Log in

Bekijk de volledige versie : wl-500g Premium и внешние IP-адреса на LAN-интерфейсе роутера.


headcrash555
16-05-2009, 19:48
Здравствуйте.

Осуществляем переезд на нового провайдера.
В офисе находятся web-, dns-, mail-сервера (так исторически сложилось).
Каждому из них нужен внешний интернет IP.

Провайдер протянул ethernet-кабель и дал следующие настройки для подключения:

IP-адрес: 10.250.232.10
Маска: 255.255.255.252
Шлюз: 10.250.232.9
DNS: 195.98.111.26, 195.98.112.26

Провайдером выделены дополнительные внешние интеренет адреса:
195.98.155.224/29

ЗАДАЧА: настроить интернет нового прова. Адреса 195.98.155.224/29 должны быть доступны извне.

В тех. поддержке прова мне сказали, что данная схема реализуется при помощи Asus wl-500gp, но на какой прошивке не уточнили.
(до этого я пробовал роутер Dlink dir-100, но безуспешно).

Итак, купили Asus wl-500g Premium. Родная асусовская прошивка версии 1.9.7.7.
Выставляю в настройках роутера "Operation mode" в Router (imho, home gateway и AP режимы в нашем случае не подходят :) )

WAN интерфейс роутера настраиваю как:

IP: 10.250.232.10
Маска: 255.255.255.252
Шлюз: 10.250.232.9
DNS: 195.98.160.26, 195.98.161.26

LAN интерфейс роутера настраиваю как:

ip: 195.98.155.225
mask: 255.255.255.248
DHCP server: выключен

К LAN порту роутера подцепляю ноут:

ip: 195.98.155.226
mask: 255.255.255.248
gate: 195.98.155.225 (10.250.232.10)
DNS: 195.98.111.26, 195.98.112.26

С ноута свободно хожу в инет.
Но вот с инета не могу достучаться до ноутбука: пакеты (icmp, tcp, udp) до 195.98.155.225 и 195.98.155.226 не проходят.
Провайдер уверяет, что никакой фильтрации пакетов с их стороны не осуществляется.

Прописывал Static routes:
network/host mask gw iface
10.0.0.0 255.0.0.0 10.250.232.9 man
195.98.155.0 255.255.255.248 10.250.232.9 man

Так же пробовал прописывать другие варианты статических роутов. Пакеты извне не проходят.

Вышеописанные действия пробовал при включенном Internet firewall (lan->wan, wan->lan - везде политики ACCEPT) и при выключенном internet firewall. Пакеты извне не проходят.

В сис.логе роутера (логгируются ACCEPT и DROP пакеты) упоминаний о попытках установления соединений извне нет.

ВОПРОСЫ:
1) Возможно ли при использовании родной асусовской прошивки (v. 1.9.7.7 ) решить задачу?
2) если возможно, то как? возможно, у меня неправильно прописаны статические роуты. или может нужны доп. настройки для firewall?
3) Если 1) и 2) не решают задачу, то поможет ли прошивка Олега и какие правила надо прописать для iptables?
(что-то типа:
iptables -A FORWARD -i wan -o lan -j ACCEPT
iptables -A FORWARD -i lan -o wan -j ACCEPT
)

Спасибо!
vectorm
16-05-2009, 20:12
Насколько я понял ситуацию: провайдер тупо сливает все пакеты, адресованные Вашим IP 195.х.х.х на WAN порт роутера с IP 10.х.х.х
Только вот роутер не понимает, как к нему на WAN порт попадают данные для LAN подсети. И режектит их как левые и незаказанные никем изнутри.
AndreyPopov какое-то время назад решал очень похожую ситуацию, но результата я не помню.
Вероятно Вам поможет не iptables, а iproute2, точнее не подскажу.
nexby
17-05-2009, 08:35
Насколько я понял ситуацию: провайдер тупо сливает все пакеты, адресованные Вашим IP 195.х.х.х на WAN порт роутера с IP 10.х.х.х

ага, NATом)))

headcrash555, пока вы за натом, со своих компов на свои ip не попадете ни в жисть))). попросите друзей попинговать ваши ip - глядишь, получится)))
vectorm
17-05-2009, 09:01
ага, NATом)))

headcrash555, пока вы за натом, со своих компов на свои ip не попадете ни в жисть))). попросите друзей попинговать ваши ip - глядишь, получится)))
Вы ошибаетесь.
NAT тут лишь инструмент трансляции данных.
Я же понятно написал - на IP 10.250.232.10 приходят данные для подсети 195.98.155.224/29, которая находится ЗА ПРЕДЕЛАМИ подсети 10.250.232.0, т.е. этих пакетов WAN роутера абсолютно не ждет.
Когда данные запрашиваются изнутри LAN, то на WAN порту, на IP 10.250.232.10 открывается слушающий порт, и именно на него и для ЭТОГО IP данные извне приходят, а не на IP 195.98.155.225 например.
mios
17-05-2009, 09:17
Здравствуйте! В Вашей ситуации ничего натить не надо. Провайдер использует 10-ю сеть как сеть peer-to-peer. У него скорее всего настроен статический маршрут к вашей сети 195.98.155.224/29 за шлюзом (интерфейс вашего роутера) 10.250.232.10.
Вам надо убрать ранее прописанные маршруты и добавить дефолтный маршрут через шлюз 10.250.232.9.

0.0.0.0 0.0.0.0 10.250.232.9 man
headcrash555
17-05-2009, 12:32
Спасибо всем откликнувшимся.

2 vectorm : тему AndreyPopov нашел Проблема маршрутизации и нескольких провайдеров (http://www.wl500g.info/showthread.php?t=17884) , интересная информация, поизучаю.
Завтра попробую прописать роут
0.0.0.0 0.0.0.0 10.250.232.9 man
В любом случае, собираюсь пообщаться с тех. поддержкой прова, раз уж они советовали именно 500gP :)
Как сказал мне один знакомый человек, провайдер, вероятно, использует NETMAP.

О результатах отпишусь
razor
17-05-2009, 15:09
Здравствуйте.

Осуществляем переезд на нового провайдера.
В офисе находятся web-, dns-, mail-сервера (так исторически сложилось).
Каждому из них нужен внешний интернет IP.

Провайдер протянул ethernet-кабель и дал следующие настройки для подключения:

IP-адрес: 10.250.232.10
Маска: 255.255.255.252
Шлюз: 10.250.232.9
DNS: 195.98.111.26, 195.98.112.26

Провайдером выделены дополнительные внешние интеренет адреса:
195.98.155.224/29

как-то странно, что у вас на ноуте заработал )
как я думаю тут либо подразумевалось работа асуса как бриджа либо на ване нужно альясами вешать вашу реальную сеть. а дальше натить и пробрасывать.
mios
18-05-2009, 07:26
Странного в том, что инет заработал на ноуте, нет. Видимо имел место двойной НАТ. Первый в Асусе, а второй у провайдера.
Но это не та схема, ради которой нужно было выдавать 6 белых IP-шников.
razor
18-05-2009, 08:39
Странного в том, что инет заработал на ноуте, нет. Видимо имел место двойной НАТ. Первый в Асусе, а второй у провайдера.
Но это не та схема, ради которой нужно было выдавать 6 белых IP-шников.
да, не дочитался, что он на ЛАНе тоже выставил белую.
но, все ж мне кажецца, что нат действительно у провайдера отсутствует.

по-моему правильней было б сделать так:
на ван фейсе роутера (выставив ему таки роль с натом) сделать альясом помимо серого айпи, еще и белый, выданный провом.
для локалки выделить серую сеть (172, 192,...) и сделать проброс нужных портов.
так будем безопасней ИМХО, чем пытацца выставить целиком машины в инет.

а бросьте результаты трасерта изнутри в инет и нонешнюю таблицу маршрутов без ваших добавлений (я режим роутера на асусе не пробовал). может добавить что-то типа 195.98.155.224/29 195.98.155.225 lan ?
Less
18-05-2009, 09:36
1. Ставте прошывку Олега. Роутер в режыме шлюза.
2. На WAN-IF как есть

IP-адрес: 10.250.232.10
Маска: 255.255.255.252
Шлюз: 10.250.232.9
DNS: 195.98.111.26, 195.98.112.26
3. Далее добавляете DMZ vlan для сети


Провайдером выделены дополнительные внешние интеренет адреса:
195.98.155.224/29

4. LAN vlan - серый адрес 172.16.х.х или 192.168.х.х.

На роутере обязательно настроить правила iptables под себя:
WAN <-> DMZ
WAN <-> LAN
DMZ <-> WAN
DMZ <-> LAN
headcrash555
18-05-2009, 11:03
а бросьте результаты трасерта изнутри в инет и нонешнюю таблицу маршрутов без ваших добавлений (я режим роутера на асусе не пробовал). может добавить что-то типа 195.98.155.224/29 195.98.155.225 lan ?


Tracing route to ya.ru [213.180.204.8]
over a maximum of 30 hops:

1 1 ms <1 ms 1 ms home-pool-155-225.com2com.ru [195.98.177.225]
2 1 ms 1 ms 1 ms 10.250.232.9
3 2 ms 1 ms 1 ms 172.31.252.26
4 1 ms 1 ms 1 ms 80.253.16.65
5 2 ms 1 ms 1 ms 10.250.232.9
6 2 ms 2 ms 2 ms ix1-m10.yandex.net [193.232.246.93]
7 3 ms 2 ms 2 ms hummer-vlan602.yandex.net [77.88.16.124]
8 2 ms 2 ms 2 ms ya.ru [213.180.204.8]



Destination Gateway Genmask Flags Metric Ref Use Iface
10.250.232.9 * 255.255.255.255 UH 0 0 0 WAN
195.98.177.224 * 255.255.255.248 U 0 0 0 LAN
10.250.232.0 * 255.255.255.0 U 0 0 0 WAN
default 10.250.232.9 0.0.0.0 UG 0 0 0 WAN


Вариант с
0.0.0.0 0.0.0.0 10.250.232.9 man не прокатил
razor
18-05-2009, 11:58
Destination Gateway Genmask Flags Metric Ref Use Iface
10.250.232.9 * 255.255.255.255 UH 0 0 0 WAN
195.98.177.224 * 255.255.255.248 U 0 0 0 LAN
10.250.232.0 * 255.255.255.0 U 0 0 0 WAN
default 10.250.232.9 0.0.0.0 UG 0 0 0 WAN

а что это за сеть 195.98.177.224 ? у вас другие были ж данные : 195.98.155.224/29


Вариант с не прокатил
я такой и не предлагал.
я предлагал
в асусе прописать, что сеть 195.98.155.224/29 достижима через lan интерфейс.
headcrash555
18-05-2009, 12:11
а что это за сеть 195.98.177.224 ? у вас другие были ж данные : 195.98.155.224/29

я такой и не предлагал.
я предлагал
в асусе прописать, что сеть 195.98.155.224/29 достижима через lan интерфейс.

195.98.177.224 - опечатка... 195.98.155.224 - нужный вариант.
razor
18-05-2009, 13:00
попросите прова сделать трасерт на ваш ноут.
где будет потеря. на ван (10) или на лане (195).
чем вы, кстати, смотрите маршруты? иначе чем netstat -rn ?
mios
19-05-2009, 07:10
Вариант с
Цитата:
0.0.0.0 0.0.0.0 10.250.232.9 man
не прокатил

Прошу прощения. Не обратил внимание на указание дефолтного шлюза в первом сообщении.

Трассировка странная какая-то. Адреса п.2 и п.5 совпадают. :eek:
Скорее всего нат виноват, что нет доступа из вне. Надо его отключить.

А провайдер видимо может натить адреса из 10-й сети. Это можно проверить, подключив напрямую в канал комп с адресом 10.250.232.10.
razor
19-05-2009, 09:18
Трассировка странная какая-то. Адреса п.2 и п.5 совпадают. :eek:
Скорее всего нат виноват, что нет доступа из вне. Надо его отключить.

якобы режим "роутер". я не юзал, но написано, что нат в этом случае не работает.


А провайдер видимо может натить адреса из 10-й сети. Это можно проверить, подключив напрямую в канал комп с адресом 10.250.232.10.
угу, я тоже за то, что б уточнить схему у прова.
avk
19-05-2009, 19:20
1. Ставте прошывку Олега. Роутер в режыме шлюза.

Полнейший оффтоп, но я уже не могу себя сдержИвать!!!
nexby
19-05-2009, 20:11
Вы ошибаетесьвозможно
NAT тут лишь инструмент трансляции данных.
Я же понятно написал - на IP 10.250.232.10 приходят данные для подсети 195.98.155.224/29, которая находится ЗА ПРЕДЕЛАМИ подсети 10.250.232.0, т.е. этих пакетов WAN роутера абсолютно не ждет.
Когда данные запрашиваются изнутри LAN, то на WAN порту, на IP 10.250.232.10 открывается слушающий порт, и именно на него и для ЭТОГО IP данные извне приходят, а не на IP 195.98.155.225 например.
если роутер пакеты с адресов 195.98.155.224/29 перенаправляет на 10.250.232.0 (с этим не поспоришь - мы знаем, что у headcrash555 есть asus), то что их перенаправляет с внешнего ip провайдера на локалку провайдера? не NAT ли?
headcrash555, почему нельзя выяснить это у прова уже несколько дней?
mios
20-05-2009, 07:05
то что их перенаправляет с внешнего ip провайдера на локалку провайдера? не NAT ли?

Их направляет таблица(ы) маршрутов, статических или динамических.
Sourse и Destination адреса пакета при этом не меняются.
Это же очень просто. Есть цепочка маршрутизаторов на пути пакета. И каждый маршрутизатор должен знать на какой интерфейс отправить пакет.
Провайдер использует сети с приватными IP, чтобы экономить белые.
microlobrus
19-10-2009, 19:31
Есть ли возможность получить внешний ip на компе после роутера ? Перед ним стоит adsl модем. Пытался колдовать с расшариванием инета, т.е. на компе создается pppoe и далее через расшаренный интернет работают комп и кпк. Не понимаю в какой режим его надо переключить чтобы он работал как свитч, ставил в режим роутер но инета на устройствах не появилось!!! Локальная сеть есть!
Провайдер стрим, у него имеется dns вот мне кожется вот в них и загвоздка!?
Может кто что поскажет ? Хоть в какую сторону копать !!!
klim
19-10-2009, 19:47
Есть ли возможность получить внешний ip на компе после роутера ? Перед ним стоит adsl модем. Пытался колдовать с расшариванием инета, т.е. на компе создается pppoe и далее через расшаренный интернет работают комп и кпк. Не понимаю в какой режим его надо переключить чтобы он работал как свитч, ставил в режим роутер но инета на устройствах не появилось!!! Локальная сеть есть!
Провайдер стрим, у него имеется dns вот мне кожется вот в них и загвоздка!?
Может кто что поскажет ? Хоть в какую сторону копать !!!

Копать в сотрону pppoe-relay
Только вот зачем такое извращение нужно ?
microlobrus
19-10-2009, 19:56
Копать в сотрону pppoe-relay
Только вот зачем такое извращение нужно ?

Планировался небольшой игровой сервер от steam, а он требует внешний ip.
Как я понял pppoe-relay создает еще одно подключение ? Но имеется только одно.
klim
19-10-2009, 20:51
Планировался небольшой игровой сервер от steam, а он требует внешний ip

А что нельзя обойтись пробросом портов через NAT? Думаю будет вполне достаточно. В крайнем случае - DMZ.


Как я понял pppoe-relay создает еще одно подключение ? Но имеется только одно.
Соедиение может быть только одно: или с компа или с роутера.
При запуске pppoe-relay на роутере, оно же "Enable PPPoE Relay?" в веб-морде позволяет создавать pppoe-соедиение на компе, даже если между модемом и компом стоит роутер. Только в таком виде непонятно зачем нужен роутер...