https://www.opennet.ru/openforum/vsluhforumID1/93845.html Уважаемые гуру, подскажите, если кто сталкивался.<br>Хочу опросить по SNMP маршрутизатор, посылаю запрос на один IP-адрес, а маршрутизатор мне отвечает с другого IP-адреса. Этот ответ на мою сетевую карту приходит, но отправитель пакета его не воспринимает:<br><br>admin@server:~$ snmpwalk -v 1 -c public 10.111.0.1<br>Timeout: No Response from 10.111.0.1<br><br>Но tshark ответ от маршрутизатора показывает:<br><br> 1.118100 10.111.23.63 -&gt; 10.111.0.1 SNMP 85 get-next-request <br> 1.120292 172.16.2.2 -&gt; 10.111.23.63 SNMP 351 get-response <br><br>10.111.23.63 - это адрес сервера, с которого отправляю SNMP-запрос.<br>10.111.0.1 - адрес маршрутизатора, на который отправляю SNMP-запрос.<br>172.16.2.2 - второй адрес маршрутизатора, с которого поступает SNMP-ответ.<br><br>Можно ли заставить snmpwalk воспринимать ответы с IP-адреса, отличающегося от изначального?<br> https://www.opennet.ru/openforum/vsluhforumID1/93845.html#18 Tue, 02 Oct 2012 05:12:08 GMT <br>&gt; скорей обратного преобразования не происходит, но так как пакет пришел и так <br>&gt; с правильным заголовком он отдается в snmpwalk , иначе это опасная <br>&gt; фича dnat.<br>&gt; может на шлюзе отдельно к 10.111.23.63 маршрут прописать?<br><br>Маршрут от 172.16.2.2 к 10.111.0.1 есть, а в обратную сторону маршрута нет из соображений безопасности. Иначе бы я сразу опрашивал 172.16.2.2 без всякого dnat.<br> https://www.opennet.ru/openforum/vsluhforumID1/93845.html#17 Mon, 01 Oct 2012 15:14:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; iptables -A OUTPUT -d 172.16.2.2 -j DNAT --to-destination 10.111.0.1 <br>&gt;&gt;&gt; И опрашиваю маршрутизатор по адресу 172.16.2.2.<br>&gt;&gt;&gt; Всем большое спасибо =) <br>&gt;&gt; dnat делает обратное преобразование не глядя на ip отправителя?<br>&gt;&gt; интересно глянуть бы на tcpdump <br>&gt; Совершенно верно, я просто теперь обманываю snmpwalk, чтобы он думал, что опрашивает <br>&gt; 172.16.2.2, а на самом деле он опрашивает 10.111.0.1.<br>&gt; Вот вывод tshark: <br>&gt; 1.842915 10.111.23.63 -&gt; 10.111.0.1 SNMP 91 get-next-request <br>&gt; 1.844480 172.16.2.2 -&gt; 10.111.23.63 SNMP 93 get-response <br><br>скорей обратного преобразования не происходит, но так как пакет пришел и так с правильным заголовком он отдается в snmpwalk , иначе это опасная фича dnat.<br><br>может на шлюзе отдельно к 10.111.23.63 маршрут прописать?<br> https://www.opennet.ru/openforum/vsluhforumID1/93845.html#16 Mon, 01 Oct 2012 13:20:43 GMT &gt;&gt; ПРОБЛЕМА РЕШЕНА!<br>&gt;&gt; iptables -A OUTPUT -d 172.16.2.2 -j DNAT --to-destination 10.111.0.1 <br>&gt;&gt; И опрашиваю маршрутизатор по адресу 172.16.2.2.<br>&gt;&gt; Всем большое спасибо =) <br>&gt; dnat делает обратное преобразование не глядя на ip отправителя?<br>&gt; интересно глянуть бы на tcpdump <br><br>Совершенно верно, я просто теперь обманываю snmpwalk, чтобы он думал, что опрашивает 172.16.2.2, а на самом деле он опрашивает 10.111.0.1.<br><br>Вот вывод tshark:<br><br> 1.842915 10.111.23.63 -&gt; 10.111.0.1 SNMP 91 get-next-request<br> 1.844480 172.16.2.2 -&gt; 10.111.23.63 SNMP 93 get-response<br> https://www.opennet.ru/openforum/vsluhforumID1/93845.html#15 Mon, 01 Oct 2012 11:47:02 GMT &gt; ПРОБЛЕМА РЕШЕНА!<br>&gt; iptables -A OUTPUT -d 172.16.2.2 -j DNAT --to-destination 10.111.0.1 <br>&gt; И опрашиваю маршрутизатор по адресу 172.16.2.2.<br>&gt; Всем большое спасибо =) <br><br>dnat делает обратное преобразование не глядя на ip отправителя?<br>интересно глянуть бы на tcpdump<br> https://www.opennet.ru/openforum/vsluhforumID1/93845.html#14 Mon, 01 Oct 2012 11:33:57 GMT ПРОБЛЕМА РЕШЕНА!<br><br>iptables -A OUTPUT -d 172.16.2.2 -j DNAT --to-destination 10.111.0.1<br><br>И опрашиваю маршрутизатор по адресу 172.16.2.2.<br>Всем большое спасибо =)<br> https://www.opennet.ru/openforum/vsluhforumID1/93845.html#13 Mon, 01 Oct 2012 09:50:52 GMT &gt;[оверквотинг удален]<br>&gt; is the IP address of the outgoing interface to reach the <br>&gt; destination. The source IP address cannot be configured for responses. It <br>&gt; can only be configured for traps.<br>&gt; А сеть 10.111.0.0/16 находится в отдельной VRF-таблице, поэтому маршрутизатор отправляет <br>&gt; ответ не с того интерфейса, с которого надо, а с того, <br>&gt; который по-умолчанию.<br>&gt; Может быть, это вообще проблема не с snmpwalk? Может, он должен воспринимать <br>&gt; ответы с любых адресов, а это у меня на сервере что-то <br>&gt; не так? Кто-нибудь может точно сказать - должен snmp-ответ быть с <br>&gt; того же айпишника или нет?<br><br>Зависит от реализации многоинтерфейсного режима в софте. Не весь софт с udp правильно отрабатывает эту ситуацию. Если многоинтерфейсного режима нет вы можете получить ответный пакет с ip адресом интерфейса через который идет маршрут к адресу запросившего, хоть запрос был на другой ip.<br><br>Поэтому и просил показать таблицу маршрутизации. Но как у них с поддержкой многоинтерфейсного режима я не знаю.<br> https://www.opennet.ru/openforum/vsluhforumID1/93845.html#12 Mon, 01 Oct 2012 05:32:36 GMT &gt; http://www.juniper.net/techpubs/en_US/junos/topics/task/configuration/snmp-trap-options-configuring-junos-nm.html <br><br>Но это только для SNMP-трапов. Указать нужный интерфейс для обычных ответов на SNMP-запросы там нельзя, они отсылаются с того интерфейса, через который проходит маршрут к тому IP-адресу, с которого пришел запрос - http://www.juniper.net/techpubs/en_US/junos12.2/topics/reference/general/snmp-junos-faq.html<br><br>What is the source IP address used in the response PDUs for SNMP requests? Can this be configured?<br><br>The source IP address used in the response PDUs for SNMP requests is the IP address of the outgoing interface to reach the destination. The source IP address cannot be configured for responses. It can only be configured for traps.<br><br>А сеть 10.111.0.0/16 находится в отдельной VRF-таблице, поэтому маршрутизатор отправляет ответ не с того интерфейса, с которого надо, а с того, который по-умолчанию.<br><br>Может быть, это вообще проблема не с snmpwalk? Может, он должен воспринимать ответы с любы https://www.opennet.ru/openforum/vsluhforumID1/93845.html#11 Sat, 29 Sep 2012 10:43:47 GMT http://www.juniper.net/techpubs/en_US/junos/topics/task/configuration/snmp-trap-options-configuring-junos-nm.html<br> https://www.opennet.ru/openforum/vsluhforumID1/93845.html#10 Sat, 29 Sep 2012 09:35:30 GMT &gt; маршрут к 10.111.23.63 с 172.16.2.2/10.111.0.1 через какой интерфейс? таблицу маршрутизации <br>&gt; с 172.16.2.2/10.111.0.1 покажите <br><br>10.111.0.0/16 *[Direct/0] 17w1d 06:15:03<br> &gt; via lo0.3<br><br>172.16.2.2/32 *[Local/0] 17w1d 06:24:11<br> Local via lo0.7<br>