Двойной NAT. A может пинговать B. B не может пинговать A.

Вопрос или проблема

Подсеть крайнего маршрутизатора: 10.0.2.0/29

Шлюз подсети крайнего маршрутизатора: 10.0.2.1

Подсеть второго маршрутизатора: 10.0.5.0/29

Шлюз подсети второго маршрутизатора: 10.0.5.1

Целевая сеть: 192.168.1.0/24

IP-адрес шлюза: 10.0.5.3

Целевая сеть: 10.0.2.0/29

IP-адрес шлюза: 10.0.5.1

WAN: РАЗРЕШИТЬ ВСЁ

LAN: РАЗРЕШИТЬ ВСЁ

Фаервол Proxmox: РАЗРЕШИТЬ ВСЁ

Ответ или решение

Подробный анализ проблемы Double NAT: Пинг из B в A не работает

Введение

В данной ситуации мы имеем два маршрутизатора: один маршрутизатор на границе сети (Edge Router) и второй маршрутизатор, находящийся за ним (Second Router). Ваша проблема заключается в том, что с одного subnet (10.0.2.0/29) возможно обратиться к другому subnet (10.0.5.0/24), однако обратная связь не работает — из сети 10.0.5.0/24 пробрасываются пинги на 10.0.2.0/29.

Сеть и маршрутизация

Вы правильно сконфигурировали статические маршруты, однако, скорее всего, проблема кроется в конфигурации NAT и правилах маршрутизации между двумя подсетями. Рассмотрим основные аспекты, которые необходимо проверить для решения вашей проблемы.

1. Конфигурация NAT на маршрутизаторах:

   • Первый маршрутизатор (Edge Router) скорее всего выполняет NAT для внутреннего трафика. Проверить необходимо, каким образом он обрабатывает адреса 10.0.5.0/24. Если NAT работает, то трафик с сети 10.0.5.0 будет вынужден проходить через NAT, что может блокировать обратные пинги, так как исходящие соединения не сопоставляются с внутренними IP-адресами 10.0.2.0/29. Проверьте настройки NAT и убедитесь, что NAT "на бэкенде" настроен корректно для разрешения ответов на пинги.

2. Статические маршруты:

   • У вас настроен маршрут на Edge Router, который направляет трафик в 192.168.1.0/24 через Proxmox (10.0.5.3). Убедитесь, что данный IP-адрес соответствует интерфейсу, который может видеть трафик 10.0.2.0/29.
   • На Second Router настройка маршрута на 10.0.2.0/29 также должна соответствовать, и она должна обрабатывать входящие связи, поступающие с этого диапазона.

3. Правила брандмауэра:

   • Проверьте настройки брандмауэра на обоих маршрутизаторах. Несмотря на то, что у вас установлены правила "ALLOW ALL", могут быть скрытые блокировки.
   • Убедитесь, что протокол ICMP разрешен на всем пути от 10.0.2.0 до 192.168.1.0/24. Иногда брандмауэр может обрабатывать разные правила для WAN и LAN интерфейсов.

4. Проблема с маршрутизацией и транзитными путями:

   • Возможно, что промежуточный маршрутизатор не передает пакеты для пинга обратно, если не знает, как вернуться в сеть 10.0.2.0/29. Это может быть результатом неправильной конфигурации обратных маршрутов. Попробуйте добавить маршруты на каждом устройстве, чтобы указать, как направлять трафик в другую подсеть.

5. Логи и диагностика:

   • Используйте утилиты для анализа сети, такие как Wireshark, чтобы отследить ICMP пакеты. Это даст вам возможность увидеть, где блокируются пакеты и не попадают ли они обратно на ваш desktop или не теряются где-то на пути.

Заключение

Выше приведенные шаги и советы помогут вам диагностировать и решить проблему Double NAT в вашей сети. Правильная настройка маршрутизации и NAT является ключом к успешному взаимодействию между подсетями. Рекомендуется подробно изучить каждую конфигурацию, начиная с маршрутизации и заканчивая сетевыми фильтрами, чтобы выявить причину неполадок. Удачи в ваших усилиях по улучшению сети!