Re: Автоматический NAT
Добавлено: 11 дек 2018, 10:53
Пару советов:
1) Если НАТ работает, а без ната нет, значит сама маршрутизация между роутерами работает..
2) При тестировании, я бы пинговал не с роутера, а с компьютера с одного офиса, пингуя
компьютер в другом офисе. Так более и правильно, и тесты удобно, и трассировки можно поделать
3) Естественно надо при пинге и трассерте временно:
а) отключить НАТ
б) запустить трассерт и посмотреть куда и как доходит
в) я бы ещё утилитой торч - смотрел пинг с каким адресом приходит в туннель(Л2ТР)
и также с каким ответ приходит в другую сторону.
(тут ещё более глубоко поясню: некоторые моменты надо явно натить, скажем выход в глобал,
а вот локальные сети как и не надо, и тут надо правила и правильно и логически верно
выставить....)
г) также просто повторюсь: что антивирусники должны быть отключены, файрволы на тестовых
компах тоже.
Короче дебаг и тестирование. Где-то есть нюанс.
Сами понимаете, при НАТе = это и лишняя нагрузка и на роутеры, и не прозрачность сети,
а так, когда будет маршрутизация, Вы будете видеть каждый адрес сети филиала
отдельно, в логах почтовых серверов, и других служб будет каждый приходить
отдельно, открывается перспектива логирования, возможность каждого
юзера ограничивать, и контролировать. Давать отдельные доступы и права, а не на
один адрес за которым все сидят.
P.S.
1) А можете временно канал поднять не на L2TP?
2) Или поверх L2TP поднять скажем GRE туннель и уже через него сделать маршрутизацию
и протестировать как там всё это работает.
1) Если НАТ работает, а без ната нет, значит сама маршрутизация между роутерами работает..
2) При тестировании, я бы пинговал не с роутера, а с компьютера с одного офиса, пингуя
компьютер в другом офисе. Так более и правильно, и тесты удобно, и трассировки можно поделать
3) Естественно надо при пинге и трассерте временно:
а) отключить НАТ
б) запустить трассерт и посмотреть куда и как доходит
в) я бы ещё утилитой торч - смотрел пинг с каким адресом приходит в туннель(Л2ТР)
и также с каким ответ приходит в другую сторону.
(тут ещё более глубоко поясню: некоторые моменты надо явно натить, скажем выход в глобал,
а вот локальные сети как и не надо, и тут надо правила и правильно и логически верно
выставить....)
г) также просто повторюсь: что антивирусники должны быть отключены, файрволы на тестовых
компах тоже.
Короче дебаг и тестирование. Где-то есть нюанс.
Сами понимаете, при НАТе = это и лишняя нагрузка и на роутеры, и не прозрачность сети,
а так, когда будет маршрутизация, Вы будете видеть каждый адрес сети филиала
отдельно, в логах почтовых серверов, и других служб будет каждый приходить
отдельно, открывается перспектива логирования, возможность каждого
юзера ограничивать, и контролировать. Давать отдельные доступы и права, а не на
один адрес за которым все сидят.
P.S.
1) А можете временно канал поднять не на L2TP?
2) Или поверх L2TP поднять скажем GRE туннель и уже через него сделать маршрутизацию
и протестировать как там всё это работает.