Доброго времени суток. Столкнулся сегодня со следующей проблемой, при попытке настроить одно оборудование обнаружил, что имею возможность "гулять" по частным адресам которые провайдер транслирует в сеть.
Как это выглядит. Есть локалка с пространством 192.168.5.* к ней прицепом идет 192.168.2.* находящаяся в городском туннеле от провайдера в другом офисе. IPsec туннели построены на DFL860. От провайдера идет кабель в головном офисе на HP v1910 в допофисе Dlink 1248 ( знаю не новая железяка, но попалась до чертиков стабильная). На коммутаторах настроены по 2 VLAN. Первый для пула белых адресов, второй - оборудования внутри офиса.
И теперь самое интересное. При этой петрушке я могу видеть частные сети которые находятся за NATом провайдера. Например:
C:\Users\***>tracert 192.168.10.1
Трассировка маршрута к 192.168.10.1 с максимальным числом прыжков 30
1 1 ms * <1 мс шлюз наш
2 * * 4 ms Шлюз провайдера
3 1 ms 1 ms <1 мс первое оборудование провайдера после шлюза
4 2 ms <1 мс <1 мс 188.***.245 оборудование после шлюза
5 5 ms 5 ms 5 ms 95.***.11 оборудование после шлюза
6 30 ms 73 ms 52 ms 192.168.10.1 <= тадам
Трассировка завершена.
C:\Users\***>tracert 192.168.12.1
И это не единичный пример. Остальные подтвержденные трассировки обрывались на 4 прыжке и дальше
5+n * * * Превышен интервал ожидания для запроса.
Пока все понятно, виновен шлюз, это он нехороший транслирует адреса. Ладно я решил попробовать и поставил ноут, дал ему внешний IP, и опять я вижу ту же самую картину, только нет первого прыжка. Сразу идет шлюз провайдера.
Но если я уберу все провода в неуправляемый свитчек типа DGS-1008, проблема исчезает, трансляция прекращается, но возвращается с любым управляемым коммутатором с настроенным vlan.
UPD. Провайдеры (их два) клянутся и божатся о port isolated на оборудовании.
Простой
Сложный
Простой