проблема с маршрутизацией, потери пакетов

legsedel

Добавлю маршрутизацию на коммутаторе L3 и то что происходит на 192.168.21.3 (WireShark)
маршруты на L3 коммутаторе.png
редиректы3.png

Konstanti

@legsedel
Здравствуйте
Попробуйте представить путь пакета туда и обратно в первом случае

Смотрите , что происходит
Туда ( хост 192.168.21.3 ничего не знает про сеть 50.0/24)
192.168.50.163 ->192.168.50.1->192.168.20.1->192.168.21.3
Обратно
192.168.21.3->192.168.20.254->192.168.20.1->192.168.50.1->192.168.50.163

Ничего странного не находите ????
Поэтому сразу понятно , почему при добавлении стат маршрута нет проблем .....

В простонародье это называется "асимметричная маршрутизация"
Используйте исходящий Нат на интерфейсе 192.168.20.1 и будет Ваша проблема решена

legsedel

@Konstanti

Добрый день!

Да, я вижу, что пакеты туда и обратно ходят разными путями.
Исходящий НАТ на интерфейсе 192.168.20.1 не могу сделать, так как это коммутатор L3 (mes2348b), да и зачем внутри сети городить 2-й НАТ?
Уже стоял НАТ внутри сети, только избавились от него.
Другой способ выровнять маршрутизацию есть? Как узнать хостам из подсети 192.168.20.0/23 о подсетях 50.0/24 и 70,0/24, не прописывая статические маршруты?

Konstanti

@legsedel
посмотрите тут
https://docs.netgate.com/pfsense/en/latest/troubleshooting/asymmetric-routing.html

Может быть это решение подойдет .....
или .....как вариант ( если у Вас ip адреса хосты получают по dhcp, то есть опция, которая передает статические маршруты )

Но, по-моему, самый простой путь это, чтобы хосты получали пакеты от 192.168.20.1 ( просто и эффективно)

или
отказаться от L3 на коммутаторе , сделать L2 + транковый порт до PF ( и пусть pf маршрутизирует весь трафик)

legsedel

@Konstanti said in проблема с маршрутизацией, потери пакетов:

посмотрите тут
https://docs.netgate.com/pfsense/en/latest/troubleshooting/asymmetric-routing.html

У меня галочка стоит , поэтому это не подойдет.
обход правил.png

@Konstanti said in проблема с маршрутизацией, потери пакетов:

или .....как вариант ( если у Вас ip адреса хосты получают по dhcp, то есть опция, которая передает статические маршруты )

Какая опция передает статические маршруты, не помните?

@Konstanti said in проблема с маршрутизацией, потери пакетов:

или
отказаться от L3 на коммутаторе , сделать L2 + транковый порт до PF ( и пусть pf маршрутизирует весь трафик)

Ну это вариант уже "Роутер на палочке" (Router-on-a-Stick), зачем его использовать когда есть L3 коммутатор?

Может еще есть варианты? Схема сети же совсем простая.......

Konstanti

@legsedel

https://forum.netgate.com/topic/141005/dhcp-classless-static-route-option-resuelto?_=1614104874229

тут посмотрите
это на испанском , я переписывался по этому поводу

legsedel

@Konstanti said in проблема с маршрутизацией, потери пакетов:

https://forum.netgate.com/topic/141005/dhcp-classless-static-route-option-resuelto?_=1614104874229

тут посмотрите
это на испанском , я переписывался по этому поводу

У меня DHCP сервер на windows server 2016, как я понимаю, опция должна стоять со стороны релея на L3 коммутаторе Option 249, Option 121?

Konstanti

This post is deleted!

legsedel

@Konstanti said in проблема с маршрутизацией, потери пакетов:

.....как вариант ( если у Вас ip адреса хосты получают по dhcp, то есть опция, которая передает статические маршруты )

Хотя, как вы сами писали, хосты в 50.0/24 и 70.0/24 знают о подсети 20.0/23, зачем им передавать статические маршруты по dhcp.
Вот как узнает подсеть 20.0/23 о других подсетях, ей по хорошему, надо получить на автомате статический маршрут, так же по dhcp!?

@Konstanti said in проблема с маршрутизацией, потери пакетов:

Но, по-моему, самый простой путь это, чтобы хосты получали пакеты от 192.168.20.1 ( просто и эффективно)

Как это сделать?

Konstanti

@legsedel

1 50.0 и 70.0 ничего не нужно знать о других сетях ( для этого у них есть шлюз) - им ничего передавать не надо
2 NAT исходящий на интерфейсе 20.1 (тогда хостам в сети 20.0 ничего не надо знать о сетях 50.0 и 70.0 ) Они пакеты будут отправлять обратно на 20.1

legsedel

@Konstanti said in проблема с маршрутизацией, потери пакетов:

1 50.0 и 70.0 ничего не нужно знать о других сетях ( для этого у них есть шлюз) - им ничего передавать не надо
2 NAT исходящий на интерфейсе 20.1 (тогда хостам в сети 20.0 ничего не надо знать о сетях 50.0 и 70.0 ) Они пакеты будут отправлять обратно на 20.1

Единственным, приемлемым решением будет получать по dhcp хостам в подсети 20.0/23 статические маршруты Option по 249, Option 121? Хосты все на винде в основном.
А что делать с хостами, у которых ip статические?

Konstanti

@legsedel
Родилась одна идея , к каким хостам из 20.0/23 нужен доступ из 50.0/24 и 70.0/24 ?

legsedel

@Konstanti said in проблема с маршрутизацией, потери пакетов:

Родилась одна идея , к каким хостам из 20.0/23 нужен доступ из 50.0/24 и 70.0/24 ?

Ну это в основном сервера: 1C, SQL сервера, 2 домена, файловые сервера, СКУД. почтовый сервер, NAS, телефония. Порядка 15 серверов.
К обычным хостам из 20.0/23 доступ не нужен.

Konstanti

@legsedel
Вообще-то , я имел в виду IP адреса ....
p.s. появилась еще одна идея ....

legsedel

@Konstanti said in проблема с маршрутизацией, потери пакетов:

Вообще-то , я имел в виду IP адреса ....
p.s. появилась еще одна идея ....

192.168.20.2, 192.168.21.3, 192.168.20.128, 192.168.21.1, 192.168.20.20, 192.168.20.236, 192.168.20.6, 192.168.20.51, 192.168.21.4, 192.168.20.54, 192.168.21.200, 192.168.21.2

Konstanti

@legsedel
понятно
1 идея была в том , чтобы все сервера перенести в адресное пространство 192.168.21.0/24
и настроить l3 коммутатор так , чтобы он знал только о сети 192.168.20.0/24 (а pf знает о сети 192.168.20.0/23)
в этом случае, при доступе к ресурсам сети 192.168.21.0/24 -> L3 коммутатор шлет весь трафик на pf ( а тот уже дальше)

идея 2
L3 коммутатор <-> PF соединить выделенной отдельной сетью ( например , 192.168.30.0/24 )
тогда l3 коммутатор ничего не будет знать о сети 192.168.20.0/23 и будет все пакеты слать на pF , а тот уже , в свою очередь , дальше переправлять трафик , куда надо

legsedel

@Konstanti said in проблема с маршрутизацией, потери пакетов:

1 идея была в том , чтобы все сервера перенести в адресное пространство 192.168.21.0/24
и настроить l3 коммутатор так , чтобы он знал только о сети 192.168.20.0/24 (а pf знает о сети 192.168.20.0/23)
в этом случае, при доступе к ресурсам сети 192.168.21.0/24 -> L3 коммутатор шлет весь трафик на pf ( а тот уже дальше)

Этот вариант не подходит.

@Konstanti said in проблема с маршрутизацией, потери пакетов:

идея 2
L3 коммутатор <-> PF соединить выделенной отдельной сетью ( например , 192.168.30.0/24 )
тогда l3 коммутатор ничего не будет знать о сети 192.168.20.0/23 и будет все пакеты слать на pF , а тот уже , в свою очередь , дальше переправлять трафик , куда надо

это еще одну сетевую карту надо задействовать на PF?

А может использовать динамическую маршрутизацию?

Konstanti

@legsedel Vlan ( транковый порт)

Vlan 100 (L3-L2)
Транк L2-PF ( 100 + vlan на сеть 20.0/23)

legsedel

@Konstanti said in проблема с маршрутизацией, потери пакетов:

Vlan ( транковый порт)

Vlan 100 (L3-L2)
Транк L2-PF ( 100 + vlan на сеть 20.0/23)

Саб интерфейс городить....мдя, как-то все через одно место получается

Konstanti

@legsedel
у вас в сети 2 маршрутизатора , Вам надо разделить трафик ....
PF - это файрвол с контролем состояний
Для решения проблем с асимметричной маршрутизация ( tcp) надо отключать контроль флагов в правилах
я так понимаю , что еще нужен контроль доступа на серверах ( поэтому НАТ неприменим )
Подумайте еще над вариантом , чтобы шлюз по умолчанию для кого-то в сети 20.0/23 был 20.1