iT邦幫忙

0

想請教各位先進~
最近在公司網路遇到奇怪疑問,在大陸那邊,電腦gateway指向防火牆想在台灣透過專線遠端去大陸電腦就會無法連線,但卻可以ping到對方電腦與telnet 3389port成功,如果gateway先指向到cisco router(這台是專門拿來走專線使用的),在加上一筆路由將要出外網的封包丟往防火牆上,這樣設定台灣可以遠端過去大陸電腦,但大陸電腦卻會可以ping到外網,卻無法上網。也看過防火牆設定,並沒有設定有所阻擋。大陸同仁也測試過每台switch並沒有壞掉狀況。想請問一下,還有甚麼原因可能會有此問題,希望各位能給點小弟一點方向,謝謝

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
8
SunAllen
iT邦研究生 1 級 ‧ 2010-08-06 13:44:25

看了很久,還是不太懂意思

1.在大陸那邊,電腦gateway指向防火牆想在台灣透過專線遠端去大陸電腦就會無法連線,但卻可以ping到對方電腦與 telnet 3389port成功

1-1大陸ping&telnet台灣? 台灣ping&telnet大陸?

2.如果gateway先指向到cisco router(這台是專門拿來走專線使用的),在加上一筆路由將要出外網的封包丟往防火牆上,這樣設定台灣可以遠端過去大陸電腦,但大陸電腦卻會可以 ping到外網,卻無法上網。

2-1 對外有二條線路?
2-2 一台接防火牆 一台接router?

3.看過防火牆設定,並沒有設定有所阻擋。大陸同仁也測試過每台switch並沒有壞掉狀況。想請問一下,還有甚麼原因可能會有此問題。

3-1台灣的防火牆? 大陸的防火牆?
3-2那邊的siwtch???

10
zyman2008
iT邦大師 6 級 ‧ 2010-08-06 15:18:02

這是ICMP redirect 的問題.
大概兩種解法:
方法1.在大陸端電腦的防火牆, 要允許接收ICMP redirect封包.
方法2.直接在大陸端電腦上設static route.
(1)大陸端電腦gateway設向防火牆.(所以他就可以上Internet)
(2)大陸端電腦上設定,往台灣內網的static route指向cisco router.

看更多先前的回應...收起先前的回應...
SunAllen iT邦研究生 1 級 ‧ 2010-08-06 15:27:58 檢舉

讚 看了好久忙 看不太懂

大大好強簽名

cysmis02 iT邦新手 4 級 ‧ 2010-08-06 17:15:49 檢舉

老實說,我也是看了粉久也看無。。。Orz

zyman2008 iT邦大師 6 級 ‧ 2010-08-06 22:07:44 檢舉

舉個例子說明,假設環境如下:
大陸端:
1.內網的網段為 192.168.1.0/24
2.要上Internet都先透過一個firewall,firewall接內網的IP為192.168.1.254
3.有一部在內網的電腦 A, IP address為192.168.1.1,default gw為192.168.1.254
4.有一部cisco router接內網的IP address為192.168.1.253
5.cisco router另一端接專線,專線可以routing到台灣端的內網
6.防火有上有設定static route 10.1.1.0/24 往 gw 192.168.1.253
台灣端:
1.內網的網段為10.1.1.0/24
2.有一部cisco router接內網的IP address為10.1.1.253
3.cisco router另一端接專線,專線可以routing到大陸端的內網
4.內網有一部電腦 B, IP address為10.1.1.1,default gw為10.1.1.253
當台灣端電腦 B(10.1.1.1)要去連大陸端電腦 A(192.168.1.1)
1.網路封包會往 10.1.1.253 送
2.經過專線到達大陸端的cisco router
3.由192.168.1.253這個router網路介面將封包送給電腦 A
4.電腦 A 收到封包後要回應電腦 B
5.所以回應的封包被送往default gw,就是防火牆192.168.1.254
6.防火牆收到封包後,檢查自己的路由表,發現要往10.1.1.0/24的next hop是cisco
router-192.168.1.253
7.防火牆同時發現電腦 A-192.168.1.1 和 cisco router-192.168.1.253是在
同一網段.電腦 A 其實可以直接把封包送給192.168.1.253,不必那麼費事先把封包
送給防火牆,再轉送到192.168.1.253.所以防火牆就很雞婆的送出一個ICMP redirect
的訊息給電腦A,告訴它以後要往10.1.1.0/24的封包可以直接往192.168.1.253送.

zyman2008 iT邦大師 6 級 ‧ 2010-08-06 22:08:01 檢舉

問題來了,如果電腦 A 的防火牆拒收這樣的封包.或是根本不支援ICMP redirect,不理會
這樣的訊息. 那麼電腦 A 就只會一直把封包往防火牆丟. 而防火牆又不想幫你轉送封包,
一直發ICMP redirect給電腦 A. 那麼電腦 A 就永遠無法回應台灣端的電腦 B. 所以
連線就一直建不起來, 結果就像樓主說的台灣端連不到大陸端電腦.

Ray iT邦大神 1 級 ‧ 2010-08-06 22:55:05 檢舉

果然, zyman2008 一出手, 便知是老手....

當一般人還聽不懂樓主在講些甚麼, 搞不清楚甚麼是 ICMP Redirect 的時候, zyman2008 馬上已經以光速般的直覺, 從豐富的經驗中, 建構出正確的情境, 解開大家的謎團.......

能立刻想到 ICMP Redirect, 表示整天都跟網路設備在搏鬥....

(電視正好在播柯南.....我大概看太多電視了)

vern iT邦新手 5 級 ‧ 2010-08-07 01:08:12 檢舉

謝謝zyman2008詳細的解說
您預設的舉例,和我遇到的狀況根本可以說是一模一樣,但我試著找防火牆上是否有ICMP Redirect,怎麼找就是找不到,或許是小弟我功力太差了,實在不知道在哪設定才好
也真的很謝謝您給我那麼好的意見,我會試試第二種方法,看看是否可行,但還想請教一下,是否可以直接在server上設定static route,讓所有使用者都可以要往台灣內網的static route指向cisco router,謝謝

zyman2008 iT邦大師 6 級 ‧ 2010-08-08 22:27:05 檢舉

以Windows 7為例, 要設定防火牆允許 ICMP redirect.
1.到 控制台\系統及安全性\Windows 防火牆
2.選左邊的進階設定
3.選輸入規則, 新增規則.
(1)規則類別選自訂,按下一步.
(2)程式選所有程式,按下一步.
(3)通訊協定選ICMPv4,在最下面的ICMP選項按自訂,選特定ICMP類型/重新導向
(4)後續幾項直接使用預設值,所以都直接按下一步.
(5)名稱可以輸入 ICMPv4-redirect-In 作識別.

sailsolitary iT邦研究生 2 級 ‧ 2010-08-10 09:50:24 檢舉

如果是在 Windows 環境下要設定 Static Route 可以輸入
Route add 10.1.1.0 mask 255.255.255.0 192.168.1.253 -p

0
kingkonghk
iT邦新手 4 級 ‧ 2015-05-07 11:16:35

規劃server 機也要考慮做好備份, 否則出現問題, 什麼也救不了。
可以參考 http://www.ahsay.com/jsp/tc/home/

我要發表回答

立即登入回答