https://opennet.dev/openforum/vsluhforumID1/96875.html Здравствуйте, гуру, не бейте сильно, только разбираюсь, подскажите, где накосячил.<br>Есть два шлюза FreeBSD, на них поднят GRE туннель без ipsec. Внутренние сети имеют вид типа 192.168.0.0 и 192.168.10.0. С шлюзов я пингую внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1 идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100. Подскажите, в чем проблема?<br> https://opennet.dev/openforum/vsluhforumID1/96875.html#69 Fri, 28 Apr 2017 10:57:55 GMT &gt;&gt; Решение - чисто мой косяк, надо было отключать виндовый фаервол за шлюзом <br>&gt;&gt; во время настройки =(, пакеты приходили из других сетей, невнимательность!!<br>&gt; Вопрос чисто не по теме, а как вы считаете нужен <br>&gt; ли в локалке файер на виндовых станциях, <br>&gt; то что антиыирус нужен вопросов нет, а вот файер ? Плюсы и <br>&gt; минусы...<br><br>По поводу антивируса, скажу что на самих машинах далеко не всегда есть необходимость в его использовании, особенно если их основная роль - роль терминальных клиентов для работы на сервере, и крутятся они под линуксом, и пользоваться интернетом с этих машин запрещено, вероятность занесения вируса с флешки под линуксом практически равна нулю =)))<br> https://opennet.dev/openforum/vsluhforumID1/96875.html#68 Fri, 28 Apr 2017 10:45:05 GMT &gt;&gt; Решение - чисто мой косяк, надо было отключать виндовый фаервол за шлюзом <br>&gt;&gt; во время настройки =(, пакеты приходили из других сетей, невнимательность!!<br>&gt; Вопрос чисто не по теме, а как вы считаете нужен <br>&gt; ли в локалке файер на виндовых станциях, <br>&gt; то что антиыирус нужен вопросов нет, а вот файер ? Плюсы и <br>&gt; минусы...<br><br>Не вижу смысла отключать фаервол на виндовых машинах. Маршруитизация сети должна быть настроена корректно, если из-за фаервола блокируются сети, значит надо натить и настраивать правильно. Виндовый фаервол не так нагружает систему, как это делают офисные приложения, посему не вижу необходимости его отключать.<br> https://opennet.dev/openforum/vsluhforumID1/96875.html#67 Fri, 28 Apr 2017 06:03:51 GMT &gt; Решение - чисто мой косяк, надо было отключать виндовый фаервол за шлюзом <br>&gt; во время настройки =(, пакеты приходили из других сетей, невнимательность!!<br><br> Вопрос чисто не по теме, а как вы считаете нужен ли в локалке файер на виндовых станциях,<br>то что антиыирус нужен вопросов нет, а вот файер ? Плюсы и минусы... <br><br> https://opennet.dev/openforum/vsluhforumID1/96875.html#66 Thu, 27 Apr 2017 22:34:29 GMT &gt; Здравствуйте, гуру, не бейте сильно, только разбираюсь, подскажите, где накосячил.<br>&gt; Есть два шлюза FreeBSD, на них поднят GRE туннель без ipsec. Внутренние <br>&gt; сети имеют вид типа 192.168.0.0 и 192.168.10.0. С шлюзов я пингую <br>&gt; внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1 <br>&gt; идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые <br>&gt; стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100. <br>&gt; Подскажите, в чем проблема?<br><br>Решение - чисто мой косяк, надо было отключать виндовый фаервол за шлюзом во время настройки =(, пакеты приходили из других сетей, невнимательность!! <br> https://opennet.dev/openforum/vsluhforumID1/96875.html#65 Thu, 27 Apr 2017 21:15:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt; route add 192.168.2.0 192.168.2.1 netmask 0xffffff00 где 192.168.2.1 -адрес шлюза ЛОКАЛЬНОЙ <br>&gt;&gt; сети на конечном узле туннеля <br>&gt;&gt; а в GRE указываются 2-а статических маршрута: <br>&gt;&gt; ip route 0.0.0.0 0.0.0.0 100.0.0.2 <br>&gt;&gt; ip route 192.168.2.0 255.255.255.255 10.2.2.2 , где 10.2.2.2 - адрес узла туннеля <br>&gt;&gt; GRE <br>&gt;&gt; э-э-э... точно различий не видите?<br>&gt; когда вы наконец возьмете в руки tcpdump и проследите путь пакета по <br>&gt; всей цепочке- вы поймете, что указанное вами "различие" - не имеет <br>&gt; ни какого значения для вашей проблемы.<br><br>Большое Вам спасибо за помощь, искренне признателен, извините если мой язвительный тон доставил не удобства, поиск проблемы при помощи tcpdump решил ее!! Большое спасибо что подсказали чем копать!! Оказалось что маршруты и туннели на обоих шлюзах настроены верно, а вот уже за самими шлюзами пакеты отбрасывались фаерволом, потому-что приходили из других сетей, естественно верная настройка маршрутов никак не решала проблему блокировки виндовым фаерволо https://opennet.dev/openforum/vsluhforumID1/96875.html#64 Thu, 27 Apr 2017 20:49:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; - кому надо с этим возиться?<br>&gt;&gt;&gt; Возникает несоответствие целей и полученного результата, и я считаю, что это проблема <br>&gt;&gt;&gt; не отвечающих, а задающих вопросы.<br>&gt;&gt;&gt; Здесь согласны обучать, а не решать чужие проблемы.<br>&gt;&gt;&gt; [/ИМХО] <br>&gt;&gt; я все отлично понимаю как бегаю пакетики =)) на втором узле <br>&gt;&gt; такая же конфигурация!! Проблему видите??<br>&gt; если человек "отлично понимающий как бегают пакетики" задает подобные топику вопросы... <br>&gt; что же думать о тех кто помогает ему решать проблему с <br>&gt; потерявшимися в пути пакетиками? Боги?<br><br>проблема решена, маршрутизация и тунели были настроены корректно<br> https://opennet.dev/openforum/vsluhforumID1/96875.html#63 Thu, 27 Apr 2017 20:29:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Вы наверно не поверите, но маршрутизация в gif настраивается следующим образом: <br>&gt;&gt; route add 192.168.2.0 192.168.2.1 netmask 0xffffff00 где 192.168.2.1 -адрес шлюза ЛОКАЛЬНОЙ <br>&gt;&gt; сети на конечном узле туннеля <br>&gt;&gt; а в GRE указываются 2-а статических маршрута: <br>&gt;&gt; ip route 0.0.0.0 0.0.0.0 100.0.0.2 <br>&gt;&gt; ip route 192.168.2.0 255.255.255.255 10.2.2.2 , где 10.2.2.2 - адрес узла туннеля <br>&gt;&gt; GRE <br>&gt;&gt; э-э-э... точно различий не видите?<br>&gt; То, что вы что-то как-то наворотили не означает, что есть различия в <br>&gt; маршрутизации gre и gif туннелей.<br><br> Зачем вы разглагольствуете, вы пишете что для вас форум это место в чем-то разобраться, но не заметил чтобы вы в чем-то разбирались, один пустой треп =( в проблеме разобрался, маршрутизация была в порядке, туннели настроены верно. Не там искал проблему. Спасибо люди подсказали где искать, и тут нужен был скорее опыт, совет в какую сторону копать решение, поэтому и писал что нужна помощь гуру! Не понимаю, почему вы стали писать тут, я же хо https://opennet.dev/openforum/vsluhforumID1/96875.html#62 Thu, 27 Apr 2017 18:52:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; маршрутизации связан с натом и фаерволом, в чем в общем то <br>&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; и разбираюсь сейчас...<br>&gt;&gt;&gt;&gt;&gt;&gt;&gt; с каким натом???? откуда нат взялся?<br>&gt;&gt;&gt;&gt;&gt;&gt; от сквида <br>&gt;&gt;&gt;&gt;&gt; сквид умеет нат ?<br>&gt;&gt;&gt;&gt; нет, нат делает сквид прозрачным <br>&gt;&gt;&gt; ну так включите логирование на файрволе и посмотрите есть ли исходящий пакет <br>&gt;&gt;&gt; в локалку и есть ли обратный от клиента?<br>&gt;&gt; посмотрел трафик доходит до конечного узла за шлюзом, но обратно не возвращается <br>&gt; на конечном узле нет обратного маршрута?<br><br>например потому что, как уже упоминалось ранее - дефолтный шлюз на конечном узле не является тем шлюзом через который идет тунель?<br><br>следовательно либо указать маршрутизацию через тунель прямо на клиенте,либо сменить дефолтный шлюз, опять же изменив маршрутизацию...<br> https://opennet.dev/openforum/vsluhforumID1/96875.html#61 Thu, 27 Apr 2017 18:46:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt;&gt;&gt; проверял, нет, открытым делал... но все равно склонен полагать что данный вопрос <br>&gt;&gt;&gt;&gt;&gt;&gt;&gt; маршрутизации связан с натом и фаерволом, в чем в общем то <br>&gt;&gt;&gt;&gt;&gt;&gt;&gt; и разбираюсь сейчас...<br>&gt;&gt;&gt;&gt;&gt;&gt; с каким натом???? откуда нат взялся?<br>&gt;&gt;&gt;&gt;&gt; от сквида <br>&gt;&gt;&gt;&gt; сквид умеет нат ?<br>&gt;&gt;&gt; нет, нат делает сквид прозрачным <br>&gt;&gt; ну так включите логирование на файрволе и посмотрите есть ли исходящий пакет <br>&gt;&gt; в локалку и есть ли обратный от клиента?<br>&gt; посмотрел трафик доходит до конечного узла за шлюзом, но обратно не возвращается <br><br>на конечном узле нет обратного маршрута?<br>