Ich habe einen Router mit installiertem DD-WRT v24-sp2 und habe Probleme, auf eine andere IP-Adresse zuzugreifen, die im selben Subnetz wie meine öffentliche IP-Adresse konfiguriert ist. Mein ISP muss die WAN-Verbindung über DHCP herstellen, sodass sowohl IP als auch Gateway automatisch zugewiesen werden. Die der WAN-Schnittstelle zugewiesene IP-Adresse ist ebenfalls eine öffentliche IP-Adresse.
Um dieses Beispiel zu veranschaulichen:
DD-WRT router -> [lan] ip: 192.168.1.1/24
[wan] ip: 12.34.56.78/24 (public IP)
Nehmen wir nun an, mein Nachbar verwendet denselben ISP mit derselben Konfiguration und ist daher mit demselben öffentlichen 12.34.56.0/24Netzwerk verbunden (z. B. mit WAN-IP-Adresse 12.34.56.10) und stellt einige Dienste auf dieser öffentlichen IP bereit. Mein Problem ist, dass ich weder von meinem DD-WRT-Router noch von einem mit diesem Router verbundenen Gerät auf diesen Dienst zugreifen oder die öffentliche IP meines Nachbarn anpingen kann.
Ich kann über diesen Dienst problemlos auf ihn zugreifen, wenn ich eine andere Internetverbindung verwende. Daher bin ich 100 % sicher, dass dieses Problem nur hinter meinem DD-WRT-Router besteht.
Meine Routingtabelle sieht wie folgt aus:
root@DD-WRT:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 12.34.56.1 0.0.0.0 UG 0 0 0 vlan2
12.34.56.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.66.0 192.168.66.2 255.255.255.0 UG 0 0 0 tun0
192.168.66.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
Irgendwelche Ideen, wie man das in Angriff nehmen könnte?
Antwort1
Ich bin auch kein Experte. Ich schreibe das, weil ich mit meinem ISP ein ähnliches Setup (WAN als /24Subnetz) mit ähnlicher Routing-Tabelle habe. Der Unterschied ist, dass es funktioniert. Ich kann sogar Pakete abhören, die von oder zu einigen meiner „Nachbarn“ gesendet werden (allerdings nicht von allen; ich glaube, mit diesen teile ich einen Hub).
traceroutezu meinem „Nachbarn“ zeigt wie erwartet einen einzelnen Hop.
In Ihrem Fall sieht es so aus, als gäbe es keine One-Hop-Verbindung zwischen Ihnen und Ihrem Nachbarn oder einige transparente Geräte trennen Sie aus irgendeinem Grund. In jedem Fall ist die Konfiguration Ihres ISPs nicht genau das, was ich aufgrund der DHCP-Einstellungen, die Sie erhalten, erwarten würde. Es gibt einige Besonderheiten auf der Seite des ISPs. Das Richtige für den ISP könnte sein:
- Sie und Ihr Nachbar können über transparente Geräte wie Hubs, Switches usw. mit einem Hop kommunizieren, wodurch dies zu einem regulären Subnetz wird. oder
- So können Sie und Ihr Nachbar mit zwei Hops über das Gateway kommunizieren.
Was Sie selbst versuchen können
Dieser zweite Punkt oben bedeutet nicht, dass Sie überhaupt nicht mit Ihrem Nachbarn über das Gateway kommunizieren dürfen.Jetzt. Es kann sein, dass Sie dazu berechtigt sind oder nicht, das Gateway kann auf beide Arten konfiguriert sein. Der Punkt ist: Mit Ihrer aktuellen Routing-Tabelle versuchen Sie das nicht.
Die zweite Zeile Ihrer Routing-Tabelle ( 12.34.56.0 …) teilt Ihrem Router mit, dass er jedes Mal, wenn er ein Paket an Ihren Nachbarn senden muss, dieses mit der IP des Nachbarn senden soll.UndHardware-Adresse (MAC) als Ziel. Die Hardware-Adresse ist zunächst unbekannt, daher sendet der Router danach. Dies erreicht den Nachbarn nie und Sie stecken fest.
Versuchen Sie, die zweite Zeile vorübergehend aus der Routing-Tabelle zu löschen:
route del -net 12.34.56.0 netmask 255.255.255.0 dev vlan2
und lassen Sie die Standardeinstellung laufen. Jedes Paket von Ihnen an Ihren Nachbarn wird nicht an dessen IP-Adresse, sondern an die Hardwareadresse des Gateways gesendet (ähnlich wie bei der Kommunikation mit der Außenwelt). Jetzt ist es die Aufgabe des Gateways, dieses Paket zuzustellen. Dies kann geschehen, muss es aber nicht.
Wenn ich in meinem Fall die entsprechende Routing-Regel lösche, kann ich meine "Nachbarn" immer noch erreichen traceroute.zweiHops, der mittlere Knoten ist das Gateway meines ISPs. Das Problem sind die Antworten: Sie sind direkt an meine Hardwareadresse gerichtet, da mein "Nachbar"unverändertRouting-Tabelle. Das funktioniert bei mir, aber bei Ihnen würde es nicht funktionieren. Also Ihr Nachbarmussmachen Sie den gleichen Trick mitihreRouting-Tabelle und dann esMaiarbeiten.
Ich habe zufällig Administratorzugriff auf einen meiner „Nachbarn“. Ich habe sowohl seine Routing-Tabelle als auch meine geändert. Dann habe ich bestätigt, dass wiresharkdie Pakete in beide Richtungen über das Gateway (unter Verwendung seiner Hardwareadresse) laufen.
Wenn es für Sie und Ihren Nachbarn funktioniert, machen Sie diese Änderung irgendwie dauerhaft. Natürlich ist dies nur eine Problemumgehung und es wäre besser, wenn Ihr ISP die Konfiguration ändern würde.