проблема с маршрутизацией, потери пакетов
-
Добрый день!
Есть маршрутизатор с выходом в интернет, PFSENSE 2.6 , 2 WAN (WAN, TTK), LAN (192.168.20.254)
Есть L3 коммутатор eltex mes2348b, на нем нарезаны 2 VLAN 70 и 50 (192.168.70.0/24 и 192.168.50.0/24 со шлюзами 192.168.70.1/24 и 192.168.50.1/24 соответственно). На VLAN-ах включен relay 192.168.21.3. На VLAN1 (192.168.20.1/23). Шлюз по умолчанию 192.168.20.254 (LAN). Маршрутизация между VLAN50 и VLAN70 настроена на L3 коммутаторе, а маршрутизация между VLAN50, 70 и подсетью 192.168.20.0/23 настроена на PFSENSE. В подсети 192.168.20.0/23 все сервера и часть рабочих станций, один из них контроллер домена, DNS и DHCP (192.168.23.1/23).
Проблема заключается в том, что когда пингую из подсетей 192.168.50.0/24 (VLAN50) и 192.168.70.0/24 (VLAN70) подсеть 192.168.20.0/23 (любой хост, например 192.168.21.3), происходит потеря пакетов, в обратную сторону нет потерь. Но стоит мне прописать статические маршруты на этих хостах в 20 подсети
(route ADD 192.168.70.0 MASK 255.255.255.0 192.168.20.1
route ADD 192.168.50.0 MASK 255.255.255.0 192.168.20.1) , то потеря пакетов прекращается, почему не срабатывает маршрутизация в эти подсети на PFSENSE?Скриншоты прилагаю.
-
Добавлю маршрутизацию на коммутаторе L3 и то что происходит на 192.168.21.3 (WireShark)
-
@legsedel
Здравствуйте
Попробуйте представить путь пакета туда и обратно в первом случаеСмотрите , что происходит
Туда ( хост 192.168.21.3 ничего не знает про сеть 50.0/24)
192.168.50.163 ->192.168.50.1->192.168.20.1->192.168.21.3
Обратно
192.168.21.3->192.168.20.254->192.168.20.1->192.168.50.1->192.168.50.163Ничего странного не находите ????
Поэтому сразу понятно , почему при добавлении стат маршрута нет проблем .....В простонародье это называется "асимметричная маршрутизация"
Используйте исходящий Нат на интерфейсе 192.168.20.1 и будет Ваша проблема решена -
Добрый день!
Да, я вижу, что пакеты туда и обратно ходят разными путями.
Исходящий НАТ на интерфейсе 192.168.20.1 не могу сделать, так как это коммутатор L3 (mes2348b), да и зачем внутри сети городить 2-й НАТ?
Уже стоял НАТ внутри сети, только избавились от него.
Другой способ выровнять маршрутизацию есть? Как узнать хостам из подсети 192.168.20.0/23 о подсетях 50.0/24 и 70,0/24, не прописывая статические маршруты? -
@legsedel
посмотрите тут
https://docs.netgate.com/pfsense/en/latest/troubleshooting/asymmetric-routing.htmlМожет быть это решение подойдет .....
или .....как вариант ( если у Вас ip адреса хосты получают по dhcp, то есть опция, которая передает статические маршруты )Но, по-моему, самый простой путь это, чтобы хосты получали пакеты от 192.168.20.1 ( просто и эффективно)
или
отказаться от L3 на коммутаторе , сделать L2 + транковый порт до PF ( и пусть pf маршрутизирует весь трафик) -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
посмотрите тут
https://docs.netgate.com/pfsense/en/latest/troubleshooting/asymmetric-routing.htmlУ меня галочка стоит , поэтому это не подойдет.
@Konstanti said in проблема с маршрутизацией, потери пакетов:
или .....как вариант ( если у Вас ip адреса хосты получают по dhcp, то есть опция, которая передает статические маршруты )
Какая опция передает статические маршруты, не помните?
@Konstanti said in проблема с маршрутизацией, потери пакетов:
или
отказаться от L3 на коммутаторе , сделать L2 + транковый порт до PF ( и пусть pf маршрутизирует весь трафик)Ну это вариант уже "Роутер на палочке" (Router-on-a-Stick), зачем его использовать когда есть L3 коммутатор?
Может еще есть варианты? Схема сети же совсем простая.......
-
https://forum.netgate.com/topic/141005/dhcp-classless-static-route-option-resuelto?_=1614104874229
тут посмотрите
это на испанском , я переписывался по этому поводу -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
https://forum.netgate.com/topic/141005/dhcp-classless-static-route-option-resuelto?_=1614104874229
тут посмотрите
это на испанском , я переписывался по этому поводуУ меня DHCP сервер на windows server 2016, как я понимаю, опция должна стоять со стороны релея на L3 коммутаторе Option 249, Option 121?
-
This post is deleted! -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
.....как вариант ( если у Вас ip адреса хосты получают по dhcp, то есть опция, которая передает статические маршруты )
Хотя, как вы сами писали, хосты в 50.0/24 и 70.0/24 знают о подсети 20.0/23, зачем им передавать статические маршруты по dhcp.
Вот как узнает подсеть 20.0/23 о других подсетях, ей по хорошему, надо получить на автомате статический маршрут, так же по dhcp!?@Konstanti said in проблема с маршрутизацией, потери пакетов:
Но, по-моему, самый простой путь это, чтобы хосты получали пакеты от 192.168.20.1 ( просто и эффективно)
Как это сделать?
-
1 50.0 и 70.0 ничего не нужно знать о других сетях ( для этого у них есть шлюз) - им ничего передавать не надо
2 NAT исходящий на интерфейсе 20.1 (тогда хостам в сети 20.0 ничего не надо знать о сетях 50.0 и 70.0 ) Они пакеты будут отправлять обратно на 20.1 -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
1 50.0 и 70.0 ничего не нужно знать о других сетях ( для этого у них есть шлюз) - им ничего передавать не надо
2 NAT исходящий на интерфейсе 20.1 (тогда хостам в сети 20.0 ничего не надо знать о сетях 50.0 и 70.0 ) Они пакеты будут отправлять обратно на 20.1Единственным, приемлемым решением будет получать по dhcp хостам в подсети 20.0/23 статические маршруты Option по 249, Option 121? Хосты все на винде в основном.
А что делать с хостами, у которых ip статические? -
@legsedel
Родилась одна идея , к каким хостам из 20.0/23 нужен доступ из 50.0/24 и 70.0/24 ? -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
Родилась одна идея , к каким хостам из 20.0/23 нужен доступ из 50.0/24 и 70.0/24 ?
Ну это в основном сервера: 1C, SQL сервера, 2 домена, файловые сервера, СКУД. почтовый сервер, NAS, телефония. Порядка 15 серверов.
К обычным хостам из 20.0/23 доступ не нужен. -
@legsedel
Вообще-то , я имел в виду IP адреса ....
p.s. появилась еще одна идея .... -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
Вообще-то , я имел в виду IP адреса ....
p.s. появилась еще одна идея ....192.168.20.2, 192.168.21.3, 192.168.20.128, 192.168.21.1, 192.168.20.20, 192.168.20.236, 192.168.20.6, 192.168.20.51, 192.168.21.4, 192.168.20.54, 192.168.21.200, 192.168.21.2
-
@legsedel
понятно
1 идея была в том , чтобы все сервера перенести в адресное пространство 192.168.21.0/24
и настроить l3 коммутатор так , чтобы он знал только о сети 192.168.20.0/24 (а pf знает о сети 192.168.20.0/23)
в этом случае, при доступе к ресурсам сети 192.168.21.0/24 -> L3 коммутатор шлет весь трафик на pf ( а тот уже дальше)идея 2
L3 коммутатор <-> PF соединить выделенной отдельной сетью ( например , 192.168.30.0/24 )
тогда l3 коммутатор ничего не будет знать о сети 192.168.20.0/23 и будет все пакеты слать на pF , а тот уже , в свою очередь , дальше переправлять трафик , куда надо -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
1 идея была в том , чтобы все сервера перенести в адресное пространство 192.168.21.0/24
и настроить l3 коммутатор так , чтобы он знал только о сети 192.168.20.0/24 (а pf знает о сети 192.168.20.0/23)
в этом случае, при доступе к ресурсам сети 192.168.21.0/24 -> L3 коммутатор шлет весь трафик на pf ( а тот уже дальше)Этот вариант не подходит.
@Konstanti said in проблема с маршрутизацией, потери пакетов:
идея 2
L3 коммутатор <-> PF соединить выделенной отдельной сетью ( например , 192.168.30.0/24 )
тогда l3 коммутатор ничего не будет знать о сети 192.168.20.0/23 и будет все пакеты слать на pF , а тот уже , в свою очередь , дальше переправлять трафик , куда надоэто еще одну сетевую карту надо задействовать на PF?
А может использовать динамическую маршрутизацию?
-
@legsedel Vlan ( транковый порт)
Vlan 100 (L3-L2)
Транк L2-PF ( 100 + vlan на сеть 20.0/23) -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
Vlan ( транковый порт)
Vlan 100 (L3-L2)
Транк L2-PF ( 100 + vlan на сеть 20.0/23)Саб интерфейс городить....мдя, как-то все через одно место получается
