Объясните по поводу маскарадинга
 |
Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
|
| ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
| [18.216.233.58] |
|
|
| Страницы: (4) [1] 2 3 ... Последняя » все ( Перейти к последнему сообщению ) |
Объясните по поводу маскарадинга
|
Сообщ.
#1
,
|
|
  |
Собственно, я вот что не могу понять! Но мне очень интересно это
вот смотрите, беру такую сеть. Ноутбук <-> роутер <-> еще роутер соедененный с интернетом 192.168.0.10 <-> (192.168.0.1 | 10.50.50.233) <-> 10.50.50.1 Вот я не понимаю. На 192.168.0.10 настроен шлюз 192.168.0.1, а на роутере уже настроен шлюз 10.50.50.1 так вот! Если я делаю маскарадинг на роутере 192.168.0.1 между двумя сетевыми картами с ip (192.168.0.1 | 10.50.50.233). То интернет работает на 192.168.0.10 ноутбуке, если маскарадинга нет то и интернета нет! Теперь смотрите, маскарадинг на роутере всего то и делает что в заголовке source IP заменяет 192.168.0.10 на 10.50.50.233. И уже роутер 10.50.50.1 видит ноутбук как 10.50.50.233. Я не могу понять! Почему без маскарадинга нет интернета? А с маскарадингом есть??? Как это понять? |
|
Сообщ.
#2
,
|
|
|
Судя по схеме, адрес 10.50.50.233 задан статически. Так что нет у тебя маскарада, а есть обычный sNAT.
А не работает без него Инет потому, что 10.50.50.1 никогда не слышал о существовании 192.168.0.0/24. |
|
Сообщ.
#3
,
|
|
|
|
Так, наверное вам нужно как то подробно объяснить
И так, на роутере где 2 сетевые стоит openwrt. и вот его файл farewall. В котором прошу обратить внимание на опцию option masq '1'   root@OpenWrt:~# cat /etc/config/firewall config defaults option input 'ACCEPT' option output 'ACCEPT' option forward 'ACCEPT' option syn_flood '1' config include option path '/etc/firewall.user' config zone option input 'ACCEPT' option forward 'ACCEPT' option output 'ACCEPT' option name 'accept' option network 'WAN lan' option masq '1' root@OpenWrt:~# Далее, роутер с интернетом у меня mikrotik И вот на нем таблица маршрутизации, обратите внимание на последний маршрут [admin@X] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 10.112.112.128 1 1 X S 0.0.0.0/0 10.96.5.1 1 2 ADS 10.0.0.0/8 10.96.5.1 0 3 ADC 10.50.50.0/24 10.50.50.1 bridge1 0 4 ADC 10.96.5.0/24 10.96.5.31 ether1 0 5 ADC 10.112.112.128/32 188.247.185.209 beeline-l2tp 0 6 ADS 77.74.64.0/21 10.96.5.1 0 7 A S 80.241.35.0/24 10.96.5.1 1 8 ADS 80.241.35.54/32 10.96.5.1 0 9 ADS 85.29.161.106/32 10.96.5.1 0 10 ADS 85.29.161.107/32 10.96.5.1 0 11 A S 85.241.35.0/24 10.96.5.1 1 12 ADS 87.247.0.133/32 10.96.5.1 0 13 A S 192.168.0.0/24 10.50.50.233 1 И наконецто пинг с микротика на ноутбук [admin@kumshagal] > ping 192.168.0.10 SEQ HOST SIZE TTL TIME STATUS 0 192.168.0.10 56 127 1ms 1 192.168.0.10 56 127 1ms 2 192.168.0.10 56 127 1ms sent=3 received=3 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=1ms Теперь, а как же я всетаки могу убедится что у меня маскарадинг? Ну наверное посмотрю как ноутбук цепляется к микротику со включенным маскарадингом: sep/26 00:45:30 system,info,account user admin logged in from 10.50.50.233 via ssh Теперь отключим маскарадинг и посмотрим как теперь микротик видит ноутбук sep/26 00:50:59 system,info,account user admin logged in from 192.168.0.10 via ssh Как видим, всетаки ip заменяет. И вот на всякий случай конфиг из openwrt: root@OpenWrt:~# cat /etc/config/firewall config defaults option input 'ACCEPT' option output 'ACCEPT' option forward 'ACCEPT' option syn_flood '1' config include option path '/etc/firewall.user' config zone option input 'ACCEPT' option forward 'ACCEPT' option output 'ACCEPT' option name 'accept' option network 'WAN lan' Маскарадинга больше нет И на всякий случай посмотрите что luci Так же называет эту опцию маскарадингом Скрытый текст  И все же это не маскарадинг? Везде ошибка? |
|
|
Сообщ.
#4
,
|
|
|
Цитата cpp_and_asm @ наверное вам нужно как то подробно объяснить Надо. Вот только всё, что идёт дальше - не объяснение, а тупое такое цитирование. Ведро воды, две горошины фактов и ноль толку. Хотя достаточно было просто указать, на каких интерфейсах NAT, а на каких его нет, и показать таблицы рутинга - но реальные, а не из конфига. Цитата cpp_and_asm @ И все же это не маскарадинг? Ну хоть сейчас-то не поленитесь посмотреть в документации, чем отличаются sNAT и Masquerade... отличие всего одно, ма-а-аленькое, и без переконфигурирования интерфейса (в т.ч. от перезагрузки или ре-аренды) в принципе неощутимое. |
|
Сообщ.
#5
,
|
|
|
|
То есть то что по факту идет замена ip это не важно?
Вот на openwrt root@OpenWrt:~# ip route default via 10.50.50.1 dev eth1 proto static 10.50.50.0/24 dev eth1 proto kernel scope link src 10.50.50.233 192.168.0.0/24 dev br-lan proto kernel scope link src 192.168.0.1 Что еще показать? |
|
|
Сообщ.
#6
,
|
 |
cpp_and_asm
переведи свой роутер в режим моста, у ноута поставь шлюз 10.50.50.1 |
|
Сообщ.
#7
,
|
|
|
|
Люди. я спрашиваю почему с подменой ip интернет есть, а без него нет! Это вопрос, это не проблема!
|
|
|
Сообщ.
#8
,
|
|
|
Цитата cpp_and_asm @ если маскарадинга нет то и интернета нет! В на роутере есть маршруты с 10.50.50.233 в 192.168.0.10 ? |
|
Сообщ.
#9
,
|
|
|
|
Я просто не могу понять, почему на пакет у которого source ip 192.168.0.10 Не приходит ответ?
|
|
|
Сообщ.
#10
,
|
|
|
cpp_and_asm
если на роутере нет маршрута из подсети 10.50.50.х в 192.168.0.Х, то у тебя пакет на 10.50.50.233 отбросится. |
|
Сообщ.
#11
,
|
|
|
|
Цитата ^D^ima @ Цитата cpp_and_asm @ если маскарадинга нет то и интернета нет! В на роутере есть маршруты с 10.50.50.233 в 192.168.0.10 ? То есть на openwrt нужен такой маршрут? root@OpenWrt:~# ip route default via 10.50.50.1 dev eth1 proto static 10.50.50.0/24 dev eth1 proto kernel scope link src 10.50.50.233 10.50.50.233 via 192.168.0.10 dev br-lan 192.168.0.0/24 dev br-lan proto kernel scope link src 192.168.0.1 Вот добавил. Но толка нет Добавлено Если вы про микротик, то я показывал все это выше [admin@X] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 10.112.112.128 1 1 X S 0.0.0.0/0 10.96.5.1 1 2 ADS 10.0.0.0/8 10.96.5.1 0 3 ADC 10.50.50.0/24 10.50.50.1 bridge1 0 4 ADC 10.96.5.0/24 10.96.5.31 ether1 0 5 ADC 10.112.112.128/32 188.247.185.209 beeline-l2tp 0 6 ADS 77.74.64.0/21 10.96.5.1 0 7 A S 80.241.35.0/24 10.96.5.1 1 8 ADS 80.241.35.54/32 10.96.5.1 0 9 ADS 85.29.161.106/32 10.96.5.1 0 10 ADS 85.29.161.107/32 10.96.5.1 0 11 A S 85.241.35.0/24 10.96.5.1 1 12 ADS 87.247.0.133/32 10.96.5.1 0 13 A S 192.168.0.0/24 10.50.50.233 1 |
|
|
Сообщ.
#12
,
|
|
|
Цитата cpp_and_asm @ Вот добавил. Но толка нет На 10.50.50.1 тоже нужно подобное сделать Добавлено делай трассировкус микротика и смотри на каком этапе затык. |
|
Сообщ.
#13
,
|
|
|
|
Цитата Akina @ отличие всего одно, ма-а-аленькое Небольшое дополнение:  |
|
Сообщ.
#14
,
|
|
|
|
Цитата ^D^ima @ Цитата cpp_and_asm @ Вот добавил. Но толка нет На 10.50.50.1 тоже нужно подобное сделать Добавлено делай трассировкус микротика и смотри на каком этапе затык. Пожалуйста прочитай внимательно первый пост! Я же написал таблицу маршрутизации 10.50.50.1 это МИКРОТИК! Тоесть последний роутер с интернетом! И вот его таблица маршрутизации в третий раз показываю! [admin@X] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 10.112.112.128 1 1 X S 0.0.0.0/0 10.96.5.1 1 2 ADS 10.0.0.0/8 10.96.5.1 0 3 ADC 10.50.50.0/24 10.50.50.1 bridge1 0 4 ADC 10.96.5.0/24 10.96.5.31 ether1 0 5 ADC 10.112.112.128/32 188.247.185.209 beeline-l2tp 0 6 ADS 77.74.64.0/21 10.96.5.1 0 7 A S 80.241.35.0/24 10.96.5.1 1 8 ADS 80.241.35.54/32 10.96.5.1 0 9 ADS 85.29.161.106/32 10.96.5.1 0 10 ADS 85.29.161.107/32 10.96.5.1 0 11 A S 85.241.35.0/24 10.96.5.1 1 12 ADS 87.247.0.133/32 10.96.5.1 0 13 A S 192.168.0.0/24 10.50.50.233 1 Я не понимаю, когда я это пишу у вас не отображается или что? Добавлено А вот трасировка до forum.sources.ru C:\Windows\System32>tracert forum.sources.ru Трассировка маршрута к forum.sources.ru [89.208.153.100] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс OpenWrt.lan [192.168.0.1] 2 16 ms <1 мс <1 мс 10.50.50.1 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. 5 * * * Превышен интервал ожидания для запроса. |
|
Сообщ.
#15
,
|
|
|
|
Вообще помогите мне понять суть.
Вот ноутбук отправляет пакет скажем на этот форум да. source ip у него сперва 192.168.0.10 он идет на роутер по шлюзу 192.168.0.1, там роутер смотрит что ip forum.sources.ru не вего локальной сетки, но есть шлюз для 0.0.0.0, это 10.50.50.1, он берет значит, в мой пакет записывает свой source ip, то есть 10.50.50.233, и отправляет на шлюз 10.50.50.1 Тот в свою очередь видит что forum.sources.ru нет в его сетке, и передает на шлюз интернета, при этом так же меняя source ip на свой, с сетью выхода в интернет. На 10.50.50.1 так же стоит правило nat маскарадинг. [admin@kumshagal] > ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade src-address=10.50.50.0/24 log=no log-prefix="" Но тут я понимаю зачем он нужен, так как на шлюзе который мне дает интернет не прописан ip 192.168.0.10.... А почему на роутере 192.168.0.1 это нужно я не знаю |
0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
0 пользователей:
[ Script execution time: 0,0799 ] [ 16 queries used ] [ Generated: 19.04.24, 12:03 GMT ]