Феномен с 3COM ADSL Router! :)

[S.R.]

Феномен заключается в том, что все запросы по внешнему АйПи из нутри (i.e с моего компа по локалке)приходят на сей рутер

Схема:

Код:

0-INTERNET(ISP)
          │
1-РУТЕР_ВНЕШНИЙ 3COM ADSL
          │
          ├- 1.1_Лапики(4)
          │
          ├- 1.2_PC
          │
2-РУТЕР_ВНУТРЕНИЙ Buffalo
          │
          ├- 2.1_Лапики(2)
          │
          ├- 2.2_PC
          │
          └─ 2.3_ВебСервер(2)

То есть если я хочу зайти на какой либо из сайтoв на 2.3_ВебСервере с любого места 1.1-2 или 2.1-3 www.blabla.com то я меня благополучно заносит на рутер!

А еси заходить снаружи то всё ок!

Каким Макаром я уму не приложу

Дайте совет пожалуйста в какую сторону руки загибать?!
В чём может быть дело?!
В топологии?!
Глюки?!
или
Руки )

[Troll]

если я правильно понял, то там не просто роутеры, а NAT. опишите поподробнее, где какие адреса используются и во что они транслируются

[S.R.]

Код:

0-INTERNET(ISP)
          │
        PPoE
          │
1-3COM ADSL_192.168.1.1
          │
          ├- 1.1_Лапики(4)_DHSP(from.50-.60)
          │
          ├- 1.2_PC_DHSP(from.50-.60)
          │
2-Buffalo_192.168.1.10 (Def.Gateway 192.168.1.1 ; 2 DNS адреса от ISP)
          │
        NAT
          │
  192.168.11.1 
          │
          ├- 2.1_Лапики(2)_DHSP(from.2-.20)
          │
          ├- 2.2_PC_staticIP
          │
          └─ 2.3_ВебСервер(2)_staticIP

То есть путь с и-нета до сервера таков

ISP_IP->192.168.1.1->192.168.1.10->192.169.11.1->192.168.11.Server

Ну и естественно Порт 80 фоувардится с 192.168.1.1 на 192.168.1.10
и
с 192.168.1.10 на 192.168.1.Server

На 1_3COM_ADSL рутере по маку приклеен 192.168.1.10

В принципе теряться не дпод порту 80 с обеих рутеров из нутри на ISP_IP зачем то заруливает на 192.168.1.1

Когда как с наружи всё ок

Может что то у рутера с днс не так?!

[Deesy]

писали уже раньше... смотрите таблицу роутинга...
причем если прописать в hosts ваш 2.3_ВебСервер(2)_staticIP то в сети 192,168,2,0/24 он будет видеться без проблем. а из .1.0/24 - болт. ибо все дороги в .1.0/24 ведут на 192.168.1.1.
поэтому если 3ком поддерживает статический роутинг можно попробовать прописать там роутинг .2.0/24 на .1.10/24
ну и копать днс на предмет локальности адресов.
ваш роутер вряд ли даст вам возможность дойти до внешнего айпишника от провайдера и вернуться в сетку. поэтому можете поставить свой днс сервак =)

чуть позже подумалось: можно вписать на каждой машине скриптец для роутинга который будет загружаться на автомате и не париться.

[Troll]

Порт-форвардинг (он же DNAT) очевидным образом работает только для пакетов, приходящих с внешнего интерфейса.
Что делать с пакетами, приходящими с внутреннего интерфейса, авторы роутерного софта решают по-разному.
Можно отправлять их на соответствующий порт самого роутера, как это происходит у вас.
Можно применять к ним DNAT, как и для приходящих с внешнего интерфейса, но только оно работать не будет.

Смотрите: предположим, вы пытаетесь соединиться с веб-сервером по его внешнему адресу ISP_IP с внутреннего хоста 192.168.1.50.
1. Пакет отправляется в default gw 192.168.1.1
2. там роутер соображает, что пакет предназначен для его собственного внешнего адреса и в соответствии с настройками порт-форвардинга меняет destination IP на 192.168.1.10.
3. Пакет уходит обратно в локальную сеть в сторону 192.168.1.10.
4. Второй роутер в соответствии с настройками порт-форвардинга меняет у него destination IP на 192.168.11.вебсервер.
5. Пакет приходит на сервер, сервер на него отвечает.
6. Если source IP нигде не менялся, то отвечать он будет непосредственно на 192.168.1.50. Со своего единственного адреса 192.168.11.вебсервер.
7. Ответный пакет придёт на второй роутер, который выполнит обратный DNAT и поменяет source ip на свой (192.168.1.10).
8. А вот на первый роутер пакет не пойдёт. Потому что адресован он на 192.168.1.50, который находится непосредственно в том же сетевом сегменте и в маршрутизации не нуждается.

В результате ответный пакет на 192.168.1.50 придёт, но вовсе не от ISP_IP, как ожидалось, а от 192.168.1.10. И будет благополучно убит на месте.

То есть, для хостов из внутренней сети проблема в том, что ответы попадают на них непосредственно, не заходя в роутер, и соответственно, не подвергаются обратному DNAТ'у.

Единственный способ этого избежать - во время порт-форвардинга для пакетов, приходящих с внутреннего интерфейса, менять не только destination IP на который указано, но и source IP на внутренний IP роутера. Тогда ответные пакеты придут на роутер и он сможет поменять там всё обратно.

В некоторых роутерах реализован этот вариант. У меня, например, оно именно так и работает по умолчанию, без всяких дополнительных настроек.

Резюме: я бы рекомендовал не выпендриваться, а ходить на веб-сервер по символическому имени, которому для внутренних сетей выдавать внутренние адреса - для первой сети 192.168.1.10, для второй - 192.168.11.вебсервер.

[Deesy]

Цитата:

Сообщение от Troll

Резюме: я бы рекомендовал не выпендриваться, а ходить на веб-сервер по символическому имени, которому для внутренних сетей выдавать внутренние адреса - для первой сети 192.168.1.10, для второй - 192.168.11.вебсервер.

другими словами прописать в ваш hosts на компах в сети .1.0 строчку
www.blablabla.com 192.168.1.10

а в hosts в сети .2.0
www.blablabla.com 192.168.2.3

[Troll]

ссылка по теме: http://romik-g.livejournal.com/5591.html
если в роутерах стоит линукс, то можно попробовать.
там только есть одна недоделочка

[S.R.]

Ребят, спасибо большое что откликнулись
У меня тут навалилось чёт внезапно дел
Как разгребу отвечу

С этой проблемой разобраться точно надо
А то я даже по ссылкам свои картинки мне вижу