Почему из подсети нет доступа к подсети?

Question

[StupidNoob]

Нужна помощь в настройке маршрутов на CentOS/RedHat
Есть 2 под сети

10.49.40.0/23

и

10.49.49.0/24

Цель создать ещё одну подсеть к примеру 192.168.1.0/24

Настраивал всё аналогично существующим подсетям

Создал VLAN на linux RedHat, через nmtui, указал в этой же утилите маршрут

Прописал статический маршрут в таблице main

192.168.1.0/24 dev ens6f0.500 proto kernel scope link src 192.168.1.253 metric 403
10.49.40.0/23 dev ens6f0.498 proto kernel scope link src 10.49.41.253 metric 404
10.49.49.0/24 dev ens6f0.494 proto kernel scope link src 10.49.49.253 metric 401

Прописал статический маршрут в таблице office (200)

10.49.40.0/23 dev ens6f0.498 proto static scope link metric 404
10.49.49.0/24 dev ens6f0.494 proto static scope link metric 401
192.168.1.0/24 dev ens6f0.500 proto static scope link metric 403

Создал правило

7: from all iif ens6f0.500 lookup office
8: from all iif ens6f0.498 lookup office
12: from all iif ens6f0.494 lookup office

В файле /etc/keepalived/keepalived.conf прописал в virtual_ipaddress

192.168.1.1/24 dev ens6f0.500 label ens6f0.500:1
10.49.49.1/24 dev ens6f0.494 label ens6f0.494:1
10.49.40.1/23 dev ens6f0.498 label ens6f0.498:1

Настроил DHCP (/etc/dhcp/dhcpd.conf)
Также проверил маршруты через ip route get

192.168.1.2 dev ens6f0.500 src 192.168.1.253 uid 0
cache
10.49.49.230 dev ens6f0.494 src 10.49.49.253 uid 0
cache
10.49.40.200 dev ens6f0.498 src 10.49.41.253 uid 0
cache

В iptables используются всего две таблицы filter и nat. Но правило которое бы разрешало или запрещало передачу данных между под сетями нет.

Проблема в том что из диапазона 192.168.1.0/24 я могу пропинговать любой другой диапазон, но в обратную сторону не могу. Пишет «Превышен интервал ожидания для запроса.»
tracert показывает что пакеты доходят до основного шлюза и там теряются

Спокойно пингуется основной шлюз любой подсети из любой подсети.​

Comments

[Sand]

Запустите на роутере tcpdump -nnn -i any host 192.168.1.2, затем с какого-нибудь хоста из сетей 10.49.49 или 10.49.40 запустите пинг на адрес 192.168.1.2 (ну или какой там есть) - покажите результат

[StupidNoob]

[Sand]

StupidNoob, хост 192.168.1.2 не отвечает на icmp запрос, напрямую с роутера пингуется?

[StupidNoob]

PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
^C
--- 192.168.1.2 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 159ms

Не пингуется

[Sand]

StupidNoob, ну так выключите фаервол на 192.168.1.2

[StupidNoob]

Sand, спасибо) не думал что фаервол будет блокировать icmp. Ну у меня было второе устройство IP-камера, тоже не пинговалась, но тогда в keepalived.conf я не прописал диапазон 500 vlan

[Sand]

StupidNoob, надо полагать всё заработало?

[StupidNoob]

Sand, да, а в keepalived.conf обязательно прописывать virtual_ipaddress или нет, при работе одного сервера?
Изначально оборудование настраивал провайдер, а компетентный сис. админ уволился, остался только тот, который ничего не знает. А я студент и потихоньку на этой сети учусь администрировать.

[Sand]

StupidNoob, К сожалению не знаю. Задайте новый вопрос, думаю Вам ответят

Answer 1

[StupidNoob]

Ответ получил в комментарии под вопросом.
Настройка сервера правильная, блокировал пакеты FireWall на машине 192.168.1.2

Answer 2

[Станислав Бодро́в]

Дело в том что подсеть и VLAN между собой никака не связаны даже на linux RedH. Потому что это разные уровни модели OSI