Як отримати доступ до адресного простору 192.x з адресного простору 10.x?

17

У мене є дочірній маршрутизатор з адресним простором 192.xxx. На будь-якій машині тут я можу отримати доступ до адресного простору 10.xxx. Зворотний неправда. Машина на 10.0.xx не може пінг 192.168.xx Як я можу налаштувати свій маршрутизатор, щоб зробити це можливим?

networking  router  ip  ip-address 
Морж Кіт
джерело
4
Про мережі 10.xyz та 192.168.xy немає нічого особливого, крім того, що вони явно доступні для використання для приватних мереж. Отже, все, що вам потрібно зробити, - це виправити маршрутизацію, яку може виправити будь-який системний адміністратор, варто його солі.
Thorbjørn Ravn Andersen
Перевірте маршрутизацію з обох сторін. Перевірте брандмауери з обох сторін. Перевірте брандмауери на машинах. Це повинно охоплювати це.
kafka
1
Якщо ви можете пінг другого, але не навпаки, це проблема NAT або ip-filter. Ніщо у вашому питанні не дозволяє подальший діагноз.
eckes

Відповіді:

27

Здається, у вас є декілька NAT-шлюзів у невеликій мережі. Виконання "Подвійного NAT" - як це називається - зазвичай спричиняє кілька клопотів, лише один з них ви відчуваєте: частина вашої мережі знаходиться на загальнодоступній / WAN / ненадійній стороні одного з ваших NAT, і може " t дістатися до машин з іншого боку.

Найкраще рішення, щоб уникнути цього та інших клопотів Double NAT - це перенастроювання маршрутизатора нижче за течією, щоб він не робив NAT. Деякі маршрутизатори дозволяють вимкнути NAT і змусити WAN-порт з'єднатись з портами LAN. Інші не мають змоги це зробити, тому вам доведеться просто відключити DHCP-сервер на них та підключити один із їхніх LAN-портів до порту LAN на верхньому маршрутизаторі.

Spiff
джерело
1
Хоча ця відповідь фактично правильна, потрібно виконати додаткову роботу (тобто встановити маршрут від батька до дочірнього маршрутизатора)
davidgo
8
@davidgo, не дуже, оскільки це дозволить усунути всю мережу 192.168.xx, і все буде 10.xxx
psusi
3
@psusi Ярмарок досить. Я неправильно прочитав, що Шпіф пропонував сплітати мережу.
davidgo
4
@davidgo Я неправильно зрозумів пропозицію вперше. Я думаю, це тому, що спочатку пропонується вимкнути NAT, що я вважав, що він все ще буде маршрутизацією, а адреси, призначені для мережевих інтерфейсів, залишатимуться такими ж. Коли ця відповідь говорить, що вимкнути NAT, це насправді означає взагалі відключити маршрутизацію.
kasperd
10

Вам потрібно буде внести зміни на обидва маршрутизатори -

На дочірньому маршрутизаторі - призначте інтерфейсу WAN статичну IP-адресу (ви можете призначити його на дочірньому маршрутизаторі, розмістивши його в діапазоні 10.xxx, але поза діапазоном DHCP, або можете використовувати батьківський маршрутизатор для резервування DHCP для призначення адресу від батьківського маршрутизатора). Вимкнути NAT на маршрутизаторі.

На батьківському маршрутизаторі потрібно встановити статичний маршрут для 192.168.xx з шлюзом дочірнього маршрутизатора IP-адреси WAN.

Давидго
джерело
@davidgo чи можете ви детальніше розповісти про останню частину своєї відповіді? тобто призначення статичного маршруту для цього підпростору адрес.
Морж Кіт
3
Я не можу дати конкретику, не знаючи маршрутизатора, але логіка така: маршрутизатор повинен знати, куди надсилати будь-який пакет, який він отримує. Це робиться шляхом пошуку найбільш конкретного маршруту в таблиці маршрутів, яку він знає, - і він знає про себе, про локальну мережу, до якої він підключений, WAN, до якого він підключений, і маршрут за замовчуванням. Він НЕ знає (в даному випадку), що пристрої 192.168.xx повинні бути доступні через маршрутизатор у своїй локальній мережі, тому вам потрібно сказати про це, інакше він надішле пакети для 192.168.xx з інтерфейсу WAN.
davidgo
dd-wrt.com/wiki/index.php/Linking_Subnets_with_Static_Routes пояснює, як це працює і як це робити на dd-wrt (але розбиває 192.168 на менші блоки, замість того, щоб використовувати 2 мережі - але логіка та сама)
davidgo
Оскільки пінг працює в одному напрямку (а це означає, що також надходять пакети відповідей), це не проблема маршрутизації.
eckes
@eckes Неправда. Дочірній маршрутизатор, між іншим, виступає як односторонній клапан, який дозволяє ВІДПРИЄМНО вбирати вхідні пакети, пов'язані з вихідними пакетами наскрізь, - і це робиться, знайшовшись з адресою джерела, якщо вихідні пакети, і скасовує зміну для пов'язаних вхідних.
davidgo
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.