[+] Nie można dostać się z jednej podsieci do drugiej...

Finarfin - 18-10-2009 16:18
Mam problem ze skomunikowaniem się z jednej podsieci do drugiej. Generalnie opcja jest taka, że mam dwie podsieci - jedna od zarządzania, druga - z urządzeniami. Chcę abym z sieci zarządzalnej mógł się dostać do podsieci z urządzeniami i abym mógl je konfigurować. Sieć zarządzalna to podsieć 192.168.2.0/24, z urządzeniami 192.168.102.0/24. Wykonuje regułkę: iptables -I FORWARD -s 192.168.2.0/24 -d 192.168.102.0/24 -j ACCEPT A tu niestety ping z podsieci 2 nie odpowiada. Co ciekawe jak na ruterze wpiszę ping na jakiekolwiek urządzenie w sieci 102 to otrzymuję: ping 192.168.102.3
PING 192.168.102.3 (192.168.102.3) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted Brzmi to nieco kosmicznie, tym bardziej, że ruting teoretycznie jest ustawiony prawidłowo.
Gdy ustawiam regułkę w drugą stronę to z sieci 102 mogę pingować urządzenia w sieci 2 - tylko nie o to mi chodzi.

Ktoś wie jak można sobie z tym problemem poradzić?

mendeczka - 18-10-2009 22:33
Kolego nie obraź się, ale najpierw zapoznaj się z tym Jak mądrze zadać pytanie .
Po zapoznaniu się z tym opisem. Podaj nam więcej info odnośnie Twojej konfiguracji i nie wydaje mi się żeby ludzie sami zgadywali co i jak robisz i masz skonfigurowane

Finarfin - 18-10-2009 23:37
Generalnie nie wiem czego kolega zbytnio nie zrozumiał, ale może to dlatego, że i sam jestem przemęczony.

Ale spróbuję inaczej i szerzej (i z polskimi znaczkami, bo widzę, że mój post został przez moderatora edytowany).

Mam ruter, pod którym mam skonfigurowane kilkanaście podinterfejsów dla kilkunastu różnych podsieci. Na jednym podinterfejsie mam skonfigurowaną sieć dla wifi - jest ona skonfigurowana z założeniami bardziej restrykcyjnymi, jeżeli chodzi o dostęp do innych podsieci. Generalnie tam wszystko jest praktycznie ustawione na ,,DROP'', poza dostępem do internetu. I działa to tak samo w drugą stronę. Jednak chciałbym się dostać do sieci wifi z poziomu sieci administratorskiej - i właśnie do tego zmierzam i ten problem opisałem w poście powyżej.

Sieć administratorska - podsieć o adresie 192.168.0.2/24. Sieć wifi - podsieć o adresie 192.168.0.102/24.
Normalnie po wklepaniu regułki: iptables -I FORWARD -s 192.168.2.0/24 -d 192.168.102.0/24 -j ACCEPT powinno wszystko działać i tego posta nie powinno być. Ale niestety tak nie jest. Jak robię ping z komputera w sieci administratorskiej na dowolną wifi - nie dostaję odpowiedzi. Więc wszedłem na ruter i spróbowałem z niego zapuścić ping na urządzenie w sieci wifi - w końcu ruter powinien móc wszystko. A tam niestety takie coś: ping 192.168.102.3
PING 192.168.102.3 (192.168.102.3) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted A więc myślę - co to jest? Pogooglałem na ten temat, a tu niestety żaden z tamtych opisów zbytnio nie pomógł. Dla testów ustawiłem przekierowanie portów w drugą stronę, czyli: iptables -I FORWARD -s 192.168.102.0/24 -d 192.168.2.0/24 -j ACCEPT i pingowałem z sieci wifi urządzenia w sieci administratorskiej - pingi wtedy leciały! Ale przecież nie o to mi chodziło, to gryzłem temat dalej, ale na nic sensownego nie wpadłem.

W związku z tym pytanie ciągle aktualne: co może być nie tak?

fnmirk - 19-10-2009 02:13
Finarfin, prościej byś to zobrazował gdyś do pierwszej wiadomości dołączył jakiś szkic sieci, teraz rozjaśniłeś ten temat. Brakuje tylko informacji o wersji (wersjach) systemu operacyjnego na poszczególnych elementach połączeń sieci. Może wykonaj szkic i przedstaw wynik: uname -r W jakich okolicznościach do tego doszło?
Robiłeś jakąś aktualizację?
Wymianę sprzętu?
Miałeś awarię zasilania itp.

Finarfin - 19-10-2009 08:35
http://images37.fotosik.pl/212/25d107e604301267m.png

Połączenie ruter - przełącznik (switch) na zasadzie ,,router on a stick''. Tych urządzeń w każdej podsieci jest oczywiście więcej, ale to nie ma takiego znaczenia.

Ruter ma zainstalowanego Debiana Lenny, natomiast urządzenia np. w sieci zarządzalnej (administratorskiej) to PC-ty, mają wszystkie OSy, natomiast w sieci wifi to AP (choć odnośnie pytania o wersję tych urządzeń to nie wiem w czym to może pomóc).
Po prostu próbuję teraz nagle coś takiego skonfigurować - wcześniej nie chodziło, teraz chcę by chodziło.

Robiłeś jakąś aktualizację? Robiłem aktualizację ale to dość dawno na ruterze z Etcha na Lennego.
Ale to też raczej nie jest przyczyna nagła.

bzyk - 19-10-2009 09:11
Pokaz wynik komend (na routerze ktory zabrania Ci pingowac);
ip a show
ip r show
iptables -L -nv
iptables -L -nv -t nat
uname -a

mendeczka - 19-10-2009 10:26
Wylistuj nam jakie reguły masz w swoim firewallu (bez tego będziemy stać w miejscu).
Czy czasem wpisując: iptables -I nie powinieneś podać, na której pozycji ma być ta reguła wpisana? Wstawienie reguły do łańcucha na określoną pozycję (-I).
Np.: iptables -I FORWARD 3 -s 192.168.102.0/24 -d 192.168.2.0/24 -j ACCEPT (być może się nie znam - ale chce się nauczyć).

A co do pingów to nie powinno jeszcze być: iptables -A INPUT -p icmp -j ACCEPT

Finarfin - 31-10-2009 13:38
Witam po długiej przerwie. Niestety miałem w międzyczasie sporo na głowie, tak iż nie mogłem się za to zadanie zabrać.

Jednak po dokładnym przejrzeniu logów zauważyłem, że wycinałem ruch wyjściowy do podsieci 102. Ostatecznie poprawiłem wpisy i działa, że aż miło.

Tak, że dziękuję za rady - można problem zamknąć.