Page 1 of 2 12 LastLast
Results 1 to 15 of 23

Thread: wl-500g Premium и внешние IP-адреса на LAN-интерфейсе роутера.

  1. #1

    wl-500g Premium и внешние IP-адреса на LAN-интерфейсе роутера.

    Здравствуйте.

    Осуществляем переезд на нового провайдера.
    В офисе находятся web-, dns-, mail-сервера (так исторически сложилось).
    Каждому из них нужен внешний интернет IP.

    Провайдер протянул ethernet-кабель и дал следующие настройки для подключения:

    IP-адрес: 10.250.232.10
    Маска: 255.255.255.252
    Шлюз: 10.250.232.9
    DNS: 195.98.111.26, 195.98.112.26

    Провайдером выделены дополнительные внешние интеренет адреса:
    195.98.155.224/29

    ЗАДАЧА: настроить интернет нового прова. Адреса 195.98.155.224/29 должны быть доступны извне.

    В тех. поддержке прова мне сказали, что данная схема реализуется при помощи Asus wl-500gp, но на какой прошивке не уточнили.
    (до этого я пробовал роутер Dlink dir-100, но безуспешно).

    Итак, купили Asus wl-500g Premium. Родная асусовская прошивка версии 1.9.7.7.
    Выставляю в настройках роутера "Operation mode" в Router (imho, home gateway и AP режимы в нашем случае не подходят )

    WAN интерфейс роутера настраиваю как:

    IP: 10.250.232.10
    Маска: 255.255.255.252
    Шлюз: 10.250.232.9
    DNS: 195.98.160.26, 195.98.161.26

    LAN интерфейс роутера настраиваю как:

    ip: 195.98.155.225
    mask: 255.255.255.248
    DHCP server: выключен

    К LAN порту роутера подцепляю ноут:

    ip: 195.98.155.226
    mask: 255.255.255.248
    gate: 195.98.155.225 (10.250.232.10)
    DNS: 195.98.111.26, 195.98.112.26

    С ноута свободно хожу в инет.
    Но вот с инета не могу достучаться до ноутбука: пакеты (icmp, tcp, udp) до 195.98.155.225 и 195.98.155.226 не проходят.
    Провайдер уверяет, что никакой фильтрации пакетов с их стороны не осуществляется.

    Прописывал Static routes:
    network/host mask gw iface
    10.0.0.0 255.0.0.0 10.250.232.9 man
    195.98.155.0 255.255.255.248 10.250.232.9 man

    Так же пробовал прописывать другие варианты статических роутов. Пакеты извне не проходят.

    Вышеописанные действия пробовал при включенном Internet firewall (lan->wan, wan->lan - везде политики ACCEPT) и при выключенном internet firewall. Пакеты извне не проходят.

    В сис.логе роутера (логгируются ACCEPT и DROP пакеты) упоминаний о попытках установления соединений извне нет.

    ВОПРОСЫ:
    1) Возможно ли при использовании родной асусовской прошивки (v. 1.9.7.7 ) решить задачу?
    2) если возможно, то как? возможно, у меня неправильно прописаны статические роуты. или может нужны доп. настройки для firewall?
    3) Если 1) и 2) не решают задачу, то поможет ли прошивка Олега и какие правила надо прописать для iptables?
    (что-то типа:
    iptables -A FORWARD -i wan -o lan -j ACCEPT
    iptables -A FORWARD -i lan -o wan -j ACCEPT
    )

    Спасибо!

  2. #2
    Join Date
    Feb 2008
    Location
    Moscow, Tver
    Posts
    3,962
    Насколько я понял ситуацию: провайдер тупо сливает все пакеты, адресованные Вашим IP 195.х.х.х на WAN порт роутера с IP 10.х.х.х
    Только вот роутер не понимает, как к нему на WAN порт попадают данные для LAN подсети. И режектит их как левые и незаказанные никем изнутри.
    AndreyPopov какое-то время назад решал очень похожую ситуацию, но результата я не помню.
    Вероятно Вам поможет не iptables, а iproute2, точнее не подскажу.

  3. #3
    Join Date
    May 2009
    Location
    Московская обл., Щелково
    Posts
    27
    Quote Originally Posted by vectorm View Post
    Насколько я понял ситуацию: провайдер тупо сливает все пакеты, адресованные Вашим IP 195.х.х.х на WAN порт роутера с IP 10.х.х.х
    ага, NATом)))

    headcrash555, пока вы за натом, со своих компов на свои ip не попадете ни в жисть))). попросите друзей попинговать ваши ip - глядишь, получится)))

  4. #4
    Join Date
    Feb 2008
    Location
    Moscow, Tver
    Posts
    3,962
    Quote Originally Posted by nexby View Post
    ага, NATом)))

    headcrash555, пока вы за натом, со своих компов на свои ip не попадете ни в жисть))). попросите друзей попинговать ваши ip - глядишь, получится)))
    Вы ошибаетесь.
    NAT тут лишь инструмент трансляции данных.
    Я же понятно написал - на IP 10.250.232.10 приходят данные для подсети 195.98.155.224/29, которая находится ЗА ПРЕДЕЛАМИ подсети 10.250.232.0, т.е. этих пакетов WAN роутера абсолютно не ждет.
    Когда данные запрашиваются изнутри LAN, то на WAN порту, на IP 10.250.232.10 открывается слушающий порт, и именно на него и для ЭТОГО IP данные извне приходят, а не на IP 195.98.155.225 например.

  5. #5
    Здравствуйте! В Вашей ситуации ничего натить не надо. Провайдер использует 10-ю сеть как сеть peer-to-peer. У него скорее всего настроен статический маршрут к вашей сети 195.98.155.224/29 за шлюзом (интерфейс вашего роутера) 10.250.232.10.
    Вам надо убрать ранее прописанные маршруты и добавить дефолтный маршрут через шлюз 10.250.232.9.

    0.0.0.0 0.0.0.0 10.250.232.9 man

  6. #6
    Спасибо всем откликнувшимся.

    2 vectorm : тему AndreyPopov нашел Проблема маршрутизации и нескольких провайдеров , интересная информация, поизучаю.
    Завтра попробую прописать роут
    0.0.0.0 0.0.0.0 10.250.232.9 man
    В любом случае, собираюсь пообщаться с тех. поддержкой прова, раз уж они советовали именно 500gP
    Как сказал мне один знакомый человек, провайдер, вероятно, использует NETMAP.

    О результатах отпишусь

  7. #7
    Quote Originally Posted by headcrash555 View Post
    Здравствуйте.

    Осуществляем переезд на нового провайдера.
    В офисе находятся web-, dns-, mail-сервера (так исторически сложилось).
    Каждому из них нужен внешний интернет IP.

    Провайдер протянул ethernet-кабель и дал следующие настройки для подключения:

    IP-адрес: 10.250.232.10
    Маска: 255.255.255.252
    Шлюз: 10.250.232.9
    DNS: 195.98.111.26, 195.98.112.26

    Провайдером выделены дополнительные внешние интеренет адреса:
    195.98.155.224/29
    как-то странно, что у вас на ноуте заработал )
    как я думаю тут либо подразумевалось работа асуса как бриджа либо на ване нужно альясами вешать вашу реальную сеть. а дальше натить и пробрасывать.

  8. #8
    Странного в том, что инет заработал на ноуте, нет. Видимо имел место двойной НАТ. Первый в Асусе, а второй у провайдера.
    Но это не та схема, ради которой нужно было выдавать 6 белых IP-шников.

  9. #9
    Quote Originally Posted by mios View Post
    Странного в том, что инет заработал на ноуте, нет. Видимо имел место двойной НАТ. Первый в Асусе, а второй у провайдера.
    Но это не та схема, ради которой нужно было выдавать 6 белых IP-шников.
    да, не дочитался, что он на ЛАНе тоже выставил белую.
    но, все ж мне кажецца, что нат действительно у провайдера отсутствует.

    по-моему правильней было б сделать так:
    на ван фейсе роутера (выставив ему таки роль с натом) сделать альясом помимо серого айпи, еще и белый, выданный провом.
    для локалки выделить серую сеть (172, 192,...) и сделать проброс нужных портов.
    так будем безопасней ИМХО, чем пытацца выставить целиком машины в инет.

    а бросьте результаты трасерта изнутри в инет и нонешнюю таблицу маршрутов без ваших добавлений (я режим роутера на асусе не пробовал). может добавить что-то типа 195.98.155.224/29 195.98.155.225 lan ?
    Last edited by razor; 18-05-2009 at 10:08.

  10. #10
    1. Ставте прошывку Олега. Роутер в режыме шлюза.
    2. На WAN-IF как есть
    Code:
    IP-адрес: 10.250.232.10
    Маска: 255.255.255.252
    Шлюз: 10.250.232.9
    DNS: 195.98.111.26, 195.98.112.26
    3. Далее добавляете DMZ vlan для сети
    Code:
    Провайдером выделены дополнительные внешние интеренет адреса:
    195.98.155.224/29
    4. LAN vlan - серый адрес 172.16.х.х или 192.168.х.х.

    На роутере обязательно настроить правила iptables под себя:
    WAN <-> DMZ
    WAN <-> LAN
    DMZ <-> WAN
    DMZ <-> LAN
    Last edited by avk; 19-05-2009 at 20:16. Reason: жи, ши
    wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...

  11. #11
    а бросьте результаты трасерта изнутри в инет и нонешнюю таблицу маршрутов без ваших добавлений (я режим роутера на асусе не пробовал). может добавить что-то типа 195.98.155.224/29 195.98.155.225 lan ?

    Tracing route to ya.ru [213.180.204.8]
    over a maximum of 30 hops:

    1 1 ms <1 ms 1 ms home-pool-155-225.com2com.ru [195.98.177.225]
    2 1 ms 1 ms 1 ms 10.250.232.9
    3 2 ms 1 ms 1 ms 172.31.252.26
    4 1 ms 1 ms 1 ms 80.253.16.65
    5 2 ms 1 ms 1 ms 10.250.232.9
    6 2 ms 2 ms 2 ms ix1-m10.yandex.net [193.232.246.93]
    7 3 ms 2 ms 2 ms hummer-vlan602.yandex.net [77.88.16.124]
    8 2 ms 2 ms 2 ms ya.ru [213.180.204.8]



    Destination Gateway Genmask Flags Metric Ref Use Iface
    10.250.232.9 * 255.255.255.255 UH 0 0 0 WAN
    195.98.177.224 * 255.255.255.248 U 0 0 0 LAN
    10.250.232.0 * 255.255.255.0 U 0 0 0 WAN
    default 10.250.232.9 0.0.0.0 UG 0 0 0 WAN


    Вариант с
    0.0.0.0 0.0.0.0 10.250.232.9 man
    не прокатил
    Last edited by headcrash555; 18-05-2009 at 12:42.

  12. #12
    Quote Originally Posted by headcrash555 View Post

    Destination Gateway Genmask Flags Metric Ref Use Iface
    10.250.232.9 * 255.255.255.255 UH 0 0 0 WAN
    195.98.177.224 * 255.255.255.248 U 0 0 0 LAN
    10.250.232.0 * 255.255.255.0 U 0 0 0 WAN
    default 10.250.232.9 0.0.0.0 UG 0 0 0 WAN
    а что это за сеть 195.98.177.224 ? у вас другие были ж данные : 195.98.155.224/29
    Вариант с не прокатил
    я такой и не предлагал.
    я предлагал
    в асусе прописать, что сеть 195.98.155.224/29 достижима через lan интерфейс.

  13. #13
    Quote Originally Posted by razor View Post
    а что это за сеть 195.98.177.224 ? у вас другие были ж данные : 195.98.155.224/29

    я такой и не предлагал.
    я предлагал
    в асусе прописать, что сеть 195.98.155.224/29 достижима через lan интерфейс.
    195.98.177.224 - опечатка... 195.98.155.224 - нужный вариант.

  14. #14
    попросите прова сделать трасерт на ваш ноут.
    где будет потеря. на ван (10) или на лане (195).
    чем вы, кстати, смотрите маршруты? иначе чем netstat -rn ?
    Last edited by razor; 18-05-2009 at 14:06.

  15. #15
    Вариант с
    Цитата:
    0.0.0.0 0.0.0.0 10.250.232.9 man
    не прокатил

    Прошу прощения. Не обратил внимание на указание дефолтного шлюза в первом сообщении.

    Трассировка странная какая-то. Адреса п.2 и п.5 совпадают.
    Скорее всего нат виноват, что нет доступа из вне. Надо его отключить.

    А провайдер видимо может натить адреса из 10-й сети. Это можно проверить, подключив напрямую в канал комп с адресом 10.250.232.10.

Page 1 of 2 12 LastLast

Similar Threads

  1. Replies: 243
    Last Post: 06-11-2013, 15:25
  2. Differences between 500g Premium and 500gP V2
    By zilexa in forum WL-500gP Q&A
    Replies: 1
    Last Post: 11-06-2008, 13:36
  3. WL 500g Premium
    By airbrush999 in forum German Discussion - Deutsch (DE)
    Replies: 1
    Last Post: 28-11-2007, 00:17

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •