Rotear para internet!

[sfidencio]

Boa noite, Srs..

tenho uma rede com seguinte topologia:

Matriz
Filial1
Filial2


As três são conectadas por meio de PTP,.. tudo em BRIDGE.,transparente..


Antes minha rede era da embratel,. tinha roteadores,. e para fazer a rede 192.168.3.0/24 falar com rede 192.168.1.0/24.; a embratel fazia o roteamento dentro do ROTEADOR dela da CISCO aqui..,até ai tudo bem,.Agora estou trabalhando em Layer2., Nessa medida, para eu não ter que mexer na minha estrutura interna..eu apenas alterei a mascara de sub-rede das minhas duas filiais e matriz para 16bits,..ou seja, ficou a três redes com classe C: 192.168.2.0/16, 192.168.1.0/16 e 192.168.3.0/16.., sendo assim, as redes estão comunicando perfeitamente. Meu Firewall é Linux Suse,..configurando com IPTABLES,.e roteamento com 2 links de saida usando iproute2. Lembrando que não estou usando ROTA COM PESO,.eu tirei isso, pois tava dando problema nos sites bancários, embora tenha como fazer MARK-PACKET no iptables,.apenas configurei um script shell que fica rodando em looping background..pingando via rota estatica do tipo HOST para ips especificos, caso um link caia, o outro assumo automaticamente em segundo,.até ai tudo bem ok?? Consigo navegar via proxy da rede da matriz onde ta o firewall(192.168.1.0/16) via NAT(MASQUERADE) e via PROXY? sim consigo perfeitamente., consigo NAVEGAR das filiais,.via PROXY? CONSIGO,.! e via NAT(MASQUERADE)? NÃO CONSIGO!!!!!.. ai vcs me perguntam,..está liberado prá fazer MASQUERADE,..está liberado,.e também prá fazer FORWARDING..normalmente,.tanto é que se eu pega ro IP da filial..e setar aqui na MATRIZ..(VCS SABEM QUE ISSO É POSSIVEL..POIS ESTOU NA MESMA REDE FÍSICA..COM OS RÁDIOS EM BRIDGE)..,ele navega vai NAT(MASQUERADING) NORMALMENTE,.. mas na filial..amigos NÃO NAVEGA..eu fiz INÚMEROS TESTES COM O SUPERVISOR.,DO PROVEDOR..e não sai o pacote.., EU ABRO O TERMINAL..na filial..e tento da um PING pra internet..ele CONSEGUE resolver o nome de WWW.UOL.COM.BR porque o meu DNS SETADO...é SPLIT., portanto, eu tenho uma zona de DNS rodando INTERNAMENTE...respondendo minhas requisições INTERNAS,..no máximo.., mas não da echo reply as requests feita pela máquina que está atrás do RADIO NA FILIAL..segue minhas configurações de ROTA DO MEU FIREWALL NA MATRIZ.
==============================================================================================
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
google-public-d minhaempresa.ded. 255.255.255.255 UGH 0 0 0 eth1
10.0.124.81 * 255.255.255.255 UH 0 0 0 tun2
10.0.124.1 10.0.124.81 255.255.255.255 UGH 0 0 0 tun2
google-public-d xxxx.yyyy.zzzz.aaaa. 255.255.255.255 UGH 0 0 0 eth3
177.52.66.32 * 255.255.255.248 U 0 0 0 eth1
xxxx..yyyy.zzzz.aaaa. * 255.255.255.240 U 0 0 0 eth3
172.16.2.0 10.0.124.81 255.255.255.0 UG 0 0 0 tun2
10.0.134.0 10.0.124.81 255.255.255.0 UG 0 0 0 tun2
link-local * 255.255.0.0 U 0 0 0 eth1
192.168.0.0 * 255.255.0.0 U 0 0 0 eth2
loopback * 255.0.0.0 U 0 0 0 lo
default xxxx.yyyy.zzzz.aaaa 0.0.0.0 UG 0 0 0 eth3

-----------------------------------------------------------------------------------------------------------------
Observem, que minha rota default..ta setada..senão não estaria funcionando a navegação via nat na matriz..e tenho rota..para a rede 192.168.0.0/16..que abrange todas minhas sub-redes 192.168.1.0/16 192.168.2.0/16 192.168.3.0/16 192.168.x.0/16...
----------------------------------

Exemplo de Configuração IP de uma maquina estacao da matriz..

ip: 192.168.1.120/16
gw default: 192.168.1.240
dns 192.168.1.240
wins 192.168.1.239
-------------------------------------------

Exemplo de Configuração IP de uma maquina da filial(onde está com problemas)
ip 192.168.2.254/16
gw default 192.168.1.240
dns 192.168.1.240
winds 192.168.1.239
----------------------------

Observem que o dns e gw default é igual tanto nas filiais quanto na matriz..setei ele direto..pq como vcs sabem..o rádio não trabalha em modo ROUTEr E SIM BRIDGE..então nem sei que IP TEM NESSE RÁDIO..é tudo transparente..LOGO,.

quando pingo por exemplo dessa maquina final 2.254 para uma maquina da matriz 1.120 por exemplo..responde blz.,assim como de filial pra filial..exemplo 2.254 pra 3.254... vai que vai uma BLZ..mas quando eu pingo para UOL ou TERRA..que é um PACOTE..cujo host não está na minha rede,. logo, ele ira procurar para o Gw DEfault que é meu 192.168.1.240 quem é ess HOST..ENTÃO ELE FICA SO DANDO TEMPO ESGOTADO O LIMITE DO PEDIDO.,,nem TRACEROUTE E NADA..ESGOTA TUDO.,e quando tambem do UM TELNET PARTINDO DESSA MAQUINA DA FILIAL..para um HOST tentando atingir um SOCKET também não ta SAINDO.., POR FIM..colequei o TCPDUMP(farejador) PRA INTERCEPTAR O TRÁFEGO..quando ping no firewall(192.168.1.240)..estando no 192.168.2.254..responde blz..no sniffer aparece echo reply e request.., mas quando pingo prá UOL..PARECE QUE NEM CHEGA NO FIREWALL..,alias,.as vezes CHEGA.só aparece isso:

root@localhost# tcpdump -vvv -i eth2 | grep 192.168.2.254
tcpdump: listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes
19:43:09.207129 arp who-has 192.168.1.240 (00:25:64:3b:2b:51 (oui Unknown)) tell 192.168.2.254


MUITO estranho.. AMIGOS, por favor me ajudem..preciso colocar isso funcionando,.pois tem um aplicativo de cartão da NTK CISCO VPN CLIENT..que funciona so via NAT..E ELE ta rodando NESSA FILIAL em questão,. os ips dele são VÁLIDOS..precisa conectar no socket para fechar o tunel vpn na maquina windows...


Aguardo..uma luz.

Obrigado!!!!

Att

[Carlos Picioli]

Você não postou suas regras de firewall. Na verdade toda sua rede ficou meio bagunçada com essa mudança ai. Outro detalhe, /16 é classe B e não classe C. Classe C é /25.

Mas, pelo visto seu problema está nas regras de firewall, já que de todos os lugares você tem comunicação com o servidor.
E claro, numa mudança como essa pode ter ficado alguns equipamentos com mascara/gateway errados. Dá uma geral nisso.

E qualquer coisa posta as regras de firewall pra gente ver.

[sfidencio]

Você não postou suas regras de firewall. Na verdade toda sua rede ficou meio bagunçada com essa mudança ai. Outro detalhe, /16 é classe B e não classe C. Classe C é /25.

Mas, pelo visto seu problema está nas regras de firewall, já que de todos os lugares você tem comunicação com o servidor.
E claro, numa mudança como essa pode ter ficado alguns equipamentos com mascara/gateway errados. Dá uma geral nisso.

E qualquer coisa posta as regras de firewall pra gente ver.

Sim, posso postar.., olha nao ficou baguncada minha..rede, existema comunicacao. e /25 so me da 125 hosts...,
seria de acordo com a RFC., concordo contigo.. /24 /25 ate o /30... porém como eu te disse., eu preciso que

as redes 192.168.1.0 conversem,. e se eu usar essa mascara orignal da RFC.., /24...nao funciona, a naõ ser que eu coloque ROTEADOR NAS PONTAS..para fazer roteamento..ai sim..,

e detalhe se fosse a mascara /16 o problema nem teria comunicacao,. NAO SER QUE MEU GATEWAY/FIREWALL ESTA BLOQUEANDO PELAS REGRAS DE ROTEAMENTO. pq pelas regras de firewall te garanto que nao ta.., o A POLICA TA DEFAULT. ACCPET PARA TODAS AS CHAINS DA DEFAULT POLICY..OK?.. o ip4 forwarding está enabled.,no kernel,. e o iptables ta mascarando a interface de internet para todas essas redes 192.168.0.0/16.., TANTO É QUE AQUI NA MATRIZ..navega perfeito via NAT...(SEM PROXY SETADO NO NAVEGADOR)..ou se vc der um TRACEROUTE ou PING..que é camada 3.,, funciona perfeito., E DETALHE nao tem nenhum equipamento com mascara errada..e gw., O


que vou fazer e o seguinte., tentar..tirar o firewall da jogada.,e colocar direto..o cabo da internet..VALIDA..PARA A porta da vlan DO EQUIPAMENTO que joga para filial a comunicação,,.e setar o IP valido..SE NAVEGAR..ai é o firewall.dee qualquer forma vou postar as regra de fw.. vlw querido!!

Att

[Carlos Picioli]

Bagunçada que eu disse não foi no sentido de dizer que esta tudo de qualquer jeito não. Foi no sentido mesmo de que as vezes é o jeito mais adequado no momento. Você tinha três redes e de repente teve que juntar tudo numa só.

E também errei a máscara, é /24 que é classe C. O /25 foi um erro de digitação.

Bom, falei do firewall porque do jeito que você detalhou tudo realmente deveria estar funcionando.

Pelo que você escreveu, eu apostaria num erro de digitação de alguma regra ou máscara em algum equipamento. Ou mesmo algum cabo colocado numa porta com vlan que não deveria estar ali.