tengo red escolar10.0.0.0/8
Tengo Debian ejecutándose con 10.122.72.2una puerta de enlace IP estática asignada 10.122.72.1en eth0 y una red local 10.122.2.0/24en eth1
El problema es que puedo acceder a la red de otras personas, por ejemplo. 10.122.1.0/24pero no puedo acceder a mi red local desde fuera, por ejemplo. ping 10.122.2.1de 10.122.1.0/24la red
tracert 10.122.1.1desde mi red local dame cómo se enruta el paquete10.122.2.1 -> 10.122.72.1 -> 10.122.1.1
Y tracert 10.122.2.1de 10.122.1.0/24red dame10.122.1.1 -> 10.122.254.9 -> request timed out
sudo route -nDame esto :
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.122.72.1 0.0.0.0 UG 0 0 0 eth0
10.122.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.122.72.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
y aquí está mi/etc/network/interfaces
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 10.122.72.2
netmask 255.255.255.0
network 10.122.72.0
broadcast 10.122.72.255
gateway 10.122.72.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 202.46.129.2
auto eth1
iface eth1 inet static
address 10.122.2.1
netmask 255.255.255.0
network 10.122.2.0
broadcast 10.122.2.255
Aquí están mis reglas de firewall.
outif="eth0"
lanif="eth1"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -o $lanif -j MASQUERADE
iptables -t nat -A POSTROUTING -o $outif -j MASQUERADE
¿Cómo puedo hacer que mi red local sea accesible desde el exterior?
gracias de antemano
Respuesta1
El problema aquí no es tu enrutador (al menos no todavía).
Lo que tracertejecutó muestra que 10.122.254.9no parece saber dónde enrutar el paquete a continuación. Debe configurar los otros enrutadores en la red de la escuela para enrutarlos 10.122.2.0/24a su enrutador.
Una vez hecho esto, incluso deberías poder eliminar NAT de tu enrutador.
Dados los dos tracertresultados que ha dado, parece que su red es algo como esto:
El enrutamiento IP funciona salto a salto. Cuando intentas enviar un paquete a 10.122.2.1, hay dos posibilidades:
- Estás en la misma subred que
10.122.2.1: Simplemente averiguas su dirección de capa 2 y le envías el paquete. - Estás en una subred diferente. Busca en su tabla de enrutamiento para encontrar un enrutador en su subred que lo acerque a
10.122.2.1, encuentra su dirección de capa 2 y le envía el paquete. Luego sigue los mismos pasos que tú.
En su caso, cuando esté en la 10.122.1.0/24red, si la representación dada anteriormente es correcta, puede enviar un mensaje a los enrutadores 1 y 2 controlados por la escuela (siendo 2 la puerta de enlace predeterminada, cuando no sabe a quién enviarlo). ).
Como no está en la 10.122.2.0/24red y no sabe a quién enviarlo, lo envía a la puerta de enlace predeterminada, 10.122.1.1también conocida como enrutador 2 controlado por la escuela. No está en la misma subred que 10.122.2.1ninguno de los dos y no tiene una entrada especial para él, de modo que lo envía a su puerta de enlace predeterminada, 10.122.254.9que a su vez probablemente intenta enviarlo a Internet, momento en el que se descarta porque se 10.122.2.1encuentra en un rango de IP privado.
Si está en la 10.122.72.0/24red, puede agregar una entrada para indicarle a su computadora a qué 10.122.2.0/24se puede acceder a través de 10.122.72.2, pero como se encuentra en otra subred más, debe informar a los enrutadores controlados por la escuela a qué 10.122.2.0/24se puede acceder a través de 10.122.72.2. En este caso, significaría actualizar el enrutador 1 controlado por la escuela con una entrada directa para su red accesible a través de su máquina Debian, y el enrutador 2 controlado por la escuela con una entrada para su red accesible a través del enrutador 1 controlado por la escuela.
Sin controlar los enrutadores de la escuela, esto no es algo que puedas hacer. Lo mejor que puede hacer es configurar un servidor VPN en su máquina Debian y luego canalizar el tráfico para 10.122.2.0/24utilizar una conexión VPN.