Stránka 1 z 1
Ping odpovídá na neexistující síť
Napsal: 18 Mar 2019 11:50
od Tomáš Nesrsta
Čau lidi,
asi budu za blbce ale tohle se mi ještě nestalo tak se zeptám.
Mám profi linku od O2 přes optiku. Jako gateway je RB4011. Ether1 je vstup, na rozhranní je IP od O2 /29 a defaultní routa je na jejich gateway. Dále je udelanej adreslist sítí které jsou na ostatních portech a v NATu je src nat rozsahů z adreslistu na IP co je na eth1 odchozí iface eth1.
Takhle je to OK.
Problém je že když si dám ping na vnitřní síti ping na IP která nefunguje nebo neexistuje tak se požadavek dostane až do sítě O2 a odpoví mi jejich ip 194.228.77.255 s tím že TTL exceeded.
Kde mám chybu že tyhle požadavky prolezou ven? A proč to hned první zařízení od O2 nezařízne ale posílá to dál?
Re: Ping odpovídá na neexistující síť
Napsal: 18 Mar 2019 13:02
od ludvik
Jak má to první zařízení O2 vědět, že ta IP neexistuje?
Re: Ping odpovídá na neexistující síť
Napsal: 18 Mar 2019 13:07
od mirek.k
Já to chápu tak, že pingá z LAN do LAN.
A to by router měl otočit dovnitř.
Chyba by měla být timeout, ne TTL.
Takto to vybadá na nějakou chybu v routování.
Re: Ping odpovídá na neexistující síť
Napsal: 18 Mar 2019 13:10
od ludvik
Pokud si tazatel myslí, že by ta pingovaná IP měla být v interní síti, tak je pravda, že by to nemělo opustit jeho router. Což tedy zjevně opustí.
Jedna z chyb je, že ten router nemá blackhole routy na privátní rozsahy.
Re: Ping odpovídá na neexistující síť
Napsal: 18 Mar 2019 13:46
od stepan.benes
Není jasný na co se vlastně ptáš. Dej sem dump route table a adresu na kterou ten ping míříš.
Re: Ping odpovídá na neexistující síť
Napsal: 18 Mar 2019 19:44
od the.max
Já to chápu tak, že na 4011je několik subnetů, dejme tomu 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 a když si pustím ping ze kterého subnetu třeba na 192.168.4.1, tak to router logicky pošle ven na default gw, což je špatně, protože router by měl správně veškerá odchozí spojení na privátní rozsahy zahazovat, což asi musíš pořešit buď firewallem, nebo alespoň routou do "černé díry".
Re: Ping odpovídá na neexistující síť
Napsal: 18 Mar 2019 21:14
od Tomáš Nesrsta
the.max píše:Já to chápu tak, že na 4011je několik subnetů, dejme tomu 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 a když si pustím ping ze kterého subnetu třeba na 192.168.4.1, tak to router logicky pošle ven na default gw, což je špatně, protože router by měl správně veškerá odchozí spojení na privátní rozsahy zahazovat, což asi musíš pořešit buď firewallem, nebo alespoň routou do "černé díry".
Ano chápeš to správně.
Jinak routovací tabulka vypadá takto:
Kód: Vybrat vše
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 80.xx.xx.89 1
1 ADC 80.xx.xx.88/29 80.xx.xx.90 ether1 0
2 ADC 172.28.0.0/23 172.28.0.1 vlan20 0
3 ADC 172.31.10.0/29 172.31.10.3 ether9 0
4 ADC 192.168.10.0/24 192.168.10.1 vlan10 0
5 ADC 192.168.15.0/24 192.168.15.1 vlan15 0
6 DC 192.168.88.0/24 192.168.88.1 ether2 255
7 ADC 192.168.100.0/24 192.168.100.1 vlan100 0
8 ADC 192.168.101.0/24 192.168.101.1 vlan101 0
9 ADC 192.168.102.0/24 192.168.102.1 vlan102 0
10 ADC 192.168.103.0/24 192.168.103.1 vlan10 0
a když dám tracert z MK třeba na 192.168.9.5 tak to dopadne takto:
Kód: Vybrat vše
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 80.xx.xx.89 0% 2 1.1ms 1.2 1.1 1.2
2 80.xx.xx.112 0% 2 6.3ms 6.3 6.3 6.3
3 194.228.77.255 0% 2 10.1ms 10.2 10.1 10.2
4 194.228.77.254 0% 2 10.4ms 10.5 10.4 10.5
5 194.228.77.255 0% 2 14.4ms 14.4 14.4 14.4
6 194.228.77.254 0% 2 14.9ms 14.9 14.8 14.9
7 194.228.77.255 0% 2 18.8ms 18.8 18.8 18.8
8 194.228.77.254 0% 2 19ms 19.1 19 19.2
9 194.228.77.255 0% 2 23.2ms 23.2 23.1 23.2
10 194.228.77.254 0% 2 23.7ms 23.7 23.6 23.7
11 194.228.77.255 0% 2 27.5ms 27.6 27.5 27.6
12 194.228.77.254 0% 2 27.9ms 28 27.9 28
13 194.228.77.255 0% 2 32ms 32 31.9 32
14 194.228.77.254 0% 2 32.2ms 32.3 32.2 32.3
15 194.228.77.255 0% 2 36.4ms 36.4 36.3 36.4
16 194.228.77.254 0% 2 36.7ms 36.7 36.7 36.7
17 194.228.77.255 0% 2 40.8ms 40.8 40.7 40.8
18 194.228.77.254 0% 2 41ms 41.1 41 41.2
19 194.228.77.255 0% 2 45.6ms 45.4 45.2 45.6
20 194.228.77.254 0% 2 45.8ms 45.9 45.8 45.9
21 194.228.77.255 0% 2 49.9ms 49.8 49.6 49.9
22 194.228.77.254 0% 2 49.9ms 50 49.9 50
Re: Ping odpovídá na neexistující síť
Napsal: 18 Mar 2019 21:33
od ludvik
dej si ty blackhole routy na privátní rozsahy ... dej.
Re: Ping odpovídá na neexistující síť
Napsal: 18 Mar 2019 21:48
od hapi
hmm, ale já nevidim nic špatnýho, chodí to podle předpokladu když není zadropováno. Spíš by mě zajímalo jakej router vrátí zpět TTL exceeded což je docela zajímavý protože to by znamenalo že tam maji někde oni router třeba s routou 192.168.0.0/16 někam dál do sítě a hned první router nahlásí že na něm to dál není protože tam nemají 192.168.9.0/24
Re: Ping odpovídá na neexistující síť
Napsal: 18 Mar 2019 22:44
od pin
Ale vždyť to je základní vlastnost routeru - routovat. Pokud se chceš dostat na nějakou IP, kterou router nemá na sobě nebo neví kde je, pošle dotaz na default gw, v tvém případě do světa.
Pingáš na 192.168.9.5 a rozsah s touto IP v route tabulce nevidím, tak ten dotaz router pošle ven. Pokud local rozsahy neblokuješ směrem na wan Ty, udělá to někde někdo nad tebou.
Re: Ping odpovídá na neexistující síť
Napsal: 19 Mar 2019 09:40
od jirson
Kde mám chybu že tyhle požadavky prolezou ven?
nemas drop pravidlo na rozsahy co nepouzivas a jsou vnitrni a o2 ho evidentne taky nema
Re: Ping odpovídá na neexistující síť
Napsal: 19 Mar 2019 11:11
od zemji
Kde mám chybu že tyhle požadavky prolezou ven?
nemas drop pravidlo na rozsahy co nepouzivas a jsou vnitrni a o2 ho evidentne taky nema
Opravdu je ip 194.228.77.255 vnitřní?
Re: Ping odpovídá na neexistující síť
Napsal: 19 Mar 2019 19:20
od stepan.benes
Tomáši, jednak jsi čuně. Pak v podstatě nevím co řešíš. Routu na daný rozsah na routeru nemáš, takže jde defaultně ven. Pak jsou čuňata taky admini O2 a někde se jim to tam začně točit, načež to chcípne na TTL exceeded. Done.