Wie greife ich über den 10.x-Adressraum auf den 192.x-Adressraum zu?

17

Ich habe einen untergeordneten Router mit dem Adressraum 192.xxx. Auf jedem Rechner kann ich hier auf den 10.xxx-Adressraum zugreifen. Das Gegenteil ist nicht wahr. Ein Computer unter 10.0.xx kann kein Ping-Signal an 192.168.xx senden. Wie konfiguriere ich meinen Router, um dies zu ermöglichen?

Walross die Katze
quelle
4
Die 10.xyz- und 192.168.xy-Netzwerke sind von Natur aus nichts Besonderes, außer dass sie explizit für private Netzwerke verfügbar sind. Alles, was Sie tun müssen, ist, das Routing zu korrigieren, das jeder Systemadministrator, der es wert ist, reparieren kann.
Thorbjørn Ravn Andersen
Überprüfen Sie die Führung auf beiden Seiten. Überprüfen Sie die Firewalls auf beiden Seiten. Überprüfen Sie die Firewalls auf den Maschinen. Das sollte es abdecken.
kafka
1
Wenn man den anderen anpingen kann, aber nicht umgekehrt, liegt ein NAT- oder IP-Filter-Problem vor. Nichts in Ihrer Frage erlaubt weitere Diagnosen.
eckes

Antworten:

27

Es hört sich so an, als hätten Sie mehr als ein NAT-Gateway in einem kleinen Netzwerk. Das Ausführen von "Double NAT" - wie dies genannt wird - verursacht in der Regel mehrere Probleme, von denen sich eines auf der öffentlichen / WAN- / nicht vertrauenswürdigen Seite eines Ihrer NATs befindet. ' Die Maschinen auf der anderen Seite nicht erreichen.

Die beste Lösung, um dieses und andere Probleme mit Double NAT zu vermeiden, besteht darin, den Downstream-Router so zu konfigurieren, dass er kein NAT ausführt. Bei einigen Routern können Sie NAT deaktivieren und den WAN-Port mit den LAN-Ports verbinden. Andere haben keine Möglichkeit, dies zu tun. Sie müssen lediglich den DHCP-Server deaktivieren und einen ihrer LAN-Ports an einen LAN-Port des Upstream-Routers anschließen.

Spiff
quelle
1
Obwohl diese Antwort sachlich korrekt ist, sind zusätzliche Arbeiten erforderlich (z. B. Festlegen einer Route vom übergeordneten zum
untergeordneten
8
@davidgo, nicht wirklich, da dies das gesamte Netzwerk 192.168.xx eliminiert und alles auf 10.xxx
psusi
3
@psusi Fair genug. Ich habe falsch verstanden, dass Spiff vorschlug, das Netzwerk zu verflachen.
Davidgo
4
@davidgo Ich habe den Vorschlag auch das erste Mal falsch verstanden. Ich denke, das liegt daran, dass zunächst die Deaktivierung von NAT vorgeschlagen wird, was impliziert, dass es sich weiterhin um Routing handelt und die den Netzwerkschnittstellen zugewiesenen Adressen gleich bleiben. Wenn diese Antwort "NAT deaktivieren" lautet, bedeutet dies, das Routing vollständig zu deaktivieren.
Kasperd
10

Sie müssen Änderungen an beiden Routern vornehmen -

Auf dem untergeordneten Router - Weisen Sie der WAN-Schnittstelle eine statische IP-Adresse zu (Sie können sie entweder auf dem untergeordneten Router zuweisen, indem Sie sie im 10.xxx-Bereich, aber außerhalb des DHCP-Bereichs haben, oder mithilfe des übergeordneten Routers eine DHCP-Reservierung vornehmen, um sie zuzuweisen eine Adresse vom übergeordneten Router). Deaktivieren Sie NAT auf dem untergeordneten Router.

Auf dem übergeordneten Router müssen Sie eine statische Route für 192.168.xx mit einem Gateway der WAN-IP-Adresse des untergeordneten Routers festlegen.

Davidgo
quelle
@davidgo kannst du den letzten Teil deiner Antwort erläutern? dh Zuweisen einer statischen Route für diesen Unterraum von Adressen.
Walross the Cat
3
Ich kann keine Details angeben, ohne den Router zu kennen, aber die Logik lautet wie folgt: Der Router muss wissen, wohin er ein empfangenes Paket senden soll. Dazu sucht es in der ihm bekannten Routing-Tabelle nach der spezifischsten Route - und es kennt sich selbst, das LAN, mit dem es verbunden ist, das WAN, mit dem es verbunden ist, und seine Standardroute. Es weiß (in diesem Fall) NICHT, dass 192.168.xx-Geräte über einen Router in seinem LAN erreicht werden sollen, daher müssen Sie dies mitteilen, da sonst die Pakete für 192.168.xx über die WAN-Schnittstelle gesendet werden.
Davidgo
dd-wrt.com/wiki/index.php/Linking_Subnets_with_Static_Routes erklärt, wie dies funktioniert und wie es auf dd-wrt gemacht wird (zerlegt 192.168 jedoch in kleinere Blöcke, anstatt 2 Netzwerke zu verwenden - aber die Logik ist dieselbe)
davidgo
Da der Ping in eine Richtung funktioniert (was bedeutet, dass auch Antwortpakete ankommen), ist dies kein Routing-Problem.
eckes
@eckes Nicht wahr. Der untergeordnete Router fungiert unter anderem als Einwegventil, das NUR eingehende Pakete, die ausgehenden Paketen zugeordnet sind, durchlässt - und zwar durch Fiddeln mit der Quelladresse, wenn ausgehende Pakete vorliegen, und Umkehren des Fiddelns für zugehörige eingehende Pakete.
Davidgo