Как получить доступ к адресному пространству 192.x из адресного пространства 10.x?

17

У меня есть дочерний маршрутизатор с адресным пространством 192.xxx. На любой машине здесь я могу получить доступ к адресному пространству 10.xxx. Обратное неверно. Машина на 10.0.xx не может пропинговать 192.168.xx Как мне настроить мой маршрутизатор, чтобы сделать это возможным?

networking  router  ip  ip-address 
Кошка Морж
источник
4
В сетях 10.xyz и 192.168.xy нет ничего особенного, кроме того, что они явно доступны для использования в частных сетях. Следовательно, все, что вам нужно сделать, это исправить маршрут, который может исправить любой системный администратор.
Турбьерн Равн Андерсен
Проверьте маршрутизацию с обеих сторон. Проверьте брандмауэры с обеих сторон. Проверьте брандмауэры на машинах. Это должно покрыть это.
Кафка
1
Если один может пропинговать другой, но не наоборот, это проблема NAT или ip-фильтра. Ничто в вашем вопросе не позволяет дальнейшие диагнозы.
Eckes

Ответы:

27

Похоже, у вас есть несколько шлюзов NAT в небольшой сети. Выполнение «двойного NAT» - как это называется - обычно вызывает несколько хлопот, только один из которых - тот, который вы испытываете: часть вашей сети находится на общедоступной / глобальной / ненадежной стороне одного из ваших NAT и может добраться до машин на другой стороне.

Лучшее решение, чтобы избежать этой и других проблем Double NAT, - это перенастроить нисходящий маршрутизатор, чтобы он не выполнял NAT. Некоторые маршрутизаторы позволяют отключать NAT и соединять порт WAN с портами LAN. У других нет способа сделать это, поэтому вам нужно просто отключить на них DHCP-сервер и подключить один из их портов LAN к порту LAN на вышестоящем маршрутизаторе.

Spiff
источник
1
Хотя этот ответ на самом деле является правильным, необходимо выполнить дополнительную работу (т.е. установить маршрут от родительского к дочернему маршрутизатору)
davidgo
8
@ davidgo, не совсем, так как это приведет к уничтожению всей сети 192.168.xx, и все будет 10.xxx
psusi
3
@psusi Достаточно справедливо. Я неправильно понял, что Спифф предлагал сплющить сеть.
Давидго
4
@davidgo Я неправильно понял это предложение и в первый раз. Я думаю, что это потому, что сначала предлагается отключить NAT, что я подразумевал, что он все еще будет маршрутизацией, а адреса, назначенные сетевым интерфейсам, останутся прежними. Когда этот ответ говорит отключить NAT, это на самом деле означает отключить маршрутизацию вообще.
Касперд
10

Вам нужно будет внести изменения на обоих ваших маршрутизаторах -

На дочернем маршрутизаторе - Назначьте интерфейсу WAN статический IP-адрес (вы можете назначить его на дочернем маршрутизаторе, установив его в диапазоне 10.xxx, но за пределами диапазона DHCP, или использовать родительский маршрутизатор для резервирования DHCP, чтобы назначить его. адрес от родительского маршрутизатора). Отключите NAT на дочернем роутере.

На родительском маршрутизаторе необходимо установить статический маршрут для 192.168.xx со шлюзом IP-адреса WAN дочерних маршрутизаторов.

davidgo
источник
@davidgo Можете ли вы уточнить последнюю часть вашего ответа? т.е. назначение статического маршрута для этого подпространства адресов.
Кошка Морж
3
Я не могу дать конкретику, не зная маршрутизатора, но логика такова: маршрутизатор должен знать, куда отправить любой пакет, который он получает. Это делается путем поиска наиболее конкретного маршрута в таблице маршрутизации, который он знает - и он знает о себе, локальной сети, к которой он подключен, WAN, к которой он подключен, и маршрут по умолчанию. Он НЕ знает (в данном случае), что к устройствам 192.168.xx следует обращаться через маршрутизатор в его локальной сети, поэтому вам необходимо сообщить об этом, в противном случае он отправит пакеты для 192.168.xx из интерфейса WAN.
Давидго
dd-wrt.com/wiki/index.php/Linking_Subnets_with_Static_Routes объясняет, как это работает и как это сделать на dd-wrt (но разбивает 192.168 на более мелкие блоки, а не на 2 сети - но логика та же)
davidgo
Поскольку пинг работает в одном направлении (что означает, что ответные пакеты тоже приходят), это не проблема маршрутизации.
Eckes
@eckes Не правда. Дочерний маршрутизатор, помимо прочего, действует как односторонний клапан, который позволяет ТОЛЬКО пакетировать входящие пакеты, связанные с исходящими пакетами, - и делает это путем манипулирования с адресом источника, если исходящие пакеты, и обратным переключением для связанных входящих.
Давидго
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.