всем добрый вечер!
есть в офисе прокси, в нем 2 сетевые. одна смотрит на железку(сетевая1), которая маршрутизирует трафик впн туннеля и интернета. вторая(сетевая2) соответственно в офис
ситуация в следующем: со стороны железки по впн каналу не доходит трафик до офиса, останавливается на сетевухе, которая смотрит на железку (сетевая1)
как правильно прописать маршрут с сетевой1 (192.168.х.0) в сетевую2 (192.168.у.0) ?
сам прокси на трафик инспекторе, версия 2.0.1

santey007, нужно знать информацию о сетях с обеих сторон VPN тунеля.

Tonny_Bennet
внутренние интерфейсы устройств, т.е. именно туннель
впн сервер 192.168.а.0
впн клиент(он же является внешним интерфейсом прокси) 192.168.х.0
прокся 192.168.у.0
т.е. надо, что бы из сети 192.168.а.0 была доступна сеть 192.168.у.0 соответсвенно через сеть 192.168.х.0
в обратку все работает (из 192.168.у.0 в 192.168.а.0), т.е. мешает NAT,который я отключить не могу

ipconfig /all
route print
с виндовс хоста (без закрашиваний)
с указанием интерфейсов.

show route
show configuration (или аналог)
с железяки, с указанием интерфейсов.


ipconfig /all
route print
с VPN клиента при подключенном VPN

прокся
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\администратор.GFSS>route print
===========================================================================
Список интерфейсов
12...90 2b 34 77 d0 94 ......Realtek PCIe GBE Family Controller
11...90 94 e4 81 e2 5e ......D-Link DGE-528T Gigabit Ethernet Adapter
1...........................Software Loopback Interface 1
13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
15...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.7.13 192.168.7.3 266
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.99 266
192.168.0.99 255.255.255.255 On-link 192.168.0.99 266
192.168.0.255 255.255.255.255 On-link 192.168.0.99 266
192.168.7.0 255.255.255.0 On-link 192.168.7.3 266
192.168.7.3 255.255.255.255 On-link 192.168.7.3 266
192.168.7.255 255.255.255.255 On-link 192.168.7.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.99 266
224.0.0.0 240.0.0.0 On-link 192.168.7.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.99 266
255.255.255.255 255.255.255.255 On-link 192.168.7.3 266
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.7.13 По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует


C:\Users\администратор.GFSS>ipconfig/all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : proxi
Основной DNS-суффикс . . . . . . : gfcss.localnet
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : gfss.localnet

Ethernet adapter office_one:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 90-2B-34-77-D0-94
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.99(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.0.100
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter input:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : D-Link DGE-528T Gigabit Ethernet Adapter
Физический адрес. . . . . . . . . : 90-94-E4-81-E2-5E
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.7.3(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.7.13
DNS-серверы. . . . . . . . . . . : 192.168.7.13
8.8.8.8
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{1E24FC70-667D-42E7-A88B-AE72FF2A7AAB}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер 6TO4 Adapter:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{D3F18384-1268-4FA0-AB78-F86A5A3E555D}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

C:\Users\администратор.GFSS>



железка-сервер
index: 0
flag: 80800000
nexthop table ID: 0
SNAT:
start: 0
num: 0
user:
schedule:
match: 1
interface: eth3
tunnel: 0
source IP: 192.168.6.0-192.168.6.255
destination IP: 192.168.0.0-192.168.0.255
protocol: 0
source port: 0-0
destination port: 0-0
code: 0
index: 1
flag: 80800000
nexthop table ID: 1
SNAT:
start: 0
num: 0
user:
schedule:
match: 1
interface:
tunnel: 0
source IP: 192.168.6.0-192.168.6.255
destination IP: 192.168.0.0-192.168.0.255
protocol: 0
source port: 0-0
destination port: 0-0
code: 0


железка клиент (перед проксей)

index: 1
flag: 800020
nexthop table ID: 0
SNAT:
start: 0
num: 0
user:
schedule:
mark(0x1003ae18): 1
match: 1
interface:
tunnel: 3
source IP: 192.168.6.0-192.168.6.255
destination IP: 192.168.0.0-192.168.0.255
protocol: 0
source port: 0-0
destination port: 0-0
code: 0
index: 2
flag: 80800000
nexthop table ID: 1
SNAT:
start: 0
num: 0
user:
schedule:
match: 1
interface:
tunnel: 0
source IP: 192.168.7.0-192.168.7.255
destination IP: 192.168.6.0-192.168.6.255
protocol: 0
source port: 0-0
destination port: 0-0
code: 0

есть какие мысли?

железка-сервер
читать дальше »
index: 0
flag: 80800000
nexthop table ID: 0
SNAT:
start: 0
num: 0
user:
schedule:
match: 1
interface: eth3
tunnel: 0
source IP: 192.168.6.0-192.168.6.255
destination IP: 192.168.0.0-192.168.0.255
protocol: 0
source port: 0-0
destination port: 0-0
code: 0
index: 1
flag: 80800000
nexthop table ID: 1
SNAT:
start: 0
num: 0
user:
schedule:
match: 1
interface:
tunnel: 0
source IP: 192.168.6.0-192.168.6.255
destination IP: 192.168.0.0-192.168.0.255
protocol: 0
source port: 0-0
destination port: 0-0
code: 0
железка клиент (перед проксей)
читать дальше » »

с этим я не помогу - не знаю что это.

cameron, это фаервол зайвол 110. там впринцепе один маршрут с 6.0 подсети в 0.0. т.е. с сервера в наш офис...
помогите прописать маршруты в винде с одной сетевой в другую, т.к. до внешней сетевой проксика пакеты доходят, дальше через NAT не идут.

мыслей больше нет?

проблему решил путем отключения ната, т.к. в железке тоже нат и прописи шлюза железки в маршрутизации
поспешил с выводами, проблема не решена, т.к. пингуются только 2 машины: это прокся и КД. простые ПК не пингуются, соответвенно принтеры и ресурсы дргугих ПК недоступны((((

мыслей нет?

мысли, теоритические, есть.
вариант 1 - где-то неправильный ACL
вариант 2 - где-то есть NAT
вариант 3 - недокрутили маршрутизацию (маловероятно).
но, так как TI я (к счастью) видела только по описаниям и картинкам, а понять логику ваших маршрутизаторов без курения документации сложно - то дальше теории подсказать ничего не могу.
берите вайершарк, логи прокси (afaik TI 2.0x это тупо web-proxy, без routing/nat), включайте логгирование траффика на железяках и курите логи.

1-ACL -список контроля доступа?если да то нет
2- нат на железке или имеется ввиду что гдето еще нат включен?
3- незнаю что тут ответить, уже вдоль и поперек пробовал...
с ТИ или с выключенным ТИ одно и тоже(((

вчера долго сидел и шаманил, если честно какой то бред происходит: пингуются некоторые ресурсы моей сети без проблем, но бОльшая часть нет. захватывал трафик на сетевых(ваершарком), все пакеты доходят до интерфейса 7,3, но вот на интерфейс 0,99 почему то не доходят по большей части!т.е. например пингуем ресурс 192.168.0.21, то все ок!на интерфейсе 7,3 вижу пакеты, на интерфейсе 0,99 тоже все впорядке. если пингую например 192.168.0.41, то на интерфейсе 7,3 есть пакеты, но на 0,99 нет их уже. что только не пробовал, не могу понять закономерности в чем дело(маршрутизация на 0,21 и 0,41 одинаковая). причем делал ПК идентичные тем, которые пингуются (антивирусы, всякие настройки и т.п.), все равно не работает((((
крайняя мысля возникла, что может какой то косяк в кэше ARP, вприцепе надеялся что там каких то адресов нет или косяки (путанница с адресами), но нет, все блин хорошо.

исключить проксю из сети нелзья
перезалить проксю-невижу смысла, работает как часы и кроме ТИ там нет ничего(еще админкит для каспера, но эта штука не влияет ни на что, нет никаких сетевых настроек по большому счету).
вместо ТИ поставить тот же керио- не факт что то изменится, а гемора будет много (а его и так с головой хватает)
реально не могу увидеть каких то различий между машинами которые доступны и которые не доступны, все один в один...
на проксе по маршрутам все в порядке, все вроде бы должно работать, но нет

santey007,
может в сети два dhcp сервера (старый\резервный\etc), один из которых выдаёт неправильный шлюз части ПК?
вы это проверяли?

cameron конечно же нет, такие вещи я б сразу заметил, если б у кого то был другой шлюз))))
PS и DHCP сервер один единственный