BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Donde esta el error?

BocaDePez
BocaDePez

Cuento algo que me tiene muy, pero muy quemado, a ver si alguien ve lo que yo soy incapaz de ver:

Hay un router frontera, con ip 192.168.1.1. A este router se conecta un cortafuegos perimetral. el CP tiene como red roja la 192.168.1.2, y como red verde, 172.16.15.100. A la red verde se conecta un router neutro, con ip fija wan 172.16.15.50 y como ip lan 10.0.0.100. Y ya por fin, una serie de equipos en rango con el router neutro.

Bien, pues no hay manera de ganar acceso exterior. Desde los host puedo acceder al neutro, pero no al CP en red verde.

La unica forma de acceder ha sido puentearlo: Configuro la ethernet con dos ips; una para el neutro y otra para el CP. Asi si accedo, pero claro, se trata de no puentear al neutro...

Alguna idea?

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
JoeDalton

Vale si no te he entendido mal tienes:

Router 192.168.1.1
|
192.168.1.2
Firewall
172.16.15.100
|
172.16.15.50
Router Neutro
10.0.0.100
|
LAN (10.0.0.x)

¿Y tu problema es que desde 10.0.0.x no llegas a 192.168.1.1?

Pues el problema puede ser varios:
Tabla de rutas.
Listas de acceso.

Se supone que si tu quieres que el tráfico llegue a 192.168.1.1 el firewall deberá de dejar pasar el que proceda de 10.0.0.x y el de 172.16.15.x, pero claro, todo esto es relativo, depende del material que uses y cómo interprete el tráfico.

Seguramente tu firewall interpreta que es tráfico seguro 172.16.15.x, pero no 10.0.0.x, a lo cual como procede de otra red (si haces routing) no lo dejará pasar.

🗨️ 24
BocaDePez
BocaDePez

Vale, el esquema es correcto.

En principio la idea es que el neutro segmente una subred. Asi, al CP se conectan dispositivos del rango 172.16.15.x, entre los que esta el neutro (su ip wan es 172.16.15.200, y su puerta de enlace es el la ip verde del CP). Supongo que hasta aqui me sigues. Estoy obviando las mascaras de las ips porque estan mas que comprobadas.

Vale, pues la coña esta en que los dispositivos directos a la verde del CP van de lujo (no se han tocado...), mientras que al configurar los dispositivos para engancharse a la lan del neutro, y este a su vez a la red verde del CP, pues se ha perdido el acceso exterior. en estos.

Asi que pensando un poco, y dado que los hosts si ven al neutro, deduzco que el problema esta en la conexion neutro-verde CP.

Y me voy a una shell del CP y me hago un ping desde la verde, y no me responde al ping...

He comprobado que las ips esten en la misma red, y asi es. No hay ninguna regla iptables que le impida a la verde recibir trafico del neutro, y lo mejor de todo: Si le doy a un host de la subred del neutro una ip del rango del CP, sale sin pegas siempre que tambien sea el CP su gateway...

Espero que me hayas seguido... Ya se que me he enrrollado, pero he intentado ser lo mas claro posible.

Perdonad el toston

🗨️ 23
JoeDalton

¿Puedes poner las tablas de rutas de todos?

🗨️ 22
BocaDePez
BocaDePez

Pues dentro de la subred del neutro no hay entradas ARP.

Las del CP son:

Address HWtype HWaddress Flags Mask Iface
172.16.15.33 ether 00:30:BD:B3:16:31 C eth0
192.168.1.13 ether 00:03:0D:2F:38:AE C eth1
192.168.1.1 ether 00:13:49:7B:D3:90 C eth1
[root@kerberos-home root]#

y las del neutro, pues ni idea, porque no puedo acceder desde el interfaz web, y no me da conexion telnet que yo sepa (es un smc barracuda, por si sirve el dato)

🗨️ 21
JoeDalton
JoeDalton
🗨️ 19
BocaDePez
BocaDePez
🗨️ 17
JoeDalton
🗨️ 16
BocaDePez
BocaDePez
🗨️ 15
JoeDalton
🗨️ 14
BocaDePez
BocaDePez
🗨️ 13
JoeDalton
🗨️ 12
BocaDePez
BocaDePez
🗨️ 11
JoeDalton
🗨️ 10
BocaDePez
BocaDePez
🗨️ 9
JoeDalton
🗨️ 8
BocaDePez
BocaDePez
🗨️ 7
BocaDePez
BocaDePez
JoeDalton
🗨️ 5
BocaDePez
BocaDePez
🗨️ 4
JoeDalton
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
JoeDalton
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Bueno, aqui algunas dudas:

Dices: "En que el tráfico ha de ir de ida y de vuelta, es decir, tiene que conocer el camino para devolver el tráfico"

Bueno, esto no es asi del todo: Cuando un aparato pilla un paquete, y ha de hacerle forwarding a otra red, lo enmascara con su propia IP, pero guarda el numero de paquete para saber como ha de enrutar la respuesta. En eso se basan, entre otros, el NAT y el Masquerade. Luego el destinatario, que sabe de quien es el paquete, lo devuelve por la misma via, y asi se va desencapsulando hasta que llega al emisor. Por tanto, un router no necesita conocer la ruta a una red que no sea la de sus vecinos, y si tiene necesidad de enrutar algo que no conoce, 'pregunta' a sus vecinos por la mejor ruta a seguir.

Misma historia para "Claro, hasta que no configures el trafico de vuelta en 192.168.1.1 no recibirás paquetes de allí."

Tambien me comentas que "me da que no, a no ser que kerberos-home sea un host con ip 172.16.15.50 jamás encontrará la ruta." Por que precisamente la IP 50? No acabo de entenderlo...

A ver si me aclaras estas dudillas, y le damos carpeta al asunto ;)

Gracias por todo

🗨️ 3
JoeDalton

Bueno, esto no es asi del todo: Cuando un aparato pilla un paquete, y ha de hacerle forwarding a otra red, lo enmascara con su propia IP, pero guarda el numero de paquete para saber como ha de enrutar la respuesta. En eso se basan, entre otros, el NAT y el Masquerade. Luego el destinatario, que sabe de quien es el paquete, lo devuelve por la misma via, y asi se va desencapsulando hasta que llega al emisor. Por tanto, un router no necesita conocer la ruta a una red que no sea la de sus vecinos, y si tiene necesidad de enrutar algo que no conoce, 'pregunta' a sus vecinos por la mejor ruta a seguir.

Falso, si haces NAT si, si haces routing puro y duro cada paquete no es enmascarado. Si en la configuración tienes más de un dispositivo haciendo NAT, realmente es un 'chapuza' ya que sólo tiene lógica que haga NAT el que saca el tráfico a Internet (se puede usar para otras muchas cosas, pero en tu situación no entiendo que sea el caso. Además teniendo en cuanta que son tus redes y dispones de los rangos privados con todas las ips, para que ibas a hacer NAT internamente?

Cuando tu enrutas tráfico, necesitas o bien usar protocolos de enrutamiento, para que cada router conozca por dónde ha de llegar, o bien configurar las tablas de rutas a mano. Si no usas protocolos de enrutamiento, un router que tenga que llegar más allá de las redes que él conoce (interface 1 e interface 2) es obligatorio indicarle por qué router (red/mascara/ipgw...) ha de llegar a una red que él desconoce (no esta en int1 ni en int2).

Lo de kerberos-host es sencillo, es una ruta que hace referencia a sí mismo (en vez de poner la ip pone el nombre del host, y yo desconocía que la máquina le llamara así), ya que a cada interface la máquina conoce las redes.

🗨️ 2
BocaDePez
BocaDePez

Umnnn... No me acaba de quedar claro. No digo que no sea asi, ojo, pero tengo entendido que entre routers vecinos hay cada x tiempo un intercambio de tablas; se preguntan entre ellos para saber en todo momento quien conoce la ruta a donde, y asi poder enrutar con la mayor eficiencia. Hay varias formas de hacerlo: Desde un flood broadcast a una pregunta directa, dependiendo del protocolo de enrutamiento que usen.

Tienes algun link a mano para profundizar en el tema? Ya que estamos, saber siempre es bueno ;)

Gracias por la aclaracion.

Y si, me gusta mas ese avatar xD

🗨️ 1
JoeDalton

El intercambio de tablas es si tienes configurados protocolos de enrutamiento, sino las tablas tienes que configurarlas a mano.
No tengo ningún link a mano, pero si buscas en el google, por protocolos de enrutamiento, (o bien igp, rip, ospf) te saldrán buenos enlaces.