sslug-teknik team mailing list archive

["Kristian F. Høgh" <kfh@xxxxxxxxx>]

Henrik Størner wrote:

> In <3AD20509.EB8DC4FE@xxxxxxxxx> "Kristian F. Høgh" <kfh@xxxxxxxxx> writes:
>
> >    Internet
> >      _|_
> >     |___|---- DMZ   (firewall)
> >       |10.18.0.1     (route add -net 10.28.0.0/15 gw 10.18.0.115)
> >       |
> >       |        lokalnet   (10.18.0.0/15)
> >  -----------------------------------------------------
> >     |                                         |
> >     |                                         | server
> >    _|_10.18.0.115                            _|_10.18.0.116  (default:10.18.0.1)
> >   |___|  router (default: 10.18.0.1)        |___|
> >     | 10.28.1.1
> >     |
> >     |          lokalnet2 10.28.0.0/15
> >  ---|----------------------------------
> >       |
> >       |  klient
> >      _|_ 10.28.1.16 (default: 10.28.1.1)
> >     |___|
>
> >Problemet:
> >  Jeg kan ping'e mm. fra serveren (10.18.0.116) til klienten
> >(10.28.1.16).
> >  Jeg kan *ikke* pinge mm. fra klienten til serveren .....
> >  Pakkerne går "tabt" i firewall'en. (LÆS: bliver ikke routed)
>
> Det pudsige er, at pakkerne overhovedet kommer forbi firewall'en.
> Det skal de jo ikke; de skal blot sendes til routeren mellem de to
> interne netværk.
>
> Jeg tror dette problem skyldes at din server (10.18.0.116) ikke ved
> at du har et netværk 10.28.0.0/15, som IKKE nås ved at sende trafikken
> til firewallen, men ved at sende den til routeren på 10.18.0.115.
>
> Med andre ord, så tilføj en route på serveren så den ved hvordan
> den snakker med 10.28 nettet:

Læs længere nede: (Men jeg kan/vil ikke ... Det er testet og virker OK.)

>
>
>    route add -net 10.28.0.0 netmask 255.254.0.0 gateway 10.18.0.115
>
> Grunden til at det virker den ene vej og ikke den anden kan jeg ikke
> helt greje. Jeg *tror* at det har med håndtering af "icmp redirect"

Læs længere nede ...

>
> i de enkelte maskiner at gøre; måske kan serveren håndtere en sådan,
> mens klienten ikke kan ... hvad er det for en klient (OS) ?

Håbede at den kunne ligge ........
serveren (der er flere 30+) kører linux og window ....
Jeg er ikke interesseret i at sætte indsætte en routetabel op på alle maskinerne (har
ikke "magt" på alle maskiner)
Serveren sender *ikke* icmp redirect ved ping fra klient! (det gør den når man ping'er
fra serveren).
<Dette er ikke hoved-problemet (indtil nu)>
    WindoZe maskinerne "spasser" helt af:
     De sender arp request på klienten (der sidder på et andet segment)
     (Og netmasken er OK: 255.254.0.0)
<\Dette er ikke hoved-problemet (indtil nu)>

Tak indtil videre ....

>
> --
> Henrik Storner      | "ATA100 is another testimony to the fact that
> <henrik@xxxxxxxxxx> |  pigs can be made to fly given sufficient thrust"
>                     |
>                     |          Linux kernel hacker Alan Cox, on IDE drives