iT邦幫忙

0

ping防火牆外部ip有回應但內部Ip無回應(route問題)

在設定新防火牆時的疑問,公司有兩個廠分成一廠、二廠
二廠ip範圍10.5.0.0/255.255.0.0 一廠ip範圍10.4.0.0/255.255.0.0
兩廠之間有遠傳的VPN連接
二廠遠傳設備內部ip:10.5.5.253/255.255.0.0 遠傳ip:172.61.111.22/255.255.255.252
一廠遠傳設備內部ip 10.4.4.253/255.255.0.0 遠傳ip:172.61.70.126/255.255.255.252
有一台新的防火牆在一廠
設定成內部Ip:10.4.8.100/255.255.0.0 外部ip:60.238.124.61/255.255.255.0
另一台舊的防火牆內部ip:10.4.3.254 外部ip:60.238.124.64/255.255.255.255.0

從二廠的10.5.3.3 ping 一廠內部IP:10.4.8.100 不通
tracert 顯示
1 1 ms <1 ms <1 ms 10.5.5.253
2 2 ms 2 ms 2 ms 172.61.111.21
3 3 ms 4 ms 4 ms 172.61.70.126
4 * * * Request timed out.
但從二廠的10.5.3.3 ping 一廠外部IP:60.238.124.61卻可以通 tracert顯示
1 1 ms <1 ms <1 ms 10.5.5.253
2 1 ms 1 ms 1 ms 172.61.111.21
3 4 ms 4 ms 4 ms 172.61.70.126
4 4 ms 4 ms 4 ms 10.4.3.254 (另外一台防火牆 一廠對外都由這出去)
5 5 ms 4 ms 4 ms 60.238.124.61

第一個內部IP不通 應該是我沒有設定防火器的路由
在我設定10.5.0.0/255.255.0.0 gateway:10.4.4.253 後就可以通了
疑問的是為什麼外部IP是可以通的?那時候還沒設定路由,封包應該沒路由能回去10.5.3.3?
若提供的資訊還是不足以判斷問題,再麻煩告知,感謝。

看更多先前的討論...收起先前的討論...

第一個內部IP不通 應該是我沒有設定防火器的路由
在我設定10.5.0.0/255.255.0.0 gateway:10.4.4.253 後就可以通了
疑問的是為什麼外部IP是可以通的?那時候還沒設定路由,封包應該沒路由能回去10.5.3.3?
若提供的資訊還是不足以判斷問題,再麻煩告知,感謝。



1.設定10.5.0.0/255.255.0.0 gateway:10.4.4.253
你應該是在10.4.8.100加的對吧?

2.你可以List 10.5.5.253的route table list和10..4.3.254的route table list就可以知道答案了

新二君 iT邦新手 2 級 ‧ 2016-04-11 23:07:51 檢舉
先畫張簡單網路架構圖可能比較容易找出問題點
有時都是出的去回不來造成的
花輪 iT邦大師 1 級 ‧ 2016-04-12 08:51:46 檢舉
jeremy168提到:
有時都是出的去回不來造成的

YES,要看PING時回覆的訊息為何...
"要求等候逾時" 就有可能是..回不來
wonton iT邦高手 6 級 ‧ 2016-04-12 09:32:24 檢舉
iT邦幫忙MVPjanuslin提到:
10.4.3.254的route table

沒錯,看舊防火牆的 route table 就知道為什麼回得去 10.5.0.0 網段...
vit5015 iT邦新手 3 級 ‧ 2016-04-12 14:31:02 檢舉
1.對,我是在10.4.8.100加的
2.不太明白為什麼我新的防火牆10.4.8.100還沒設定任何路由,
ping 外部IP:60.238.124.61卻可以通。不是應該跟ping內部ip:10.4.8.100一樣沒有回去的路嗎?
10.5.5.253
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 172.61.111.21
ip route 10.1.0.0 255.255.0.0 FastEthernet0/1 172.61.111.21
ip route 10.5.0.0 255.255.0.0 172.61.111.21
ip route 10.7.0.0 255.255.0.0 FastEthernet0/1 172.61.111.21
ip route 172.31.0.0 255.255.0.0 FastEthernet0/1 172.61.111.21
----------------------------------------------------
10.4.3.254
Type Network Distance Metric Gateway Interface
Static 0.0.0.0/0 10 0 60.238.124.254 wan1
Connected 10.4.0.0/16 0 0 0.0.0.0 internal
Static 10.4.4.0/24 10 0 0.0.0.0 ssl.root
Static 10.5.0.0/16 10 0 10.4.4.253 interna
Connected 60.238.124.0/24 0 0 0.0.0.0 wan1
vit5015 iT邦新手 3 級 ‧ 2016-04-12 14:33:06 檢舉
對是要求等候逾時。
在10.4.8.100 加上10.5.0.0/255.255.0.0 gateway:10.4.4.253
就有回應了。只是不解的是在還沒加的時候,
為什麼ping外部ip:60.238.124.61可以回的來?
可以回的來
幫你加一個東西你就可以看的懂了
----------------------------------
從二廠的10.5.3.3 ping 一廠內部IP:10.4.8.100 不通
tracert 顯示
1 1 ms <1 ms <1 ms 10.5.5.253
2 2 ms 2 ms 2 ms 172.61.111.21
3 3 ms 4 ms 4 ms 172.61.70.126
10.4.3.254<---------------------------------看這個
4 * * * Request timed out.<---------------------10.4.8.100回不去
但從二廠的10.5.3.3 ping 一廠外部IP:60.238.124.61卻可以通 tracert顯示
1 1 ms <1 ms <1 ms 10.5.5.253
2 1 ms 1 ms 1 ms 172.61.111.21
3 4 ms 4 ms 4 ms 172.61.70.126
4 4 ms 4 ms 4 ms 10.4.3.254 (另外一台防火牆 一廠對外都由這出去)
5 5 ms 4 ms 4 ms 60.238.124.61
---------------------------------
這樣看的懂嗎 ^^
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

2
msnman
iT邦研究生 1 級 ‧ 2016-04-12 13:32:18
最佳解答

這個原因是因為你沒有設定route的路由,所以ping過去是OK的,但回來的時候沒有路由,所以使用10.4.8.100的預設路由,當然就回不去了啊!

但是,你ping 60.238.124.61的時候,無論路由是走10.4.8.100或10.4.4.253都可以通到60.238.124.61,因為預設路由都沒有問題。回來的時候走原來的路徑應該是沒問題的。

看更多先前的回應...收起先前的回應...
vit5015 iT邦新手 3 級 ‧ 2016-04-12 14:36:29 檢舉

請問為什麼ping 60.238.124.61的時候就有路由可以回去?
我這時候還沒設定路由在60.238.124.61上,沒有設定路由的話他會走原來的路回去? 抱歉因為我專業知識不太夠,問的問題可能很笨,感謝你的回答。

msnman iT邦研究生 1 級 ‧ 2016-04-12 17:57:01 檢舉

你的10.4.4.253有route到10.5.0.0
60.238.124.61跟60.238.124.64是同網段,所以回程的route用60.238.124.64和10.4.4.253就可以了!

vit5015 iT邦新手 3 級 ‧ 2016-04-14 17:29:42 檢舉

所以回程的route用60.238.124.64和10.4.4.253就可以了!

請問這句話意思是說就算我60.238.124.64沒有設定路由,他也會走這兩台的路由回去? 那我ping內部ip:10.4.8.100的時候為什麼不會走10.4.4.253的路由回去?

我以為 (1)ping內部ip:10.4.8.100的封包,到了10.4.8.100是因為沒有設定路由,所以無法知道怎麼回10.5.3.3。
那這樣推論(2)ping外部ip:60.238.124.64的封包,到了60.238.124.64不是也沒有路由回10.5.3.3,為什麼ping是成功的呢。這樣跟我ㄧ開始想法矛盾,應是我想法有錯誤?

msnman iT邦研究生 1 級 ‧ 2016-04-15 08:52:11 檢舉

10.4.3.254
Type Network Distance Metric Gateway Interface
Static 0.0.0.0/0 10 0 60.238.124.254 wan1 <<<所有10.4的封包都走wan1出去
Connected 10.4.0.0/16 0 0 0.0.0.0 internal
Static 10.4.4.0/24 10 0 0.0.0.0 ssl.root
Static 10.5.0.0/16 10 0 10.4.4.253 interna <<<所有到10.5的封包都走10.4.4.253
Connected 60.238.124.0/24 0 0 0.0.0.0 wan1

由此可見,當ping 10.4.8.100時,要出10.4網段必走wan1,所以封包都沒能回去!

但是,ping 60.238.124.61時,先由wan1走到60.238.124.61,回來時走Static 10.5.0.0/16 10 0 10.4.4.253 interna 這個是在60.238.124.64的防火牆上與60.238.124.61是同網段,所以走這條沒問題。

vit5015 iT邦新手 3 級 ‧ 2016-04-15 15:55:28 檢舉

回來時從60.238.124.61要往10.5.3.3走,但60.238.124.61沒有往10.5.3.3的路由,
那它為什麼會往60.238.124.64走? 不是應該找不到目的地嗎
是跟從60.238.124.64過來有關?
感謝你耐心的回答
//////////
我在60.238.124.61的封包資料上,看到從10.5.3.3 ping往60.238.124.61的封包,
source ip顯示是60.238.124.64而不是10.5.3.3,
所以他回去的目標是60.238.124.64為同網段,不需要路由?
為什麼從10.5.5.3來會變成60.238.124.64,是因為nat的關係?

msnman iT邦研究生 1 級 ‧ 2016-04-15 21:25:56 檢舉

因為我猜想你60.238.124.64和60.238.124.61都是連接在中華電信的小烏龜上面,相當於連接在hub上,所以相通。

msnman iT邦研究生 1 級 ‧ 2016-04-15 21:53:41 檢舉

10.4.8.100我認為是沒有預設閘道,所以,沒辦法出10.4這個網段。

msnman iT邦研究生 1 級 ‧ 2016-04-15 22:26:42 檢舉

能不能把所有路由器的路由都列出來讓我們參考看看比較準。

vit5015 iT邦新手 3 級 ‧ 2016-04-18 14:35:45 檢舉

網路架構圖

路由
10.5.5.253
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 172.61.111.21
////////////
10.4.4.253
ip classless
ip route 0.0.0.0 0.0.0.0 10.4.3.254
ip route 10.5.0.0 255.255.0.0 172.61.70.125
ip route 172.61.0.0 255.255.0.0 172.61.70.125
////////////
10.4.3.254
Type Network Distance Metric Gateway Interface
Static 0.0.0.0/0 10 0 60.238.124.254 wan1
Connected 10.4.0.0/16 0 0 0.0.0.0 internal
Static 10.4.4.0/24 10 0 0.0.0.0 ssl.root
Static 10.5.0.0/16 10 0 10.4.4.253 interna
Connected 60.238.124.0/24 0 0 0.0.0.0 wan1
///////////
10.4.8.100
類型 網路 網路閘 介面
已連通 10.4.0.0/16 0.0.0.0 lan
已連通 60.238.124.0/24 0.0.0.0 wan1

vit5015 iT邦新手 3 級 ‧ 2016-04-18 15:06:41 檢舉

原本我是把60.238.124.61的回應,想成60.238.124.61要ping 10.5.3.3,這樣不是同個子網路也沒有路由,應該顯示network is unreachable。
但實際上看封包,卻是顯示來源IP為60.238.124.64,
並不是我想的10.5.3.3。
變成同個網段下不需要路由,他封包可以傳遞給60.238.124.64,
然後在60.238.124.64可以辨認出這是要回應10.5.3.3的封包,再從它自己的路由回去。
重新想過應該是,
10.5.3.3出發的封包,到了60.238.124.64之後。從60.238.124.64要到60.238.124.61的封包,因為nat的關系所以來源被轉換成60.238.124.64。
到了60.238.124.61,兩個是同網段不用路由,能傳遞回60.238.124.64。
回60.238.124.64後,它能辨認出這是要回10.5.3.3的封包,就能從它的路由一路回到原本的10.5.3.3了。

2

你的Route List
10.5.5.253
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 172.61.111.21
ip route 10.1.0.0 255.255.0.0 FastEthernet0/1 172.61.111.21
ip route 10.5.0.0 255.255.0.0 172.61.111.21
ip route 10.7.0.0 255.255.0.0 FastEthernet0/1 172.61.111.21
ip route 172.31.0.0 255.255.0.0 FastEthernet0/1 172.61.111.21

10.4.3.254
Type Network Distance Metric Gateway Interface
Static 0.0.0.0/0 10 0 60.238.124.254 wan1
Connected 10.4.0.0/16 0 0 0.0.0.0 internal
Static 10.4.4.0/24 10 0 0.0.0.0 ssl.root
Static 10.5.0.0/16 10 0 10.4.4.253 interna
Connected 60.238.124.0/24 0 0 0.0.0.0 wan1

幫你加一個東西你應該就可以看的懂了

從二廠的10.5.3.3 ping 一廠內部IP:10.4.8.100 不通
tracert 顯示
1 1 ms <1 ms <1 ms 10.5.5.253
2 2 ms 2 ms 2 ms 172.61.111.21
3 3 ms 4 ms 4 ms 172.61.70.126
10.4.3.254<---------------------------------看這個
4 * * * Request timed out.<---------------------10.4.8.100回不去
但從二廠的10.5.3.3 ping 一廠外部IP:60.238.124.61卻可以通 tracert顯示
1 1 ms <1 ms <1 ms 10.5.5.253
2 1 ms 1 ms 1 ms 172.61.111.21
3 4 ms 4 ms 4 ms 172.61.70.126
4 4 ms 4 ms 4 ms 10.4.3.254 (另外一台防火牆 一廠對外都由這出去)
5 5 ms 4 ms 4 ms 60.238.124.61

這樣可以理解嗎?

看更多先前的回應...收起先前的回應...
vit5015 iT邦新手 3 級 ‧ 2016-04-15 16:04:52 檢舉

不能理解.. 是說ping外部IP因為有多10.4.3.254所以回來時可以回來嗎
我認知上在60.238.124.61要回去10.5.3.3應該是要出現 network is unreachable
後續我有去試著看60.238.124.61上的封包,封包顯示來源IP是60.238.124.64,
是因為這樣所以它能丟回60.238.124.64,60.238.124.64再用它的路由丟回10.5.3.3嗎?
感謝你花時間回答

iT邦幫忙MVPjanuslin提到:
Static 10.5.0.0/16 10 0 10.4.4.253 interna

因為這一筆他有回來的路

你的疑惑可以把
60.238.124.61
拔線也可以很清楚

再Tracert就知道了

vit5015 iT邦新手 3 級 ‧ 2016-04-18 15:13:38 檢舉

把60.238.124.61拔掉,再從10.5.3.3 tracert 60.238.124.61?
然後看60.238.124.64收到的封包嗎?

我的疑惑是封包來源的部份,怎麼會從10.5.3.3變成60.238.124.64,現在覺得是因為nat的關系,不知是否是這樣

vit5015提到:
怎麼會從10.5.3.3變成60.238.124.64,現在覺得是因為nat的關系

Yes

我要發表回答

立即登入回答