ip address show

ip route show

sysctl net.ipv4.ip_forward

iptables-save

ТС, почитай эту статью:

http://linuxforum.ru/viewtopic.php?pid=3676

Откуда не идут пинги на 212.х.х.х2 (с сервера или с машинок из сети 195.х.х.х2-14)?

ок, но даже без файервола у меня не работает, я его полностью выключил

с машинок из сети 195.х.х.х2

Похоже на отсутствие форвадинга все же.

cat /proc/sys/net/ipv4/ip_forward - должно выдавать 1

Попробуй еще на всякий случай iptables -P FORWARD ACCEPT

Странно, что соседний интерфейс не пингуется, конечно...

Написали же

ip address show

ip route show

sysctl net.ipv4.ip_forward

iptables-save

А 195.х.х.х1 пингуется, трейсится?

Вобще, ЕМНИП, то если работает

traceroute 195.х.х.х1

то и

traceroute 212.х.х.х2

должен работать независимо от настроек маршрутизации. Единственное, что в iptables в цепочках INPUT или OUTPUT может быть DROP этих пакетов.

eth1 Link encap:Ethernet HWaddr 00:A0:D2:1A:F4:9F
inet addr:195.x.x.4 Bcast:195.x.x.15 Mask:255.255.255.240
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:18
eth3 Link encap:Ethernet HWaddr 00:13:D3:21:C5:0A
inet addr:213.x.x.210 Bcast:213.x.x.211 Mask:255.255.255.252
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:180 (180.0 b)
Interrupt:18 Base address:0x8000


Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
213.x.x.208 0.0.0.0 255.255.255.252 U 0 0 0 eth3
195.x.x.0 0.0.0.0 255.255.255.240 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 213.230.64.209 0.0.0.0 UG 0 0 0 eth3


net.ipv4.ip_forward = 1


# Generated by iptables-save v1.4.6 on Fri Nov 25 09:01:46 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Fri Nov 25 09:01:46 2011

Пожалуйста, помогите разобраться с этой маршрутизацией 2 внешних сетей, никак не получается. Вроде книгу прочитал, вроде все сделал как там написано.
Если я не сделаю до понедельника, то меня выеб.. за это.

Вы дали мне подсказку, но или я слишком плохо знаю основы, или не так делаю.
Просто я не могу реальные адреса выставлять в форуме.

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
inet 127.0.0.2/8 brd 127.255.255.255 scope host secondary lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether c8:3a:35:d9:d6:72 brd ff:ff:ff:ff:ff:ff
inet 10.10.10.250/24 brd 10.10.10.255 scope global eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:a0:d2:1a:f4:9f brd ff:ff:ff:ff:ff:ff
inet 195.x.x.4/28 brd 195.x.x.15 scope global eth1
4: eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
link/ether c8:3a:35:d5:46:75 brd ff:ff:ff:ff:ff:ff
5: eth3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:13:d3:21:c5:0a brd ff:ff:ff:ff:ff:ff
inet 213.x.x.210/30 brd 213.x.x.211 scope global eth3


213.x.x.208/30 dev eth3 proto kernel scope link src 213.x.x.210
195.x.x.0/28 dev eth1 proto kernel scope link src 195.x.x.4
10.10.10.0/24 dev eth0 proto kernel scope link src 10.10.10.250
169.254.0.0/16 dev eth0 scope link
127.0.0.0/8 dev lo scope link
default via 213.x.x.209 dev eth3

С любого клиента за шлюзом пинг до eth1 (195.x.x.4) шлюза есть?

С любого клиента за шлюзом пинг до eth3 (213.x.x.210) шлюза нет?

выруби авахи, он сейчас не нужен. убедись, что клиенты сами не отсеивают icmp-пакеты.

сейчас кабель отключен, на нем интернет прокси висит пока что, поэтому и необходимо задействовать вторую подсеть

я переключаю кабеля в обед и вечером, когда все уходят для тестирования, но ни фига не получается пока

с сервера все пингуется ок, и сеть 213 и сеть 195, и инет

с сети 195 пингуются адрес интерфейсов на серваке 195.х.х.4 и 213.х.х.210, но адрес 213.х.х.209 нет

на клиентах брандмауэр выключил, так как с сервера могу пинговать клиента из сети 195, и наоборот

/etc/init.d/avahi-daemon stop а при перезагрузки эта фигня заново не вылезет?

Я не знаю как оно там в pfsence останавливается :(

chmod -x /etc/init.d/avahi-daemon

Что то я не понял
сделал с другой сети внешней 57.х.х.х
tracert 195.158.9.1
у меня в логах показало, что достигнуто 30 хопов, причем последние 10 прыгали с адреса 195.158.6.145 <-> 195.158.6.146, т.е. друг на друга, но адреса 213.x.x.208/30 нигде не видно.

Разве ответ не должен был прийти с адреса моего шлюза 213? если сеть 195 за ней???

Напиши облсти адресов без скорытий и опиши заново маски подсетей, которые ты используешь. Ты трейсроутил адрес не из подсети которая за сервером но ответ пришел оттуда. Я ничего не понимаю.

Возможно, что провайдер просто не прописал маршруты, или прописал их не везде.

Запустите tcpdump на внешнем интерфейсе на сервере на перехват нужных вам icmp пакетов и смотрите.

tcpdump -i eth1 -n -nn icmp and net 195.0.0.0/8

Если, когда пингуете изнутри ваши icmp эхо-запросы видны, значит пакеты уходят. Если ответных пакетов нет, значит проблема скорее всего провайдере.

Если, когда пингуете снаружи адрес из 195.x.x.x пакеты для этого адреса не приходят на eth1, значит проблема точно в провайдере. Конечно, при условии, что вы правильно записали адрес/маску.

И с сервера должен работать такой ping:

ping -n -I 195.x.x.4 ya.ru

или, аналогично:

traceroute -n -s 195.x.x.4 ya.ru

Тут уже маршрутизация на сервере вобще не используется, просто сервер шлёт пакеты с адресом из 195 сети и они должны уходить и на них должны приходить ответы.

ВСЕМ ОГРОМНОЕ СПАСИБО!

Всем огромное спасибо!!!

Особенно mky и Neoretix!!!

Все заработало, да Вы были правы, проблема в сучарском Провайдере. Никогда не подумал бы, что у пров. работают такие неаккуратные админы.

Зато я научился благодаря помощи mky и Neoretix диагностировать проблему.

mky и Neoretix - вам отдельное спасибо, будете в Узбекистане, позвоните, вы будете моими гостями.

Можете меня найти по агенту hika@bk.ru и скайпу hikauz.

Через 2-3 дня я напишу инструкцию - как я все выполнил, чтобы другие не парились как я и выставлю на этом форуме.

Очень прошу всех, если там будут ошибки, помогите мне это отредактировать потом, чтобы мирные люди вроде меня не страдали.

P.S.

Все таки я устный выговор получил, но хотя бы не лишился премии, так как смог доказать что вина не моя, и показал распечатку с этого форума шефу. Таким образом, форум www.linux.org.ru помог мне в работе.

Спасибо всем.