nat на iptables

Как организована сеть, как на схеме?

Или все системы подключены к одному физическому каналу?

В виртуальных машинах выставлены сетевые адаптеры мосты. Если делать пинг внутри сети, то узлы доступны, например с 192.168.10.2 пинг до 192.168.10.3 проходит (но до 192.168.11.2 уже нет). Вот пример настройки одной из клиентских вм (enp0s3):

IPADDR=192.168.10.2
NETMASK=255.255.255.128
GATEWAY=192.168.10.1

А вот вм из другой сети:

IPADDR=192.168.11.2
NETMASK=255.255.255.192
GATEWAY=192.168.11.1

Сеть организована как на схеме - 6 ВМ, 2 из них - МЭ (шлюзы)

При такой схеме

-----------------                   ------------------
  Сеть 1                                     Сеть 2
ВМ1 --- |                                   | --- ВМ5
        |                                   |
        |--- ВМ3 ----- Сеть 3 ----- ВМ4 --- |
        |                                   |
ВМ1 --- |                                   | --- ВМ6

Далее, если IP адреса шлюзов в сети 3 имеют IP адрес 1 и 2, то на шлюзе ВМ3 нужно прописать маршрут:

ip r a Сеть2/16 via сеть3.2

ip r a Сеть1/16 via сеть3.1

echo 1 > /proc/sys/net/ipv4/ip_forward

Спасибо вам большое за детальное пояснение и углубление в проблему! Да все верно, для вм3 и вм4 как у вас на схеме я добавил по два сетевых адаптера.

Почему у вас в команде маска 16?

Должна быть 24, неправильно написал.

По вашей схеме: вм3: enp0s3

IPADDR=192.168.10.1
NETMASK=255.255.255.128

enp0s8

IPADDR=10.10.0.1
NETMASK=255.255.255.128

вм4:

enp0s3

IPADDR=192.168.11.1
NETMASK=255.255.255.192

enp0s8

IPADDR=10.10.0.2
NETMASK=255.255.255.192

Правильно ли будет настройка вот такой командой:

вм3:

ip route add 10.10.0.2/16 via 10.10.0.1

вм4:

ip route add 10.10.0.1/16 via 10.10.0.2

?

Анонимус, как с вами можно связаться и поблагодарить вас за потраченное время?

вм3:

ip route add 192.168.11.0/26 via 10.10.0.2

ip route add 192.168.10.0/25 via 10.10.0.1

Блин( На эти команды выводит:

network is unreachable

10.0.0.1 и 10.0.0.2 пингуют сами себя?

Выстави маски 24 и 255.255.255 и в командах тоже.

Интерфейсы из сети 10.10.0.0 подняты когда ты добавляешь маршруты?

Да,через ip addr показывает их

Маски выставить для шлюзов обоих только? для клиентов не менять?

Из 10.10.0.1 пинг до 10.10.0.2 не доходит Соответственно наоборот тоже (

Они подняты или нет?

С 10.10.0.1 пингуется 10.10.0.2 и обратно или нет?

В ip addr показывается что назначены IP адреса и состояние интерфейса.

Сделай что б доходило, удостоверься что они подключены к одному физическому каналу.

И подними интерфейсы, если они опущены:

ip l s up dev имя_интерфейса

Оба интерфейса подняты, но пинг так и не проходит( шлюзы не видят друг, друга(

с 10.10.0.1 до 10.10.0.2 не проходит

Значит они подключены к разным каналам передачи данных, удостоверься что ты сделал bridge, если они в bridge режиме к правильным адаптерам.

В общем, если они подняты и не пингуются, то либо ты намудрил с правилами iptables, либо сейчас нет прямой связи по проводам, пусть и виртуальным между интерфейсами на которых назначены IP адреса из сети 10.10.0.0.

Разбирайся что бы видели.

Спасибо за помощь, приятно встретить таких людей как вы! Да, буду разбираться дальше сам

Сделайте на роутерах так:

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p icmp -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 nat FORWARD 0 -p icmp -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
sudo systemctl restart firewalld.service

ping -I enp0s8 10.10.0.1

Простите, но я уже полностью отключал firewalld(

systemctl disable firewalld
systemctl stop firewalld

Ну как бы обратно тоже две строчки включают. Без него пинги ходят?

И правильно, перезагрузись что бы очистились созданные ими правила.

И покажи после перезагрузки вывод

iptables-save

Зачем его включать?

А так, обмен пакетами пойдёт с интерфейса, где есть connected сеть, т.е. таже самая сеть, в которую пойдёт пакет.

iptables пустой, вычищал командами

iptables -F
iptables -X
iptables -t nat -F

После выключения firewalld так же нет пинга(

После ping -I enp0s8 10.10.0.1 что показывает sudo arp -a? Как организована сеть в гипервизоре?

После ping -I enp0s8 10.10.0.1

Понимаешь, если в системе есть два интерфейса, например eth0 с ip адресом 192.168.0.2 и eth1 с адресом 10.10.0.2, то при ping 10.10.0.1 пинг пойдёт как раз таки с интерфейса eth1, потому что на интерфейсе eth1 есть та же самая сеть, пакеты в которую адресованы. Указывать в этом случае -I eth1 не нужно. Это правило маршрутизации.

А вот выполнить от имени root

arping 10.10.0.1

На ping ничего не происходит, на arping тоже

sudo arp -a нет команды в CentOS (

Сеть организована так - 4 вм с одним сетевым адаптером с типом мост и 2 вм с двумя адаптерами типа мост. Это единственное, что бы настроено в VirualBox.

В рамках своей сети машины видят друг друга, но дальше своих шлюзов нет.

sudo arp -a нет команды в CentOS

покажите ip neigh тогда

4 вм с одним сетевым адаптером с типом мост и 2 вм с двумя адаптерами типа мост

Покажи скриншоты настройки виртуальных сетевых адаптеров из свойств VirtualBox.

В рамках своей сети машины видят друг друга, но дальше своих шлюзов нет.

Потому что шлюзы друг друга не видят!!!

шлюз1

пусто

шлюх2

192.168.10.3 dev enp0s8 lladdr 08:00:27:63:e3:94 STABLE
192.168.10.1 dev enp0s8 lladdr 08:00:27:f4:1b:f3 STABLE
10.10.0.1 dev enp0s8 lladdr 08:00:27:fe:dc:49 STABLE
192.168.10.3 dev enp0s8 lladdr 08:00:27:81:12:65 STABLE

https://i.ibb.co/mq3Ycp5/Screenshot-1.png

https://i.ibb.co/TrGdrr4/Screenshot-2.png

Слушайте, а я когда создавал ВМ, я ведь вначале только одну создал, а остальные породил клонированием через VirualBox, но при этом поставил галочку на генерации новых MAC-адресов Может в этом быть дело?

Физичечкий интерфейс в хост системе один или несколько?

С машин за шлюзами сами шлюзы пингуются?

1. Один

2. Шлюзы видят друг друга только в своей сети, напр со 192.168.10.2 до 192.168.10.3 пинг идет

Мак адреса на интерфейсах с IP адресами из сети 10.10.0.0 точно разные?

Да, точно

Тогда должно работать.

Проверь что настройки виртуальных адаптеров точно правильные и везде стоит мост.

шлюз1 пусто

Если этот шлюз хотя бы раз успешно пинговался (пусть даже из 11 подсети) то пусто быть не может.