Как настроить внутренние сети?



  • Доброго времени суток.
    Провел далеко не один час за настройкой данного чуда, которое поговаривают, работает из коробки. Идея - использование как прозрачное прокси. ну и фаерволить будет. но для начала хотя бы как прозрачное прокси.
    То ли руки у меня не оттуда, то ли лыжи не едут.
    Суть вопроса:
    Разварачиваю последнюю версию сабжа, выставляю настройки:
    внешняя сеть, внутренняя сеть (172.19.54.2/24)
    Дефолт ГВ на внешку.
    на внутреннюю роутинг вида: 172.0.0.0/8, т.к. есть огромная куча внутренних сетей формата 172,хх,хх,0/24
    в настройках фаервола - разрешить все

    По логике вещей уже должно неплохо так работать.

    Результат:
    все оборудование расположенное в той же сети, что и сенс, т.е. 54.0/24 - прекрасно работает и выходит в эти ваши интернеты. Все остальные внутренние сети - доходят до сенса и тишина.

    поставил сквид. в режиме транспаранта - ниче не поменялось.

    У меня уже бошка взрывается, я не понимаю что я делаю не так… Товарищи, нужна помощь... маршрутизации и фаервола прикладываю.





  • в Proxy server - Access control - Allowed subnets записи есть?



  • @pbx:

    в Proxy server - Access control - Allowed subnets записи есть?

    Нет.
    Стоит галка: Разрешить пользователей на интерфейс.
    Ну это собственно и не особо существенно, т.к. до установки прокси - реакция такая же.т.е. прокси нет, а через пф пропускается только трафик из той же сети, что и он сам. из других подсетей - весь трафик блокируется (о чем говорит статистика самого пф).



  • @pbx:

    в Proxy server - Access control - Allowed subnets записи есть?

    а кстати наврал… в аллоу сабнетс стоит
    172.0.0.0/8



  • Доброе.

    1. Адресации для "серых" сетей 172.0.0.0/8 быть не может. Только 172.16.0.0/12 - https://ru.wikipedia.org/wiki/Частный_IP-адрес

    2. У Вас на LAN указан gw 172.19.54.1 - что это за "железка" ?

    P.s. Крайне рекомендую ознакомиться - http://linkmeup.ru/tag/сети для самых маленьких/  Сам пользую. Прямо с 0-й части и начинайте.



  • @werter:

    Доброе.

    1. Адресации для "серых" сетей 172.0.0.0/8 быть не может. Только 172.16.0.0/12 - https://ru.wikipedia.org/wiki/Частный_IP-адрес

    2. У Вас на LAN указан gw 172.19.54.1 - что это за "железка" ?

    P.s. Крайне рекомендую ознакомиться - http://linkmeup.ru/tag/сети для самых маленьких/  Сам пользую. Прямо с 0-й части и начинайте.

    1. Да, про 172.0.0.0/8 это я погорячился. хотя все равно какая разница сенсу..  ну это дело десятое :)
    2. это железная циска, ядро сети.

    копался копался, и пришел по утру к выводу, что вероятно, проблема кроется в НАТе. 54 сеть в нате есть, а вот остальные не перечислены… Сегодня планирую после того как пользователи уйдут испытать настройку ната.



  • хотя все равно какая разница сенсу..  ну это дело десятое

    Молодой человек (я все же надеюсь, что Вы молоды. Иначе … ) Вы "шутите"? Что значит "какая разница" ? Т.е. указав заведомо неверные сетевые настройки (роутинг у Вас точно неверный) , Вы хотите получить работоспособность ?
    Это из разряда - поешьте сливочного масла. Или нет - давайте лучше машинное. Какая разница  ;D

    И pf далеко не всё равно. Он делает только то, что Вы ему укажите. Не больше, но и не меньше.

    Вкл. логирование fw и смотрите , что происходит при попытке доступа из проблемных сетей.

    P.s. Как вариант - сменить маску сети на пф (всей сети за пф ?) на /12.



  • @werter:

    хотя все равно какая разница сенсу..  ну это дело десятое

    Молодой человек (я все же надеюсь, что Вы молоды. Иначе … ) Вы "шутите"? Что значит "какая разница" ? Т.е. указав заведомо неверные сетевые настройки , Вы хотите получить работоспособность ?
    И pf далеко не всё равно. Он делает только то, что Вы ему укажите. Не больше, но и не меньше.

    Нет, я же согласился с Вами. Что тут конечно косяк,это не правильно, но не правильно больше с точки зрения теории, нежели практики. Ничего не мешает мне и любой другой адрес завернуть во внутреннюю сеть. ну кроме логики, стандартов,здравого смысла… Просто мне не очень понятно, почему сенс отказывается маршрутить эти сети? Именно что я указал ему, все что начинается с 172 - идет во внутреннюю сеть. почему тогда мой диапазон адресации он не хочет принимать? Ведь он должен делать ровно то, что я ему сказал, а он получается что не хочет этого делать :)
    Хотя на самом деле и это в нем работает нормально. т.к. если бы не работало, то я бы не смог зайти на его вебморду с компьютера из другой сети. А я могу. вот только интернета на другой сети нет, и тут судя по всему проблема в настройке НАТ. Такой идеи  у меня в 4 утра просто не появлялось..



  • Покажите вывод tracert из сети за pf в проблемную сеть (-и).
    Рекомендую запомнить эту команду. Она помогает понять где затык.



  • @werter:

    Покажите вывод tracert из сети за pf в проблемную сеть (-и).
    Рекомендую запомнить эту команду. Она помогает понять где затык.

    Если я правильно понял задачу - то задача получить трассировку из WAN в LAN? ну тут это будет проблематично. :)
    А если речь идет о трассировки из одной внутренней сети в другую - то тут ПФ вообще не участвует. эти задачи решаются на уровне ядра сети. И соответственно трассировка будет не информативна.
    Если делать трассировку из проблемной сети в интернет - то все встрянет на ПФ
    Ранее на месте ПФ был зентал, пока не сдох методом обновления (ну кто ж мог подумать, что они на 4 версии убьют модуль. а с 4.1 и выше - выпилят к чертям прокси),а до него ТМГ стояла.



  • А если речь идет о трассировки из одной внутренней сети в другую - то тут ПФ вообще не участвует. эти задачи решаются на уровне ядра сети. И соответственно трассировка будет не информативна.

    Да что Вы ? А зачем же вы тогда шлюз на LAN указывали ? Это же из LAN в LAN2 и т.д. получается.

    Сперва разберитесь с адресацией в Вашей сети. Посидите, подумайте хорошенько. Схемку набросайте со всеми адресами\подсетями.



  • @werter:

    А если речь идет о трассировки из одной внутренней сети в другую - то тут ПФ вообще не участвует. эти задачи решаются на уровне ядра сети. И соответственно трассировка будет не информативна.

    Да что Вы ? А зачем же вы тогда шлюз на LAN указывали ? Это же из LAN в LAN2 и т.д. получается.

    Сперва разберитесь с адресацией в Вашей сети. Посидите, подумайте хорошенько. Схемку набросайте со всеми адресами\подсетями.

    шлюз на лан указывал - потому что откуда пф узнает, что у меня не только 54 сеть? как получить от него обратную связь? как ему узнать куда ему слать пакеты назад? это как бы обратный маршрут.. без этого маршрута пф не знает куда ему сдавать все внутренние сети, кроме 54, которая на интерфейсе. и по умолчанию шлет эти пакеты на ван, так как там ни что иное, как дефолт гейтвей… и без такого маршрута я не получу даже доступ на вебморду из например 55 сети. т.к. до шлюза пакеты дойдут, а вот обратно - хрен.



  • Снова Вас процитирую. Вы же сами себе противоречите.

    А если речь идет о трассировки из одной внутренней сети в другую - то тут ПФ вообще не участвует

    Вы же трассируете из LAN в LAN в Вашем случае.

    И при этом :

    шлюз на лан указывал - потому что откуда пф узнает, что у меня не только 54 сеть?

    А значит это, что пф учавствует в трассировке из одной внутренней сети в др. внутреннюю сеть.
    tracert - всего лишь команда, к-ая работает эээ "поверх" маршрутизации что ли.

    И да, возможно что Ваша циска просто не пропускает пакеты из локальной сети за pf.



  • @werter:

    Снова Вас процитирую. Вы же сами себе противоречите.

    А если речь идет о трассировки из одной внутренней сети в другую - то тут ПФ вообще не участвует

    Вы же трассируете из LAN в LAN в Вашем случае.

    И при этом :

    шлюз на лан указывал - потому что откуда пф узнает, что у меня не только 54 сеть?

    А значит это, что пф учавствует в трассировке из одной внутренней сети в др. внутреннюю сеть.
    tracert - всего лишь команда, к-ая работает эээ "поверх" маршрутизации что ли.

    И да, возможно что Ваша циска просто не пропускает пакеты из локальной сети за pf.

    Мне вот теперь стало интересно Ваше виденье работы утилиты трассировки… которая как бы отрабатывает так же как и пинг, только возвращает информацию о каждом хопе, которые берутся из маршрутизации... каким образом он обходит маршрутизацию - мне не очень ясно...

    обратные маршруты это как бы тоже явно не из самых сильных сторон... Это все равно что написать куда нибудь письмо, с просьбой ответить и не указывать обратный адрес..

    именно по этой причине обратный маршрут очень важен. и да, пф никаким образом не участвует в маршрутизации внутренней сети. она вся расположена на ядре, и при общении между вланами и подсетями, такие запросы даже не уходят в сторону пф. разве что только широковещательные. схема сети у меня более чем подробная. с маршрутизацией и прочим.. при наличии более 20 узлов и распределенных офисах - тут как бы это необходимо. и вопрос возник скорей ввиду новой все же системы, которая настраивается несколько более глубоко. и не очень понятно где именно затыкается.. потому как все запросы к ней доходят, а вот через себя она их не пропускает.
    99% уверенности что это НАТ, его я проверю после 10 вечера. с маршрутизацией проблем нет. т.к. если бы это была она - пакеты бы не блокировались, а они блокируются. лан-лан - работает. не работает лан-ван. фаервол разрешен, но и это не помогло, поэтому я впал в ступор. но тут появилась идея, т.к. НАТ не настраивался,а сетей по умолчанию пф не видит, и вручную где у него сабнеты задаются - я не нашел. может плохо искал. в остальных шлюзах вполне явно задавались сабнеты, и проблем не возникало. и нат стоял в авто - все было отлично. а тут ввиду отсутствия заданных сабнетов возникла проблема - вероятно необходима ручная настройка ната. вот и все.



  • В общем сказалась усталость и не готовность к тому, что эту штуку нужно настраивать чуть больше чем пару кликов… Да, проблема была в не настроеном нате. натировалась только 1 сеть, та, что висела на интерфейсе, остальные - нет. Сам себе ответил на вопрос. Спать надо больше, и тогда все будет ок :)


Log in to reply