Несколько IP на одном интерфейсе - проблемы с хождение трафика - Форум Kerio-rus
Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 21.10.2019, 13:54   #1
Micola44
 
Аватар для Micola44
 
Регистрация: 21.10.2019
Сообщений: 6
По умолчанию Несколько IP на одном интерфейсе - проблемы с хождение трафика

Добрый день !


Помогите разобраться:


Есть Kerio Control 9.3.0 на локальном интерфейсе несколько IP адресов:
192.168.0.1 255.255.254.0
10.0.107.1 255.255.255.252


Есть WIFI роутер WAN интерфейсом включен в локальную сеть IP на нем 10.0.107.2 255.255.255.252 шлюз 10.0.107.1.


В Kerio соответственно разрешен локальный трафик.


Из локальной сети захожу на роутер по IP 10.0.107.2 по вебморде все работает, а пинги и tracert до роутера не идет, как так понять не могу, в логах kerio есть:
[21/Oct/2019 13:51:29] ALLOW "Локальный трафик" packet from Ethernet, proto:ICMP, len:60, 192.168.0.20 -> 10.0.107.2, type:8 code:0 id:1 seq:8739 ttl:128
[21/Oct/2019 13:51:29] ALLOW "Локальный трафик" packet to Ethernet, proto:ICMP, len:60, 192.168.0.20 -> 10.0.107.2, type:8 code:0 id:1 seq:8739 ttl:127


192.168.0.20 - это комп с которого пингую



т.е. керио трафик пропускает, а куда он дальше девается не понятно.
Изображения
Тип файла: jpg правила.jpg (41.7 Кб, 7 просмотров)

Последний раз редактировалось Micola44; 21.10.2019 в 17:55.
Micola44 вне форума   Ответить с цитированием Вверх
Старый 21.10.2019, 18:25   #2
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,792
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата
Сообщение от Micola44 Посмотреть сообщение
пинги и tracert до роутера не идет, как так понять не могу
трассировка идёт идёт и где-то упирается
ГДЕ?



Цитата
Сообщение от Micola44 Посмотреть сообщение
Есть Kerio Control 9.3.0 на локальном интерфейсе несколько IP адресов:
192.168.0.1 255.255.254.0
10.0.107.1 255.255.255.252
а может стоит выделить сеть 10.*.*.* в VLAN ??
не пробовал?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 21.10.2019, 19:02   #3
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,915
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

самый простой вариант - на wan-интерфейсе роутера закрыты пинг и прочий icmp
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 21.10.2019, 19:16   #4
©©©®
Песака
 
Аватар для ©©©®
 
Регистрация: 01.07.2015
Адрес: 620000
Сообщений: 99
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Можно создать правило any-any для тестирования и поднять его вверх списка. ! Для тестирования!
©©©® вне форума   Ответить с цитированием Вверх
Старый 21.10.2019, 19:26   #5
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,792
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата:
Сообщение от ©©©® Посмотреть сообщение
any-any
испокон веков у нас такое НЕ приветствуется
что мешает описать в правиле конкретно интерфейсы\сети\группы адресов? ???
ничего не мешает!
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 21.10.2019, 20:46   #6
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,915
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата:
Сообщение от ©©©® Посмотреть сообщение
Можно создать правило any-any для тестирования и поднять его вверх списка. ! Для тестирования!
тут кагбэ, NAT умрет - который ниже
а в остальном можно так тестить
Цитата:
Сообщение от naliman Посмотреть сообщение
что мешает описать в правиле конкретно интерфейсы\сети\группы адресов? ???
ничего не мешает!
да, ничего не мешает
кстати, в свое время была пачка тем вида "посадил 100500 ip на один интерфейс и поимел проблем с лан-трафиком", где ответ коллеги с бывшей поддержки был, емнип, "а нефиг так делать".
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 21.10.2019, 21:12   #7
Micola44
 
Аватар для Micola44
 
Регистрация: 21.10.2019
Сообщений: 6
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

я бы с удовольствием запихнул бы все во VLAN, но на предприятии один коммутатор поддерживает VLAN`ы все остальные нет, да и роутер не держит вланы

P.S. tracert упирается после kerio естественно.
Micola44 вне форума   Ответить с цитированием Вверх
Старый 21.10.2019, 21:19   #8
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,915
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата
Сообщение от Micola44 Посмотреть сообщение
P.S. tracert упирается после kerio естественно.
роутер в режиме точки доступа или роутера?
разрешение на пинг с wan там стоит?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 22.10.2019, 04:48   #9
©©©®
Песака
 
Аватар для ©©©®
 
Регистрация: 01.07.2015
Адрес: 620000
Сообщений: 99
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата
Сообщение от Micola44 Посмотреть сообщение
несколько IP адресов:
Скажите эти несколько IP адресов прописаны на виртуальных сетевухах или же вы их указали как дополнительные ?
©©©® вне форума   Ответить с цитированием Вверх
Старый 22.10.2019, 08:59   #10
Micola44
 
Аватар для Micola44
 
Регистрация: 21.10.2019
Сообщений: 6
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата:
Сообщение от ©©©® Посмотреть сообщение
Скажите эти несколько IP адресов прописаны на виртуальных сетевухах или же вы их указали как дополнительные ?

Да он указан как дополнительные:


10.0.107.1 255.255.255.252


роутер в режиме роутера, если бы был в режиме точки доступа, настройки WAN не былоб,
по разрешению на пинг, там как таковых настроек нет он туповат
Micola44 вне форума   Ответить с цитированием Вверх
Старый 22.10.2019, 09:44   #11
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,915
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата
Сообщение от Micola44 Посмотреть сообщение
Из локальной сети захожу на роутер по IP 10.0.107.2 по вебморде все работает
сейчас в браузере порт непрозрачного прокси прописан?
и если порт убрать то на админку роутера зайти не получится?
или нет?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 22.10.2019, 09:53   #12
Micola44
 
Аватар для Micola44
 
Регистрация: 21.10.2019
Сообщений: 6
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата:
Сообщение от exchar Посмотреть сообщение
сейчас в браузере порт непрозрачного прокси прописан?
и если порт убрать то на админку роутера зайти не получится?
или нет?



В браузере - без прокси, так же в керио отлючена прокся
в админку заходит я так понимаю только лишь из-за того, что в роутере стоит разрешить удаленное администрирование.


Так то наплевать что не пингуется, я все-таки грешу на роутер, что у него действительно закрыт доступ на внешний интерфейс.


Вообщем то задача не много другая:


На этом роутере поднят DHCP раздает IP из диапазона: 10.0.17.100-10.0.17.200, у Lan интерфейса ИП 10.0.17.2
Дак вот клиенты упорно не хотят видеть сеть 192.168.0.0 255.255.254.0, хотя по идее роутер должен весь трафик отправлять в WAN, а он в свою очередь на Kerio, а Kerio все знает об этой сети.

т.е. допустим 10.0.17.100 должен по FTP подключиться к 192.168.0.20.


1. Роутер т.к. сеть 192.168.0.20 для него не известна, должен запихать все в WAN интерфейс 10.0.107.2 у которого шлюз Kerio 10.0.107.1.
2. Керио в свою очередь должен из своего локального интерфейса 10.0.107.1 все передать на 192.168.0.20, т.к. в правилах есть разрешить весь локальный трафик.
3. В обратную сторону тоже все должно быть, т.к. при создании дополнительного адреса в керио создается статический маршрут:

сеть 10.0.107.0 маска 255.255.255.252 интерфейс Ethernet (на котором как раз допольительный IP 10.0.107.1), хотя могу подозревать что здесь как раз что то происходит не так, т.к. у этого интерфейса много адресов.

Поправьте если я не так понимаю логику.

Последний раз редактировалось Micola44; 22.10.2019 в 10:41.
Micola44 вне форума   Ответить с цитированием Вверх
Старый 22.10.2019, 18:27   #13
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,792
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата
Сообщение от Micola44 Посмотреть сообщение
я все-таки грешу на роутер
а что за роутер то???
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 22.10.2019, 19:07   #14
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,915
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата
Сообщение от Micola44 Посмотреть сообщение
Вообщем то задача не много другая:
в логах керио что есть по теме?
ошибки, спуфинг и т.п.?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 23.10.2019, 08:46   #15
Micola44
 
Аватар для Micola44
 
Регистрация: 21.10.2019
Сообщений: 6
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата:
Сообщение от exchar Посмотреть сообщение
в логах керио что есть по теме?
ошибки, спуфинг и т.п.?
Спуфинг отключен!

В логах при попытке пинга проскакивает

[21/Oct/2019 13:51:29] ALLOW "Локальный трафик" packet from Ethernet, proto:ICMP, len:60, 192.168.0.20 -> 10.0.107.2, type:8 code:0 id:1 seq:8739 ttl:128
[21/Oct/2019 13:51:29] ALLOW "Локальный трафик" packet to Ethernet, proto:ICMP, len:60, 192.168.0.20 -> 10.0.107.2, type:8 code:0 id:1 seq:8739 ttl:127

Добавлено через 33 секунды

Цитата:
Сообщение от naliman Посмотреть сообщение
а что за роутер то???



TENDA мать ее N301

Добавлено через 1 минуту

Цитата
Сообщение от Micola44 Посмотреть сообщение
В браузере - без прокси, так же в керио отлючена прокся
в админку заходит я так понимаю только лишь из-за того, что в роутере стоит разрешить удаленное администрирование.


Так то наплевать что не пингуется, я все-таки грешу на роутер, что у него действительно закрыт доступ на внешний интерфейс.


Вообщем то задача не много другая:


На этом роутере поднят DHCP раздает IP из диапазона: 10.0.17.100-10.0.17.200, у Lan интерфейса ИП 10.0.17.2
Дак вот клиенты упорно не хотят видеть сеть 192.168.0.0 255.255.254.0, хотя по идее роутер должен весь трафик отправлять в WAN, а он в свою очередь на Kerio, а Kerio все знает об этой сети.

т.е. допустим 10.0.17.100 должен по FTP подключиться к 192.168.0.20.


1. Роутер т.к. сеть 192.168.0.20 для него не известна, должен запихать все в WAN интерфейс 10.0.107.2 у которого шлюз Kerio 10.0.107.1.
2. Керио в свою очередь должен из своего локального интерфейса 10.0.107.1 все передать на 192.168.0.20, т.к. в правилах есть разрешить весь локальный трафик.
3. В обратную сторону тоже все должно быть, т.к. при создании дополнительного адреса в керио создается статический маршрут:

сеть 10.0.107.0 маска 255.255.255.252 интерфейс Ethernet (на котором как раз допольительный IP 10.0.107.1), хотя могу подозревать что здесь как раз что то происходит не так, т.к. у этого интерфейса много адресов.

Поправьте если я не так понимаю логику.

При такой конфе вообще чудеса 50 % пакетов теряется, т.е. запускаешь пинг до роутера и 50 % а то и больше не доходит

Последний раз редактировалось Micola44; 23.10.2019 в 08:46. Причина: Добавлено сообщение
Micola44 вне форума   Ответить с цитированием Вверх
Старый 23.10.2019, 09:13   #16
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,915
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата
Сообщение от Micola44 Посмотреть сообщение
запускаешь пинг до роутера и 50 % а то и больше не доходит
перезагрузи роутер
проверь все железо и кабеля между ним и керио
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 23.10.2019, 09:54   #17
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,792
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата
Сообщение от Micola44 Посмотреть сообщение
TENDA мать ее
да, не самый лучший вариант
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 23.10.2019, 11:12   #18
Micola44
 
Аватар для Micola44
 
Регистрация: 21.10.2019
Сообщений: 6
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата:
Сообщение от exchar Посмотреть сообщение
перезагрузи роутер
проверь все железо и кабеля между ним и керио

все 100% рабочее, роутер менял, патчкорды тоже.
Micola44 вне форума   Ответить с цитированием Вверх
Старый 23.10.2019, 11:19   #19
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,915
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата
Сообщение от Micola44 Посмотреть сообщение
все 100% рабочее, роутер менял, патчкорды тоже.
скрин пинга хорошо бы

или еще лучше

cmd от админа (с повышением)

ping -t ip_адрес > c:\ping.txt
где-то на пару минут и прервать его ctrl-c

и потом этот c:\ping.txt сюда выложить
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 24.10.2019, 05:17   #20
©©©®
Песака
 
Аватар для ©©©®
 
Регистрация: 01.07.2015
Адрес: 620000
Сообщений: 99
По умолчанию Re: Несколько IP на одном интерфейсе - проблемы с хождение трафика

Цитата
Сообщение от Micola44 Посмотреть сообщение
Есть Kerio Control 9.3.0 на локальном интерфейсе несколько IP адресов:
192.168.0.1 255.255.254.0
10.0.107.1 255.255.255.252
Скрин таблицы маршрутизации с Керио покажите
И скрин сетевых интерфейсов тоже


Цитата
Сообщение от Micola44 Посмотреть сообщение
На этом роутере поднят DHCP раздает IP из диапазона: 10.0.17.100-10.0.17.20
Вы не рассматриваете вариант поднятия DHCP на самом Керио?

Нарисуйте схему сети
Я попытался нарисовать но в обеих случаях вышла чепуха


//картинку удалил, сильно большая. Naliman//

Последний раз редактировалось ©©©®; 24.10.2019 в 07:37.
©©©® вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 15:14. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях