LINUX.ORG.RU
ФорумGeneral

Шлюз на CentOS и раздача белых IP внутрь

 , , , ,


1

2

ситуация такая. Поменялся тип подключения с ПППоЕ на IPoE (DHCP) и начались проблемы. Суть в следующем: - Провайдер дает сетку /29 IP адресов внешнних на один из договоров. - Приходят эти IP адреса поверх динамического IP адреса на интерфейсе этой сетевой Нужно эти IP адреса раздать внутрь сети (все настроено) и, чтоб машины ходили с внешниками.

eth1.10 - сеть провайдера, динамический ip адрес eth2 - внутренняя сеть

на eth1.10 висит dhcp clien на eth2 висит dhcpd сервер, карта вручную имеет статический ip адрес, вбитый руками

Машины внутри сети сейчас при попытки выйти в инет получают отлуп «Заданная сеть недоступна» 

213.141.136.200/29 dev eth2  proto kernel  scope link  src 213.141.136.201
213.141.128.0/19 dev eth0.10  proto kernel  scope link  src 213.141.131.88
176.77.0.0/17 dev eth1.10  proto kernel  scope link  src 176.77.82.117
default via 176.77.0.1 dev eth1.10

Сама маршрутизация

ip forwarding разрешен arp proxy для eth1.10 и eth2 включен

iptables

-A INPUT -p ipv6 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -s 114.80.0.0/12 -j DROP
-A FORWARD -i eth1.10 -o eth2 -j ACCEPT
-A FORWARD -i eth2 -o eth1.10 -j ACCEPT
-A OUTPUT -p ipv6 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
213.141.136.200 0.0.0.0         255.255.255.248 U         0 0          0 eth2
213.141.128.0   0.0.0.0         255.255.224.0   U         0 0          0 eth0.10
176.77.0.0      0.0.0.0         255.255.128.0   U         0 0          0 eth1.10
0.0.0.0         176.77.0.1      0.0.0.0         UG        0 0          0 eth1.10

В какую сторону смотреть?


Ребят подскажите по поводу SPF записи для домена
Прокси доступный из интернета
Ответ на: комментарий от Deleted

Так оно у меня и ходит в vlan 10

Дело в том, что на провайдера смотрит 2 сети 213.141.131.88 и интерфейс с динамическим IP Для обоих интерфейсов шлюз может меняться в зависимости от сессии...

Как понимаю, у меня пока нет толкового роутинга между сетью

213.141.136.200/29 (внутри локалки) и внешним интерфейсом eth1.10 (который получает при каждой новой сессии новый IP..., причем шлюз так же разный)

Foxeh
() автор топика

Долго пытался понять что ты тут понаписал, но не смог, честно говоря.
Вроде бы клиент с белым адресом не может выйти в интернет.
С клиента покажи
ip a
ip r
ip r g 8.8.8.8

С шлюза... тоже самое

zolden ★★★★★
()
Ответ на: комментарий от zolden

ip a 

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP ql                                      en 1000
    link/ether 68:05:ca:0e:d2:90 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::6a05:caff:fe0e:d290/64 scope link
       valid_lft forever preferred_lft forever
3: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP ql                                      en 1000
    link/ether 68:05:ca:0e:d2:94 brd ff:ff:ff:ff:ff:ff
    inet 213.141.136.201/29 brd 213.141.136.207 scope global eth2
    inet6 2002:d58d:88c9::2/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::6a05:caff:fe0e:d294/64 scope link
       valid_lft forever preferred_lft forever
4: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP ql                                      en 1000
    link/ether 00:19:d1:06:e2:3c brd ff:ff:ff:ff:ff:ff
    inet6 fe80::219:d1ff:fe06:e23c/64 scope link
       valid_lft forever preferred_lft forever
5: sit0: <NOARP> mtu 1480 qdisc noop state DOWN
    link/sit 0.0.0.0 brd 0.0.0.0
18: tun6to4: <NOARP,UP,LOWER_UP> mtu 1480 qdisc noqueue state UNKNOWN
    link/sit 213.141.136.201 brd 0.0.0.0
    inet6 2002:d58d:87c9::1/16 scope global
       valid_lft forever preferred_lft forever
19: eth0.10@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state                                       UP
    link/ether 00:19:d1:06:e2:3c brd ff:ff:ff:ff:ff:ff
    inet 213.141.131.88/19 brd 213.141.159.255 scope global eth0.10
    inet6 fe80::219:d1ff:fe06:e23c/64 scope link
       valid_lft forever preferred_lft forever
20: eth1.10@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state                                       UP
    link/ether 68:05:ca:0e:d2:90 brd ff:ff:ff:ff:ff:ff
    inet 176.77.74.235/17 brd 176.77.127.255 scope global eth1.10
    inet6 fe80::6a05:caff:fe0e:d290/64 scope link
       valid_lft forever preferred_lft forever

ip r 

213.141.136.200/29 dev eth2  proto kernel  scope link  src 213.141.136.201
213.141.128.0/19 dev eth0.10  proto kernel  scope link  src 213.141.131.88
176.77.0.0/17 dev eth1.10  proto kernel  scope link  src 176.77.74.235
default via 176.77.0.1 dev eth1.10
default via 176.77.0.1 dev eth1.10  metric 1

ip r g 8.8.8.8 

8.8.8.8 via 176.77.0.1 dev eth1.10  src 176.77.74.235
    cache  mtu 1500 advmss 1460 hoplimit 64

Клиенты... увы не могу, ибо машины все внутри сети - винда

Если трассировать снаружи к машинам внутри сети, то будет так 

Трассировка маршрута к slyfox.vyiffe.ru [213.141.136.202]
с максимальным числом прыжков 30:

  1     1 ms     1 ms     1 ms  192.168.1.1
  2     3 ms     2 ms     2 ms  10.183.128.1
  3     2 ms     1 ms     1 ms  213.85.211.145
  4     3 ms     3 ms     3 ms  213.85.208.161
  5     3 ms     4 ms     3 ms  213.85.208.250
  6    12 ms     5 ms     3 ms  msk-r1-b7-xe-3-3-0-0.ti.ru [212.1.242.173]
  7     3 ms     4 ms     3 ms  212.1.251.34
  8     3 ms     3 ms     3 ms  212.1.236.50
  9     5 ms     5 ms     5 ms  ip-176-77-74-235.bb.netbynet.ru [176.77.74.235]

 10  ip-176-77-74-235.bb.netbynet.ru [176.77.74.235]  сообщает: Заданный узел не
доступен.

Трассировка завершена.

Foxeh
() автор топика
Ответ на: комментарий от Foxeh

ладно, к чёрту нюансы, но таблицу маршрутизации и адреса на интерфейсах клиента надо посмотреть то, route print -4 и ipconfig там, вот это всё...

zolden ★★★★★
()
Ответ на: комментарий от zolden 
===========================================================================
Список интерфейсов
  4...0c c4 7a 00 d0 70 ......Сетевое подключение Intel(R) 82579LM Gigabit
  2...68 05 ca 0e d2 90 ......Сетевое подключение Intel(R) 82574L Gigabit
  1...........................Software Loopback Interface 1
  5...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
  8...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0  213.141.136.201  213.141.136.203     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  213.141.136.200  255.255.255.248         On-link   213.141.136.203    276
  213.141.136.203  255.255.255.255         On-link   213.141.136.203    276
  213.141.136.207  255.255.255.255         On-link   213.141.136.203    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link   213.141.136.203    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link   213.141.136.203    276
===========================================================================
Постоянные маршруты:
  Отсутствует

Ethernet adapter Ethernet:

DNS-суффикс подключения . . . . . : vyiffe.ru IPv6-адрес. . . . . . . . . . . . : 2002:d58d:88c9::c00c:e336 Локальный IPv6-адрес канала . . . : fe80::edf2:60f3:1e39:39cb%2 IPv4-адрес. . . . . . . . . . . . : 213.141.136.203 Маска подсети . . . . . . . . . . : 255.255.255.248 Основной шлюз. . . . . . . . . : fe80::6a05:caff:fe0e:d294%2 213.141.136.201

Туннельный адаптер isatap.vyiffe.ru:

Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : vyiffe.ru

Туннельный адаптер Подключение по локальной сети* 4:

Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . :

Foxeh
() автор топика
Ответ на: комментарий от zolden

Похоже, косяк у провайдера 

  3.654885  77.41.43.32 -> 213.141.136.204 ICMP 74 Echo (ping) request  id=0x0001, seq=3524/50189, ttl=120
  3.655290 213.141.136.204 -> 77.41.43.32  ICMP 74 Echo (ping) reply    id=0x0001, seq=3524/50189, ttl=63
  4.460875 D-LinkIn_86:b8:35 -> Ethernet-Configuration-Test-protocol-(Loopback) LOOP 60 Unknown function (256)
  5.183438 SmdInfor_ba:a3:92 -> Broadcast    ARP 60 Who has 10.53.8.226?  Tell 0.0.0.0

Foxeh
() автор топика
Ответ на: комментарий от slamd64

Тоесть, независимо от того, что все айпи адреса (внутри и снаружи) - реальные-белые?

И еще, как правильно сделать маршрутизацию для сетей?

eth2 = 213.141.136.201 и рулит внутрь сетку 213.141.136.200/29 eth0.10 = 213.141.131.88/32 и должен отвечать только на запросы на этот айпи eth1.10 = любой динамически, но выпускает в интернет всю сетку. Тоесть шлюз.

Если пишу вот так, то внутренняя сеть не может попасть на 213.141.136.201

route add table NBN_Connect dev eth1.10
rule add from 213.141.136.200/29 table NBN_Connect pref 200
rule add to 213.141.136.200/29 table NBN_Connect pref 200

для второй сетевки 

route add table NBN_Static dev eth0.10
rule add from 213.141.131.88 table NBN_Static
rule add to 213.141.131.88 table NBN_Static

Foxeh
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Ребят подскажите по поводу SPF записи для домена
General
Прокси доступный из интернета