Привет, незнакомец!

Похоже, вы здесь новенький. Чтобы принять участие, нажмите одну из кнопок ниже!

Маршрутизация между шлюзом и роутером в одной подсети

Здравствуйте!
Нужна помощь в настройке маршрутизации.
Имеется сеть с шлюзом на Windows Server 2008 с настроенной маршрутизацией между офисами и доступом в Интернет.
WiFi роутер подключен к основной сети через порт WAN с ip 192.168.0.128. Локальная сеть на роутере в 254 подсети.

Не могу настроить маршрутизацию с 0 подсети на 254 подсеть.
На шлюзе 192.168.0.1 прописываю маршрут 192.168.254.0 с указанием шлюза 192.168.0.128, ничего не работает, ни пинг, ни трассировка. При этом пинг 192.168.0.128 проходит удачно. Где может быть зарыта собака?

Таблица маршрутов шлюза 192.168.0.1 во вложении.

Маршруты роутера 192.168.0.128:

ID IP-адрес назначения Маска подсети Шлюз Интерфейс
1 192.168.000.000 ==== 255.255.255.000 ==== 000.000.000.000 ==== WAN
2 192.168.254.000 ==== 255.255.255.000 ==== 000.000.000.000 ==== LAN & WLAN
3 000.000.000.000 ==== 000.000.000.000 ==== 192.168.000.001 ==== WAN
«1

Комментарии

  • отредактировано 7 Фев
    Похоже вы не указали обратный маршрут от 254 подсети до 0-й. На роутере 192.168.0.128, укажите маршрут до 0й подсети: 192.168.0.0 255.255.255.0 192.168.0.1
  • Anumrak написал:

    Похоже вы не указали обратный маршрут от 254 подсети до 0-й. На роутере 192.168.0.128, укажите маршрут до 0й подсети: 192.168.0.0 255.255.255.0 192.168.0.1

    Роутер не дает настроить статический маршрут на подсеть, в которой находится порт WAN. Этот маршрут уже автоматически прописан.
  • Трассировка и пинг подсети 0 с роутера проходит успешно.
  • отредактировано 7 Фев
    От роутера 192.168.0.1 пишите маршрут до 254й сети: 192.168.254.0 255.255.255.0 192.168.0.128. От роутера 192.168.0.128 пишите обратный маршрут 192.168.0.0 255.255.255.0 (интерфейс 0й сети в вашем облаке 192.168.0.0/24).
  • Anumrak написал:

    Какой IP на Wi-Fi роутере от 254 подсети на LAN?

    192.168.254.1
  • отредактировано 7 Фев
    deleted
  • От роутера 192.168.0.1 пишите маршрут до 254й сети: 192.168.254.0 255.255.255.0 192.168.0.128. От роутера 192.168.0.128 пишите обратный маршрут 192.168.0.0 255.255.255.0 (интерфейс 0й сети в вашем облаке 192.168.0.0/24).
  • Ваша проблема в том, что у вас не прямой линк от 128 IP до 1го. Посмотрите что за оборудование у вас в облаке 0.0/24 и напишите маршрут от 128 адреса до адреса в облаке.
  • Вам достаточно прописать маршрут от 0й подсети до 254й. И все всем будет доступно. Вопрос только в том, как клиенты 0й подсети будут получать пакеты. Если бы вы "разоблачили" все оборудование сети 192.168.0.0/24, то я бы подсказал более точно :smile: Дело в том, что на одном и том же роутере, именно L3 роутере, не может существовать два интерфейса в одной подсети. Это похоже на ваше облако 0.0/24. Роутер создан чтобы разграничивать широковещ. домены. Напишите что за линки идут в облако от 192.168.0.1 и от 192.168.0.128 и их IP адреса. Или у вас там просто свитч стоит один? Если облако и есть свитч, то все должно работать без проблем с одним лишь маршрутом до 254й подсети, так как для роутера из 254й подсети 0я сеть есть connected. Единственный гражданин, которому нужна помощь в маршрутах, это 192.168.0.1. Если кто то не пингуется, проверьте настройки портов свита.
  • отредактировано 7 Фев
    Напишите кто кого не пингует и главное, откуда. ICMP пакеты то на роутере с IP адресом 192.168.0.1 разрешены?
    Кстати, если на компе 192.168.0.30 прописать маршрут до 254й подсети с указанием IP 192.168.0.128 и если свитч не настроен вовсе и все порты в default vlan, то и роутер то 192.168.0.1 для общения между подсетями не нужен :wink: Все будет работать напрямую через 128й роутер.
  • В по схеме в облаке стоят обычные коммутаторы, никаких дополнительных маршрутизаторов там нет.
    Не проходит пинг от 0 подсети на 254 с любого узла в 0 подсети. На 192.168.0.30 прописывал маршрут до 128 шлюза, не помогло. На шлюзе 192.168.0.1 прописан маршрут 192.168.254.0 MASK 255.255.255.0 192.168.0.128. В качестве интерфейса маршрутизация выбирает интерфейс в 0 подсети (192.168.0.1).

    Пинг с 192.168.254.1 на 192.168.0.X проходит успешно. Трассировка с 254 подсети на 0 подсеть тоже проходит успешно.
    Не проходит пинг с любого узла подсети 0 на подсеть 254.
    На шлюзе 192.168.0.1 нет запрета пакетов ICMP.
    Фаервол на WiFi 192.168.0.128 отключен, любые экраны и блокировки пакетов тоже отключены.
  • отредактировано 8 Фев
    Вопрос частично решился. Прописал Альтернативный DNS-сервер для клиентов 254 подсети 192.168.0.1. Пинг пошел, трассировка тоже. :D
    Только 192.168.254.1 так и не пингуется(
  • На счет "пингуется" вы имеете в виду открываются сайты?
    Возможно на роутере с IP 192.168.0.128 просто закрыты ICMP в LAN. Если клиенты за ним доступны, то ничего страшного)
  • Прочитал очень бегло все сообщения и, честно говоря, не совсем внимательно.
    Как по мне, проблема сразу очевидна. Но при беглом прочтении всех постов, упоминания о ней я не увидел.
    Вопрос к автору, на WAN-интерфейсе роутера включен NAT?
    Если включен то пинга из 0-й сети, к 254-й сети и не будет :)
    А вот из 254-й сети 0-я пинговаться будет.
  • Kotyaro написал:

    В по схеме в облаке стоят обычные коммутаторы, никаких дополнительных маршрутизаторов там нет.
    Не проходит пинг от 0 подсети на 254 с любого узла в 0 подсети. На 192.168.0.30 прописывал маршрут до 128 шлюза, не помогло. На шлюзе 192.168.0.1 прописан маршрут 192.168.254.0 MASK 255.255.255.0 192.168.0.128. В качестве интерфейса маршрутизация выбирает интерфейс в 0 подсети (192.168.0.1).

    Пинг с 192.168.254.1 на 192.168.0.X проходит успешно. Трассировка с 254 подсети на 0 подсеть тоже проходит успешно.
    Не проходит пинг с любого узла подсети 0 на подсеть 254.
    На шлюзе 192.168.0.1 нет запрета пакетов ICMP.
    Фаервол на WiFi 192.168.0.128 отключен, любые экраны и блокировки пакетов тоже отключены.

    Если пинги из 254й подсети проходят до 0й, то как хосты 0й подсети отправляют вам их обратно неудачно?
    Есть точный вариант проверить что не так.
    Если машина 192.168.254.100 пингует 192.168.0.30, а наоборот нет, то делаем следующее:
    Если пингует, то на роутере 192.168.254.1 проверьте таблицу arp, принадлежащую интерфейсу 192.168.0.128 в локалке 0.0/24. MAC адрес от IP 192.168.0.30 совпадает с MAC адресом машины 192.168.0.30? Если нет - то у вас появились воры в сети. Если да, то скорее всего машина 192.168.0.30 блокирует icmp пакеты частично. ICMP Request запрещены(поэтому эта машина не может отправлять пинги), ICMP Reply разрешены(поэтому она может отвечать на пинг хостов из 254й подсети).
  • feo_sobolev написал:

    Прочитал очень бегло все сообщения и, честно говоря, не совсем внимательно.
    Как по мне, проблема сразу очевидна. Но при беглом прочтении всех постов, упоминания о ней я не увидел.
    Вопрос к автору, на WAN-интерфейсе роутера включен NAT?
    Если включен то пинга из 0-й сети, к 254-й сети и не будет :)
    А вот из 254-й сети 0-я пинговаться будет.

    Если роутер простенький, то за NAT'ом хосты будут доступны, если знать подсеть и прописать на запрашиваемой машине маршрут до нее. На простых роутерах нет правил, которые претят форвардинг и инпут пакетов, запрещающих dstnat. Проверено, работает)
  • отредактировано 8 Фев
    А с адреса 192.168.0.1 пинги возвращаются от 192.168.254.1 или .100?
  • Anumrak написал:


    Если роутер простенький, то за NAT'ом хосты будут доступны, если знать подсеть и прописать на запрашиваемой машине маршрут до нее. На простых роутерах нет правил, которые претят форвардинг и инпут пакетов, запрещающих dstnat. Проверено, работает)

    А по моему, как раз, простым роутерам фиолетово и они будут маскарадить - натить, все пакеты вылетающие из WAN интерфейса.
    Собственно, этим и объясняется условие автора - что компы находящиеся ЗА роутером, видит компы WAN интерфейса самого роутера.
    А вот, компы находящиеся со стороны WAN - внутреннюю LAN сеть не видят, т.к. вполне вероятно, обратные пакеты из LAN - сегмента роутера - просто натятся и в них подменяется src-адрес.
    Автору запустить WireShark на компьютере 0-й подсети и попробовать попинговать 254-ю сеть.
  • Как же не видят когда статик рут явно указан на интерфейс 192.168.0.128 для 254й сети? Если NAT подменит src адрес хоста локалки, то пакет все равно будет доставлен по назначению. Только что лабу запускал, работает.
  • Anumrak написал:

    Как же не видят когда статик рут явно указан на интерфейс 192.168.0.128 для 254й сети? Если NAT подменит src адрес хоста локалки, то пакет все равно будет доставлен по назначению. Только что лабу запускал, работает.

    Пакет доставлен обратно будет, но будет доставлен с другим src-адресом) Не 254.128 к примеру, а с 0.128 (то есть с адресом WAN-интерфейса роутера стоящего на границе сетей 192.168.0.0/24 и 192.168.254.0/24
    Ну и комп, не признает, что это пакет от узла 254.128) к к которому он обращался
  • отредактировано 8 Фев
    Я это прекрасно понимаю) но вот пакет доставился после обратного src маскарадинга) Попробуй лабу собрать?
    И все это если есть NAT. А если просто две подсети разнесенные по интерфейсам, то проблема может быть от фаерволла до vlan на свитчах.
  • Anumrak написал:

    Я это прекрасно понимаю) но вот пакет доставился после обратного src маскарадинга) Попробуй лабу собрать?
    И все это если есть NAT. А если просто две подсети разнесенные по интерфейсам, то проблема может быть от фаерволла до vlan на свитчах.

    В лабе, на IOL на Cisco да) Он не маскарадит :) Но, вот как поведет себя бытовой роутер... Тут вопрос остается открытым.
    Предлагаю, все таки дождаться комментария автора, насчет включения/выключения у него NAT на его роутере.
  • feo_sobolev написал:

    Anumrak написал:

    Я это прекрасно понимаю) но вот пакет доставился после обратного src маскарадинга) Попробуй лабу собрать?
    И все это если есть NAT. А если просто две подсети разнесенные по интерфейсам, то проблема может быть от фаерволла до vlan на свитчах.

    В лабе, на IOL на Cisco да) Он не маскарадит :) Но, вот как поведет себя бытовой роутер... Тут вопрос остается открытым.
    Предлагаю, все таки дождаться комментария автора, насчет включения/выключения у него NAT на его роутере.
    Согласен.
  • отредактировано 8 Фев
    Провел эксперимент на реальных железках:
    С одной стороны стоял роутер, отдающий адреса по dhcp(Роутер А), с другой стороны второй роутер ловил этот адрес на свой wan интерфейс(Роутер Б), LAN за которым уходил в inside nat. Подключил смартфон ко роутеру Б, чтобы в локалке был хотя бы какой то хост. В обоих роутерах разрешил icmp в LAN и до WAN.
    Без маршрута на роутера А до LAN роутера Б, хосты роутера Б пинговали хосты роутера А через NAT. Это было проверено и подтверждено тем, что в arp таблице роутера А был MAC и IP адрес, который роутер А выдал по dhcp роутеру Б на WAN интерфейс. Пинг от А до Б не проходил(очевидно, потому что А не знает LAN Б).
    С маршрутом на роутере А до LAN роутера Б, хост(смартфон) в LAN роутера Б стал доступен роутеру А и хосту(компу) LAN роутера А.
    Wireshark'ом был пойман icmp трафик роутера А, указывающий на то, что хосту из LAN роутера А на пинг отвечает не outside NAT IP на WAN интерфейсе роутера Б, а локальный IP роутера Б (смартфон). Сам маскарадинг был(таблица arp не изменилась).
    Думаю трансляции не произошло в анализаторе потому, что wireshark ловит тот destination при reply, который был при request и это отображает. В виртуальной среде source адрес подменяется внешним интерфейсом и пинги по прежнему возвращаются от другого destination адреса изначально. Вот такие факты. Трансляция до интернета на роутере Б проходит как положено, судя по nat таблице.

    Так или иначе у меня получилась связь с маршрутом от сайта А до Б. Единственное что мешало: отсутствие маршрута и запрет icmp на LAN сегменте.

    Возможно автор открыл icmp на WAN интерфейсе 192.168.0.128, но не на LAN 192.168.254.0/24, ибо это разные вещи.
  • Anumrak написал:

    А с адреса 192.168.0.1 пинги возвращаются от 192.168.254.1 или .100?

    Пинг на 254.1 неудачно, на 254.100 - удачно. Тоже самое и с узлом 0.30.

    Модель роутера TL-WR1045ND. Пробовал отключать программный и аппаратный NAT - никаких изменений.
    Anumrak написал:


    Возможно автор открыл icmp на WAN интерфейсе 192.168.0.128, но не на LAN 192.168.254.0/24, ибо это разные вещи.

    Параметры безопасности на роутере:

    • Игнорировать Ping-пакеты от порта WAN - отключено
    • Запретить Ping-пакеты от порта LAN - отключено
    Таблица маршрутизации роутера:

    • 1 192.168.0.0 255.255.255.0 0.0.0.0 WAN
    • 2 192.168.254.0 255.255.255.0 0.0.0.0 LAN & WLAN
    • 3 0.0.0.0 0.0.0.0 192.168.0.1 WAN
    Пробовал добавлять маршрут 192.168.0.0 255.255.255.0 192.168.0.128, но роутер ругается:
    IP-адрес назначения не может находиться в пределах подсети IP-адреса в сети WAN, пожалуйста, укажите заново.
    Сейчас хочу попробовать поставить кастомную прошивку DD-WRT, по крайней мере там можно организовать VLAN и с маршрутизацией проблем не должно быть.
  • Результат пинга с Wireshark
  • отредактировано 9 Фев
    А с 0.30 до 254.100 пинги проходят?
    И есть ли правила, которые можно добавить в Межсетевой экран? Добавь разрешить icmp на интерфейс WAN и LAN.
  • Anumrak написал:

    А с 0.30 до 254.100 пинги проходят?
    И есть ли правила, которые можно добавить в Межсетевой экран? Добавь разрешить icmp на интерфейс WAN и LAN.

    Да, с 0.30 до 254.100 пинг проходит.
    К сожалению, никаких доп.настроек нет для сетевого экрана и он отключен на роутере.
  • Вы писали выше что не проходит пинг с любого узла 0.х до 254.х. Щас проходит, так в чем проблема?)
  • Anumrak написал:

    Вы писали выше что не проходит пинг с любого узла 0.х до 254.х. Щас проходит, так в чем проблема?)

    Проходит, достучаться только не могу до 254.1 с 0 подсети, но видимо, это уже особенность LAN роутера)
    Я же писал, проблема решилась прописав альтернативный ДНС 192.168.0.1 на клиентах 192.168.254.X
Войдите или Зарегистрируйтесь чтобы комментировать.