Pavel
лучше нарисуй )
Pavel
и адресацию везде да
Dmitry
По вашему описанию у вас вообще два шлюза
Dmitry
Про один из которых хосты не особо в курсе
Andrey
Сетка: 10.0.0.0/16
Шлюз:
eth0: 10.0.0.1
VPN сервер:
eth0: 10.0.0.2
tun0: 10.9.0.1
на на серваках сети просто прописан дефолтный гейтвей 10.0.0.1, как выше правильно заметили, о 10.0.0.2 и клиентах из 10.9.0.0/24 они не в курсе. Но на шлюзе прописан маршрут до 10.9.0.0/24 via 10.0.0.2
Dmitry
Кто нибудь знает ПОЧЕМУ ЭТО РАБОТАЕТ?
Andrey
т.е. получается когда клиент, подключившись через VPN пингует например хост 10.0.0.5, пакеты К нему идут напрямую, а ОТ него идут через шлюз. Причем я на шлюзе их вижу, реплаи эти. Но вот до VPN хоста они уже не доходят.
Andrey
Кто нибудь знает ПОЧЕМУ ЭТО РАБОТАЕТ?
а чего не так то?))
все хосты отвечают дефотному гейтвею, потому что у них нет маршрута. А гейтвей имея маршрут отправляет уже куда надо.
Dmitry
Может я чего-то не понимаю, но расскажите мне зачем нужна маска сети?
Dmitry
Короче пилите транзитную сеть на пару адресов и будет вам счастье
Pavel
на шлюзе reply два раза отсвечивается? (входящее от клиента и исходящее на впн сервер)
Andrey
Короче пилите транзитную сеть на пару адресов и будет вам счастье
транзитную между чем и чем?
Andrey
Pavel
значит шлюз это режет
Pavel
смотреть фаервол там видимо надо
Pavel
может он асимметричный трафик не любит
Pavel
может ещё что
Pavel
но схема да, так себе :)
Andrey
А как правильно? Разливать на все серваки маршрут до vpn сервера?
Pavel
например да
Pavel
igp запилить какой-нибудь, ospf там
Pavel
если нет возможности опенвпн на шлюзе поднять
Andrey
А сейчас еще одна ахуенная идея))) А если я его по DHCP раздам, это ок?)
Pavel
да почему бы и нет )
Pavel
главное чтобы он появился
Pavel
а каким способом - это уже от фантазии зависит
Pavel
и от религии
Andrey
Самое удивительное что это все работало с месяц примерно. И работало вообще причем без проблем
Andrey
Сегодня маленько шлюз пошатал, ipsec настраивал. И чота вот теперь оно не оч работает))
Andrey
Кто нибудь знает ПОЧЕМУ ЭТО РАБОТАЕТ?
Вот так кстати выглядит маршрут если на хост таки удалось зайти
10.9.0.6 via 10.0.0.2 dev eth0 src 10.0.1.20
cache <redirected> expires 190sec
Evgeniy
Утро в чат
Mike
утро!
Anonymous
а кто-то еще не ложился спать... :-)
Mike
а ростелеком чо, блокирует 192.88.99.1? пинги ходят, туннель не понимается
Igor
через них вроде никогда и не работало
Igor
странно, что пинги есть, раньше даже этого не было
Evgeniy
Видимо таки повешали где-то на лупбэк
Mike
от черти
Mike
а через ттк задержки по 150 и потери до 50%
Igor
у меня через мтс не лучше)
Konstantin
а ростелеком чо, блокирует 192.88.99.1? пинги ходят, туннель не понимается
Он deprecated и не должен анонсироваться в Интернет, только своим пользователям
Stanislav
а чо, native v6 не подвезли чтоли?
Konstantin
+. Требуйте натив.
Mike
не дают нэйтив
Stanislav
все эти в6 в туннеле так себе работают, скорей намучаешься и отключишь нафег
Igor
все эти в6 в туннеле так себе работают, скорей намучаешься и отключишь нафег
ну вон таннел брокер от he нормас пашет
Igor
и блокировочки обходятся)
Stanislav
сколько задержки до россии получаются?
Igor
ну там Стокгольм, не знаю, сколько от вас до них
Igor
короч гугл и яру 190-200 ms
Igor
но я-то в jebenях
Stanislav
ну хотя с учетом где вы находитесь это вроде неплохо :)
Igor
я на сёрфинге не замечаю даже
Igor
а вот ютубчек не оч, но я его с ойпеда смотрю, а туда в6 я не прокидывал
ewcha
Утро
Дмитрий
прива. Боги джунипера помогите
есть вот такая дока:
https://www.juniper.net/documentation/en_US/junos/topics/concept/layer-2-ethernet-firewall-filters-overview-mx-solutions.html
там написано
Note: Broadcast, unicast unknown, and multicast (BUM) traffic are not affected by input and output policers. BUM traffic can only be filtered by forwarding table policies.
как то грустно это
Дмитрий
типо нельзя на юните бродкаст подрезать для бриджа
Дмитрий
так чтоль?
Дмитрий
@blademd @kmisak @gngbng
Igor
лучше наверное @orlik :)
Дмитрий
Да точно
Дмитрий
Толя держи ответ
Дмитрий
а в чем такая зачсада?
Дмитрий
архитектурно почему так?
Дмитрий
у нас было так на vpls
Дмитрий
прост на интрефейс можно интерфес специфик
Дмитрий
а тут получается что надо на каждую таблицу свой фаер писать
Дмитрий
инача будет один обсчий счетчик на все
Дмитрий
:(
Дмитрий
да это все от того что хочется не пропустить шторм с одного куска сети на другой
Дмитрий
но сейчас фаервол есть в firwarding optiopns
Дмитрий
но один хер mx80 складывается
Дмитрий
так говорит что нехер энтерпрайз железке таким заниматься )
Дмитрий
а как интерфейс специфик к форвардинг оптионс засунуть?
Дмитрий
[edit firewall family vpls filter vpls-broadcast-limit-3407]
+ interface-specific;
[edit routing-instances vlan-2300]
+ forwarding-options {
+ family vpls {
+ flood {
+ input vpls-broadcast-limit-3407;
+ }
+ }
+ }
[edit routing-instances vlan-2300 forwarding-options family vpls]
'flood'
Interface specific filter vpls-broadcast-limit-3407 cannot be as an FTF
[edit routing-instances vlan-2300 forwarding-options]
'family'
Cannot extract filter:
error: Failed to read config
commit-check failed
commit-check failed
error: configuration check-out failed
Дмитрий
замена flood на фильтер не помогает
admin@A2-97# commit check
[edit routing-instances vlan-2300 forwarding-options family vpls]
'filter'
Interface specific filter vpls-broadcast-limit-3407 cannot be as an FTF
[edit routing-instances vlan-2300 forwarding-options]
'family'
Cannot extract filter:
error: Failed to read config
commit-check failed
commit-check failed
error: configuration check-out failed
Дмитрий
кароч вот такая жопа
Evgeniy
чот пипец. в календаре на сегодня 5 митингов