Интересная задачка по роутингу :-)

[rusxakep]

Есть Cisco, есть сервер.

У циски - 2 интерфейса: 195.x.x.100 и 192.168.1.100
У сервера - 2 интерфейса: 195.x.x.71 и 192.168.1.251

Сервер воткнут в циску в оба интерфейса.

В локальной сети гейтвей -> на внутренний интерфейс ЦИСКИ (192.168.1.100)

все файрволы выключены. форвард пакетов на сервере включали (по-умолчанию там выключен - так как он не роутер).

Проблема вот в чем:

Из локальной сети (192.168.1.x) невозможно пинговать внешний интерфейс сервера (195.x.x.x.71). Соответственно сервер нормально пингует 192.168.1.x.

Хотелось бы чтобы был доступ к 195.x.x.x в локальной сети. На киске точно нет access-list на этих двух интерфейсов. Все работало до того момента как был поднят второй интерфейс на сервере (192.168.1.251).

Комментарии?

P.S: Если по-русски. Компьютер из локальной сети, когда пингует - пакетик проходит через киску - не натится (не нужно), и сервер, видя что локальный роутинг лучше подходит для пакета из 192.168.1.x, чем отправление назад (на киску - 195.x.x.100) - шлет пакетик обратно по другому маршруту (на другой интерфейс) - соответственно пакет обратно не доходит - точнее комп не понимает ответа ....

Возможно поведение такое - незнаю, по tcpdump пакет приходит на сервер - но он не отсылает echo-reply

[ba]

Будем полагать, что внутренний интерфейс серверу нужен(а зачем кстати?)...

тогда например через iproute2 создаешь лишнюю табличку, в нее добаляешь роуты только для внешнего интерфейса и добавляешь рул, что пакеты от внешнего ip роутятся по твоей табличке

[rusxakep]

такова конфигурация. Внутренний интерфейс нужен для работы DNS (там свои причуды).

судя по tcpdump, пинги и вообще пакеты доходят до сервера (через внешний интерфейс 195.x.x.71), но ответов на 192.168.1.x он не посылает (тоже судя по tcpdump).

Вопрос - почему нет ответа?

Если прописать что все пакетики для 192.168.x.x слать через внешний интерфейс (195.x.x.100), то пинг начинает приходить.

ПОЧЕМУ?

И вот сейчас - есть клиенты во внешней сети (195.x.x.126) - им нужен DNS, работающий на внутреннем интерфейсе ...

[rusxakep]

Мне кажется что задача состоит в следующем:

1. Обеспечить работу внутреннего интерфейса - то есть локалка должна обращаться к нему без проблем.

2. Обеспечить работу внешнего интерфейса
Чтобы слать пинг на него и получать ответ с него же. А сервер шлет ответ почему-то на внутренний (видимо правильно - так как 192.x.x.x сетка находится там). Как заставить его слать пакетики на тот интерфейс, откуда он и получил пакетик?

[ba]

[rusxakep]

решилась проблема:

/etc/conf.d/net:

routes_eth1=(
"-net 192.168.1.0 netmask 255.255.255.0 gw 195.x.x.100 dev eth0"
)

eth0 - внешний
eth1 - внутренний

www ~ # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
195.x.x.64 0.0.0.0 255.255.255.192 U 0 0 0 eth0
192.168.1.0 195.x.x.100 255.255.255.0 UG 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0 0 lo
0.0.0.0 195.x.x.100 0.0.0.0 UG 0 0 0 eth0
www ~ #


правда ping какой-то странный - ооочень медленно отвечают - но везде < 10ms

[ba]

Только теперь он у тебя на запросы на внутренний интерфейс отвечает через твой роутер... и роутер вероятнее всего шлет icmp-редиректы...

[rusxakep]

Да нет - если пинговать внутренний - он отвечат по внутреннему. Поведение стандартное.

А вот если внешний пинговать - какие-то тормоза....