Čau lidi,
asi budu za blbce ale tohle se mi ještě nestalo tak se zeptám.
Mám profi linku od O2 přes optiku. Jako gateway je RB4011. Ether1 je vstup, na rozhranní je IP od O2 /29 a defaultní routa je na jejich gateway. Dále je udelanej adreslist sítí které jsou na ostatních portech a v NATu je src nat rozsahů z adreslistu na IP co je na eth1 odchozí iface eth1.
Takhle je to OK.
Problém je že když si dám ping na vnitřní síti ping na IP která nefunguje nebo neexistuje tak se požadavek dostane až do sítě O2 a odpoví mi jejich ip 194.228.77.255 s tím že TTL exceeded.
Kde mám chybu že tyhle požadavky prolezou ven? A proč to hned první zařízení od O2 nezařízne ale posílá to dál?
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Ping odpovídá na neexistující síť
-
Tomáš Nesrsta
- Moderátor
- Příspěvky: 1333
- Registrován: 16 years ago
- antispam: Ano
- Bydliště: Karlovy Vary
- Kontaktovat uživatele:
Jak má to první zařízení O2 vědět, že ta IP neexistuje?
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Já to chápu tak, že pingá z LAN do LAN.
A to by router měl otočit dovnitř.
Chyba by měla být timeout, ne TTL.
Takto to vybadá na nějakou chybu v routování.
A to by router měl otočit dovnitř.
Chyba by měla být timeout, ne TTL.
Takto to vybadá na nějakou chybu v routování.
0 x
Pokud si tazatel myslí, že by ta pingovaná IP měla být v interní síti, tak je pravda, že by to nemělo opustit jeho router. Což tedy zjevně opustí.
Jedna z chyb je, že ten router nemá blackhole routy na privátní rozsahy.
Jedna z chyb je, že ten router nemá blackhole routy na privátní rozsahy.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
stepan.benes
- Příspěvky: 818
- Registrován: 13 years ago
- Kontaktovat uživatele:
Není jasný na co se vlastně ptáš. Dej sem dump route table a adresu na kterou ten ping míříš.
0 x
Profesionální troll, manipulátor a hrubovibrační ještírek.
Vůbec mi nevěřte, protože se s Vámi velmi pravděpodobně právě teď pokouším manipulovat !!!
Vůbec mi nevěřte, protože se s Vámi velmi pravděpodobně právě teď pokouším manipulovat !!!
Já to chápu tak, že na 4011je několik subnetů, dejme tomu 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 a když si pustím ping ze kterého subnetu třeba na 192.168.4.1, tak to router logicky pošle ven na default gw, což je špatně, protože router by měl správně veškerá odchozí spojení na privátní rozsahy zahazovat, což asi musíš pořešit buď firewallem, nebo alespoň routou do "černé díry".
1 x
Vysoce odborných omylů se dopouští jen specialisté.
Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.
Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.
-
Tomáš Nesrsta
- Moderátor
- Příspěvky: 1333
- Registrován: 16 years ago
- antispam: Ano
- Bydliště: Karlovy Vary
- Kontaktovat uživatele:
the.max píše:Já to chápu tak, že na 4011je několik subnetů, dejme tomu 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 a když si pustím ping ze kterého subnetu třeba na 192.168.4.1, tak to router logicky pošle ven na default gw, což je špatně, protože router by měl správně veškerá odchozí spojení na privátní rozsahy zahazovat, což asi musíš pořešit buď firewallem, nebo alespoň routou do "černé díry".
Ano chápeš to správně.
Jinak routovací tabulka vypadá takto:
Kód: Vybrat vše
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 80.xx.xx.89 1
1 ADC 80.xx.xx.88/29 80.xx.xx.90 ether1 0
2 ADC 172.28.0.0/23 172.28.0.1 vlan20 0
3 ADC 172.31.10.0/29 172.31.10.3 ether9 0
4 ADC 192.168.10.0/24 192.168.10.1 vlan10 0
5 ADC 192.168.15.0/24 192.168.15.1 vlan15 0
6 DC 192.168.88.0/24 192.168.88.1 ether2 255
7 ADC 192.168.100.0/24 192.168.100.1 vlan100 0
8 ADC 192.168.101.0/24 192.168.101.1 vlan101 0
9 ADC 192.168.102.0/24 192.168.102.1 vlan102 0
10 ADC 192.168.103.0/24 192.168.103.1 vlan10 0
a když dám tracert z MK třeba na 192.168.9.5 tak to dopadne takto:
Kód: Vybrat vše
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 80.xx.xx.89 0% 2 1.1ms 1.2 1.1 1.2
2 80.xx.xx.112 0% 2 6.3ms 6.3 6.3 6.3
3 194.228.77.255 0% 2 10.1ms 10.2 10.1 10.2
4 194.228.77.254 0% 2 10.4ms 10.5 10.4 10.5
5 194.228.77.255 0% 2 14.4ms 14.4 14.4 14.4
6 194.228.77.254 0% 2 14.9ms 14.9 14.8 14.9
7 194.228.77.255 0% 2 18.8ms 18.8 18.8 18.8
8 194.228.77.254 0% 2 19ms 19.1 19 19.2
9 194.228.77.255 0% 2 23.2ms 23.2 23.1 23.2
10 194.228.77.254 0% 2 23.7ms 23.7 23.6 23.7
11 194.228.77.255 0% 2 27.5ms 27.6 27.5 27.6
12 194.228.77.254 0% 2 27.9ms 28 27.9 28
13 194.228.77.255 0% 2 32ms 32 31.9 32
14 194.228.77.254 0% 2 32.2ms 32.3 32.2 32.3
15 194.228.77.255 0% 2 36.4ms 36.4 36.3 36.4
16 194.228.77.254 0% 2 36.7ms 36.7 36.7 36.7
17 194.228.77.255 0% 2 40.8ms 40.8 40.7 40.8
18 194.228.77.254 0% 2 41ms 41.1 41 41.2
19 194.228.77.255 0% 2 45.6ms 45.4 45.2 45.6
20 194.228.77.254 0% 2 45.8ms 45.9 45.8 45.9
21 194.228.77.255 0% 2 49.9ms 49.8 49.6 49.9
22 194.228.77.254 0% 2 49.9ms 50 49.9 50
0 x
Bývalý ISP...
dej si ty blackhole routy na privátní rozsahy ... dej.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
hmm, ale já nevidim nic špatnýho, chodí to podle předpokladu když není zadropováno. Spíš by mě zajímalo jakej router vrátí zpět TTL exceeded což je docela zajímavý protože to by znamenalo že tam maji někde oni router třeba s routou 192.168.0.0/16 někam dál do sítě a hned první router nahlásí že na něm to dál není protože tam nemají 192.168.9.0/24
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
Ale vždyť to je základní vlastnost routeru - routovat. Pokud se chceš dostat na nějakou IP, kterou router nemá na sobě nebo neví kde je, pošle dotaz na default gw, v tvém případě do světa.
Pingáš na 192.168.9.5 a rozsah s touto IP v route tabulce nevidím, tak ten dotaz router pošle ven. Pokud local rozsahy neblokuješ směrem na wan Ty, udělá to někde někdo nad tebou.
Pingáš na 192.168.9.5 a rozsah s touto IP v route tabulce nevidím, tak ten dotaz router pošle ven. Pokud local rozsahy neblokuješ směrem na wan Ty, udělá to někde někdo nad tebou.
2 x
Kde mám chybu že tyhle požadavky prolezou ven?
nemas drop pravidlo na rozsahy co nepouzivas a jsou vnitrni a o2 ho evidentne taky nema
nemas drop pravidlo na rozsahy co nepouzivas a jsou vnitrni a o2 ho evidentne taky nema
0 x
ucenej z nebe nespadl....
Kde mám chybu že tyhle požadavky prolezou ven?
nemas drop pravidlo na rozsahy co nepouzivas a jsou vnitrni a o2 ho evidentne taky nema
Opravdu je ip 194.228.77.255 vnitřní?
0 x
-
stepan.benes
- Příspěvky: 818
- Registrován: 13 years ago
- Kontaktovat uživatele:
Tomáši, jednak jsi čuně. Pak v podstatě nevím co řešíš. Routu na daný rozsah na routeru nemáš, takže jde defaultně ven. Pak jsou čuňata taky admini O2 a někde se jim to tam začně točit, načež to chcípne na TTL exceeded. Done.
0 x
Profesionální troll, manipulátor a hrubovibrační ještírek.
Vůbec mi nevěřte, protože se s Vámi velmi pravděpodobně právě teď pokouším manipulovat !!!
Vůbec mi nevěřte, protože se s Vámi velmi pravděpodobně právě teď pokouším manipulovat !!!