在設定新防火牆時的疑問,公司有兩個廠分成一廠、二廠
二廠ip範圍10.5.0.0/255.255.0.0 一廠ip範圍10.4.0.0/255.255.0.0
兩廠之間有遠傳的VPN連接
二廠遠傳設備內部ip:10.5.5.253/255.255.0.0 遠傳ip:172.61.111.22/255.255.255.252
一廠遠傳設備內部ip 10.4.4.253/255.255.0.0 遠傳ip:172.61.70.126/255.255.255.252
有一台新的防火牆在一廠
設定成內部Ip:10.4.8.100/255.255.0.0 外部ip:60.238.124.61/255.255.255.0
另一台舊的防火牆內部ip:10.4.3.254 外部ip:60.238.124.64/255.255.255.255.0
從二廠的10.5.3.3 ping 一廠內部IP:10.4.8.100 不通
tracert 顯示
1 1 ms <1 ms <1 ms 10.5.5.253
2 2 ms 2 ms 2 ms 172.61.111.21
3 3 ms 4 ms 4 ms 172.61.70.126
4 * * * Request timed out.
但從二廠的10.5.3.3 ping 一廠外部IP:60.238.124.61卻可以通 tracert顯示
1 1 ms <1 ms <1 ms 10.5.5.253
2 1 ms 1 ms 1 ms 172.61.111.21
3 4 ms 4 ms 4 ms 172.61.70.126
4 4 ms 4 ms 4 ms 10.4.3.254 (另外一台防火牆 一廠對外都由這出去)
5 5 ms 4 ms 4 ms 60.238.124.61
第一個內部IP不通 應該是我沒有設定防火器的路由
在我設定10.5.0.0/255.255.0.0 gateway:10.4.4.253 後就可以通了
疑問的是為什麼外部IP是可以通的?那時候還沒設定路由,封包應該沒路由能回去10.5.3.3?
若提供的資訊還是不足以判斷問題,再麻煩告知,感謝。
第一個內部IP不通 應該是我沒有設定防火器的路由
在我設定10.5.0.0/255.255.0.0 gateway:10.4.4.253 後就可以通了
疑問的是為什麼外部IP是可以通的?那時候還沒設定路由,封包應該沒路由能回去10.5.3.3?
若提供的資訊還是不足以判斷問題,再麻煩告知,感謝。
1.設定10.5.0.0/255.255.0.0 gateway:10.4.4.253
你應該是在10.4.8.100加的對吧?
2.你可以List 10.5.5.253的route table list和10..4.3.254的route table list就可以知道答案了
jeremy168提到:
有時都是出的去回不來造成的
iT邦幫忙MVPjanuslin提到:
10.4.3.254的route table
這個原因是因為你沒有設定route的路由,所以ping過去是OK的,但回來的時候沒有路由,所以使用10.4.8.100的預設路由,當然就回不去了啊!
但是,你ping 60.238.124.61的時候,無論路由是走10.4.8.100或10.4.4.253都可以通到60.238.124.61,因為預設路由都沒有問題。回來的時候走原來的路徑應該是沒問題的。
請問為什麼ping 60.238.124.61的時候就有路由可以回去?
我這時候還沒設定路由在60.238.124.61上,沒有設定路由的話他會走原來的路回去? 抱歉因為我專業知識不太夠,問的問題可能很笨,感謝你的回答。
你的10.4.4.253有route到10.5.0.0
60.238.124.61跟60.238.124.64是同網段,所以回程的route用60.238.124.64和10.4.4.253就可以了!
所以回程的route用60.238.124.64和10.4.4.253就可以了!
請問這句話意思是說就算我60.238.124.64沒有設定路由,他也會走這兩台的路由回去? 那我ping內部ip:10.4.8.100的時候為什麼不會走10.4.4.253的路由回去?
我以為 (1)ping內部ip:10.4.8.100的封包,到了10.4.8.100是因為沒有設定路由,所以無法知道怎麼回10.5.3.3。
那這樣推論(2)ping外部ip:60.238.124.64的封包,到了60.238.124.64不是也沒有路由回10.5.3.3,為什麼ping是成功的呢。這樣跟我ㄧ開始想法矛盾,應是我想法有錯誤?
10.4.3.254
Type Network Distance Metric Gateway Interface
Static 0.0.0.0/0 10 0 60.238.124.254 wan1 <<<所有10.4的封包都走wan1出去
Connected 10.4.0.0/16 0 0 0.0.0.0 internal
Static 10.4.4.0/24 10 0 0.0.0.0 ssl.root
Static 10.5.0.0/16 10 0 10.4.4.253 interna <<<所有到10.5的封包都走10.4.4.253
Connected 60.238.124.0/24 0 0 0.0.0.0 wan1
由此可見,當ping 10.4.8.100時,要出10.4網段必走wan1,所以封包都沒能回去!
但是,ping 60.238.124.61時,先由wan1走到60.238.124.61,回來時走Static 10.5.0.0/16 10 0 10.4.4.253 interna 這個是在60.238.124.64的防火牆上與60.238.124.61是同網段,所以走這條沒問題。
回來時從60.238.124.61要往10.5.3.3走,但60.238.124.61沒有往10.5.3.3的路由,
那它為什麼會往60.238.124.64走? 不是應該找不到目的地嗎
是跟從60.238.124.64過來有關?
感謝你耐心的回答
//////////
我在60.238.124.61的封包資料上,看到從10.5.3.3 ping往60.238.124.61的封包,
source ip顯示是60.238.124.64而不是10.5.3.3,
所以他回去的目標是60.238.124.64為同網段,不需要路由?
為什麼從10.5.5.3來會變成60.238.124.64,是因為nat的關係?
因為我猜想你60.238.124.64和60.238.124.61都是連接在中華電信的小烏龜上面,相當於連接在hub上,所以相通。
10.4.8.100我認為是沒有預設閘道,所以,沒辦法出10.4這個網段。
能不能把所有路由器的路由都列出來讓我們參考看看比較準。
網路架構圖
路由
10.5.5.253
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 172.61.111.21
////////////
10.4.4.253
ip classless
ip route 0.0.0.0 0.0.0.0 10.4.3.254
ip route 10.5.0.0 255.255.0.0 172.61.70.125
ip route 172.61.0.0 255.255.0.0 172.61.70.125
////////////
10.4.3.254
Type Network Distance Metric Gateway Interface
Static 0.0.0.0/0 10 0 60.238.124.254 wan1
Connected 10.4.0.0/16 0 0 0.0.0.0 internal
Static 10.4.4.0/24 10 0 0.0.0.0 ssl.root
Static 10.5.0.0/16 10 0 10.4.4.253 interna
Connected 60.238.124.0/24 0 0 0.0.0.0 wan1
///////////
10.4.8.100
類型 網路 網路閘 介面
已連通 10.4.0.0/16 0.0.0.0 lan
已連通 60.238.124.0/24 0.0.0.0 wan1
原本我是把60.238.124.61的回應,想成60.238.124.61要ping 10.5.3.3,這樣不是同個子網路也沒有路由,應該顯示network is unreachable。
但實際上看封包,卻是顯示來源IP為60.238.124.64,
並不是我想的10.5.3.3。
變成同個網段下不需要路由,他封包可以傳遞給60.238.124.64,
然後在60.238.124.64可以辨認出這是要回應10.5.3.3的封包,再從它自己的路由回去。
重新想過應該是,
10.5.3.3出發的封包,到了60.238.124.64之後。從60.238.124.64要到60.238.124.61的封包,因為nat的關系所以來源被轉換成60.238.124.64。
到了60.238.124.61,兩個是同網段不用路由,能傳遞回60.238.124.64。
回60.238.124.64後,它能辨認出這是要回10.5.3.3的封包,就能從它的路由一路回到原本的10.5.3.3了。
10.4.3.254
Type Network Distance Metric Gateway Interface
Static 0.0.0.0/0 10 0 60.238.124.254 wan1
Connected 10.4.0.0/16 0 0 0.0.0.0 internal
Static 10.4.4.0/24 10 0 0.0.0.0 ssl.root
Static 10.5.0.0/16 10 0 10.4.4.253 interna
Connected 60.238.124.0/24 0 0 0.0.0.0 wan1
這樣可以理解嗎?
不能理解.. 是說ping外部IP因為有多10.4.3.254所以回來時可以回來嗎
我認知上在60.238.124.61要回去10.5.3.3應該是要出現 network is unreachable
後續我有去試著看60.238.124.61上的封包,封包顯示來源IP是60.238.124.64,
是因為這樣所以它能丟回60.238.124.64,60.238.124.64再用它的路由丟回10.5.3.3嗎?
感謝你花時間回答
iT邦幫忙MVPjanuslin提到:
Static 10.5.0.0/16 10 0 10.4.4.253 interna
因為這一筆他有回來的路
你的疑惑可以把
60.238.124.61
拔線也可以很清楚