

config forwarding
option src 'lan'
option dest 'wan'

config rule
option name 'Allow-DHCP-Renew'
option proto 'udp'
option target 'ACCEPT'
option family 'ipv4'
option src 'wan'
option src_port '68'
option dest_port '68'

config rule
option name 'Allow-Ping1'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
option src 'lan'
option src_ip '10.132.56.10 10.132.56.21'
config rule
option name 'Allow-Ping2'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
option src 'lan'
option src_ip '10.132.57.0/24 10.132.56/0'

config rule
option name 'Allow-Ping3'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
option dest 'lan'
option dest_ip '10.132.56/0 10.132.57.0/24'

config rule
option name 'Allow-ssh-web'
option proto 'tcp'
option target 'ACCEPT'
option src 'lan'
option src_ip '10.132.56.10'
option dest_port '22 80 443'

config rule
option name 'Allow-proxy-lan'
option proto 'tcp'
option target 'ACCEPT'
option src 'lan'
option src_ip '10.132.56.0/24'
option dest_port '8118'

config include
option path '/etc/firewall.user'

config redirect
option proto 'tcp'
option src_dip '!10.132.56.41'
option dest_ip '10.132.56.41'
option dest_port '8118'
option name 'Transparent Proxy Redirect'
option dest 'lan'
option src 'lan'
config zone
option name 'vlan6'
option network 'vlan6'
option forward 'ACCEPT'
option input 'ACCEPT'
option output 'ACCEPT'

config forwarding
option dest 'wan'
option src 'vlan6'

Ссылка

←	nat iptables на CentOS

socket(): Too many open files

→

Для связи компьютеров в одной подсети не нужна маршрутизация. Сетевой интерфейс eth0.5 с адресом 10.132.56.41 входит в подсеть 10.132.56.0/24.
Если компьютеры из lan1 входят в подсеть 10.132.56.0/24, то есть, имеют адрес 10.132.56.х и маску подсети 255.255.255.0, они должны быть доступны для eth0.5 без маршрутизации.
То есть, должны пинговаться с маршрутизатора.
Так как описано, что они не пингуются - где-то ошибка в описании задачи.

anonymous
(27.10.16 12:07:02 MSK)

Дополнение: не описано, как компьютеры из lan2 связаны с маршрутизатором OpenWrt. Предположительно, они подключены тоже к eth0.5
Так как они НЕ входят в подсеть 10.132.56.0/24, сетевой интерфейс eth0.5 для них недостижим без маршрутизации, а они недостижимы для сетевого интерфейса eth0.5

anonymous
(27.10.16 12:16:52 MSK)

Ответ на: комментарий от anonymous 27.10.16 12:16:52 MSK

корп. сеть устроена по своему и оборудование там свое. Я просто подключил к ней роутер в один из лан портов и настроил на нем прокси, чтобы некоторые компы завернуть на этот прокси. Но я писал что компы из lan1 и lan2 видят друг друга значит с маршрутизацией в корп сети все нормально. в данном случае роутер это просто как один из компов сети lan1, но компы из lan2 не видят его. Проблема где-то в роутере. возможно роутер видет что пакет приходит из подсети 10.132.57.0 и согласно таблице маршрутизации отправляет пакет не через eth0.5, т.к. подсеть ему не знакома, а через usb0.

testik777
(27.10.16 12:42:42 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 27.10.16 12:07:02 MSK

проблему с инетом для Lan2 решил, она была в том о чем я писал в последнем посте. добавил маршрут

10.132.57.0 10.132.56.1 255.255.255.0 UG 0 0 0 eth0.5

и прописал в проксе разрешенную подсеть 10.132.57.0/24

Но проблема с пингом от роутера в подсети. вот тут даже не знаю в чем проблема либо с фаерволом либо еще где-то. при пинге пишет ошибку: ping: sendto: Operation not permitted

при этом компы из lan1 и lan2 его пингуют. конфиг фаервола в первом посте.

testik777
(27.10.16 13:10:12 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	nat iptables на CentOS

Admin

socket(): Too many open files

→

Похожие темы