LINUX.ORG.RU

Базовая настройка машины с двумя NIC. Не проходят ICMP из-под LAN.

 ,


0

1

Здравствуйте!

Установлены 2 NIC: один в сторону внешней сети (internet), второй в сторону LAN. Linux является шлюзом для LAN. Проблема в том, что я не могу потрогать внешний шлюз (и все, что за ним) из LAN сети. Это лаба в GNS3. Сетевая часть работает, т.к. при замене Linux на любой роутер все взлетает. Проблема в настройках Linux, где именно понять не могу, т.к. опыта немного. Прошу помочь разобраться. Такое ощущение, что интерфейсы по-умолчанию работают в разных инстансах и не используют одну таблицу маршрутизации, иначе непонятно, почему ICMP из LAN сегмента не улетают сюда: default via 10.10.10.254 dev eth0 onlink.

Топология

Раскомментил net.ipv4.ip_forward=1 в /etc/sysctl.conf. Ребутнул. Результат тот же.


UPD После танцев с бубнами поменял в GNS3 Cisco 3745 на 7200 и все взлетело само. Потом поставил обратно 7200 и все так же работает. Удивительное рядом. С GNS3 и раньше были глюки, но таким явным косяком сталкиваюсь впервые.

R1#traceroute 8.8.8.8

Type escape sequence to abort. Tracing the route to 8.8.8.8

1 11.11.11.254 64 msec 36 msec 60 msec

2 10.10.10.254 60 msec 60 msec 64 msec

3 192.168.247.2 88 msec 88 msec 92 msec

Благодарю Zolden за участие.

Всем спасибо!



Последнее исправление: Podranok (всего исправлений: 10)

Ответ на: комментарий от zolden

root@kali:~# ip r

default via 10.10.10.254 dev eth0 onlink

10.10.10.0/24 dev eth0 proto kernel scope link src 10.10.10.2

11.11.11.0/24 dev eth1 proto kernel scope link src 11.11.11.254

root@kali:~# ip r g 8.8.8.8

8.8.8.8 via 10.10.10.254 dev eth0 src 10.10.10.2 uid 0 cache

root@kali:~# ip ru

0: from all lookup local

32766: from all lookup main

32767: from all lookup default

root@kali:~# ip -br a

lo UNKNOWN 127.0.0.1/8 ::1/128

eth0 UP 10.10.10.2/24 fe80::20c:29ff:fed1:bcf2/64

eth1 UP 11.11.11.254/24 fe80::20c:29ff:fed1:bcfc/64

root@kali:~# iptables-save

Generated by xtables-save v1.8.3 on Fri Feb 21 21:25:33 2020

*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT

Completed on Fri Feb 21 21:25:33 2020

Podranok
() автор топика
Ответ на: комментарий от Zhbert

Не Kali на роутере, а Kali в роли роутера с двумя интерфейсами. Kali вообще не причем, пробовал на CentOS-8-x86_64-1905-1 результат тот же.

Podranok
() автор топика
Ответ на: комментарий от Podranok

не могу потрогать внешний шлюз

Это вывод со шлюза в LAN, выше которого стоит другой («внешний») шлюз(10.10.10.254) в интернет, который не могут пинговать другие хосты(из 10.10.10.0/24).
Так?

zolden ★★★★★
()
Ответ на: комментарий от zolden

Хосты из 10.10.10.0/24 спокойно пользуются «внешним» и выходят в инет. Хосты из 11.11.11.0/24 - нет. Они не видят 10.10.10.254 и все, что за ним. Задача состоит в том, чтобы сервер, имея 2 сетевых адаптера, использовал первый адаптер, как шлюз по умолчанию, если пакеты инициированны из сети 11.11.11.0/24. Я с хоста 11.11.11.2 могу достучаться до 10.10.10.2, но не могу до «внешнего» шлюза 10.10.10.254.

PS. Ситуация, при которой на сервере 2 сетевых адаптера и 2 шлюза - противоположна моей. В моём случае сервер является шлюзом для LAN. Это лабораторный стенд, в продакшне я бы такого не сделал никогда.

Podranok
() автор топика
Ответ на: комментарий от Podranok

Для начала нужно смотреть таблицу маршрутизации и ACL на 10.10.10.254, очевидно, на нём должен быть обратный маршрут в 11.11.11.0/24

zolden ★★★★★
()
Ответ на: комментарий от zolden

Разумеется, он есть.

11.0.0.0/24 is subnetted, 1 subnets

S 11.11.11.0 is directly connected, FastEthernet0/1

ACL не причем, он для выборки подсети для PAT.

Gateway#show access-lists

Standard IP access list 1

10 permit any (107 matches)

Все, что за шлюзом, тот же 8.8.8.8 в данном случае не важно, т.к.была бы проблема сторонних железок и настроек на них. Мне важно увидеть 10.10.10.254 из 11.11.11.0/24 сети

Podranok
() автор топика

Пожалуйста, не используй больше imgur.

https://i.imgur.com/ogkERS9.png

Вот эти, с первого взгляда нормальные прямые ссылки, для тебя прямые, а для других выглядят как говно напичканное рекламой...

swarnk ★★
()
Ответ на: комментарий от swarnk

А напрямую картинки нельзя загрузить? Чем тут пользуются для этого?

Еще спойлер в Markdown не работает с 3> и 3<.

Podranok
() автор топика
Ответ на: комментарий от zolden

root@kali:~# cat /proc/sys/net/ipv4/ip_forward 1

Я выше писал, что раскомментил net.ipv4.ip_forward=1 в /etc/sysctl.conf. Ребутнул. Результат тот же.

Podranok
() автор топика
Ответ на: комментарий от Podranok

Напрямую на LOR? Нет, нельзя.

Ну к примеру 0x0.st

Я, если честно, не знаю почему очень многие здесь лепят этот богомерзкий imgur…

Вот как выглядит твоя прямая ссылка на телефоне…

https://i.ibb.co/9bPfyRq/Screenshot-2020-02-22-10-06-32.jpg

Собственно скриншот и ещё три экрана всякой херни…

swarnk ★★
()
Последнее исправление: swarnk (всего исправлений: 1)
Ответ на: комментарий от zolden

root@kali:~# ping -I eth1 10.10.10.254 | tcpdump -i eth1

listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes

13:31:51.175906 ARP, Request who-has 10.10.10.254 tell 11.11.11.254, length 28

13:31:52.200579 ARP, Request who-has 10.10.10.254 tell 11.11.11.254, length 28

и т.д.

Eth1 в упор не видит default gateway.

На роутер во внешнюю сеть с Linux сервера во время сессии с eth1 ничего не прилетает. C eth0 все ровно.

В винде есть аналог Internet Connection Sharing: Allow other user’s to connect through this computer’s internet connection. Позволяет воткнуть сколько угодно сетевых адаптеров и использовать один для выхода в WAN. В Linux, если я правильно понимаю, аналог тут:

/etc/NetworkManager/system-connections/

interface-name=eth1

[ipv4] never-default=true

Что интересно, ICMP до внешнего адпаптера из локальной сети работает.

R1#ping 10.10.10.2 source 11.11.11.2

Success rate is 100 percent (5/5), round-trip min/avg/max = 60/78/92 ms

Podranok
() автор топика
Ответ на: комментарий от zolden

Разобрался. Глюк в GNS3. Cпасибо за участие!

Podranok
() автор топика
Ответ на: комментарий от swarnk

«это у тебя что-то» :) — на компе эта https://i.imgur.com/ogkERS9.png выглядит именно, как одна картинка без всей той чепухи, что добавилась тебе в телефоне.

=====
можешь не отвечать, я просто мимокрокодил ))

anonymous
()
Ответ на: комментарий от anonymous

Хостинг картинок, пихающий рекламу в зависимости от UA, IP или по другим критериям есть дерьмо.

Imgur - дерьмо. Пример нормального хостинга 0x0.st

swarnk ★★
()
Ответ на: комментарий от swarnk

Хостинг картинок, пихающий рекламу в зависимости от UA, IP или по другим критериям есть дерьмо.

+++

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.