Как организовать прямой доступ между двумя интерфейсами?

Question

[Игорь С]

Салют!
Имеется сервер CentOS 7 с тремя сетевыми картами:
wan - 11.11.11.11
lan0 - 172.16.0.1/24
lan1 - 172.16.1.1/24

net.ipv4.ip_forward = 1

Всем управляет FirewallD

external (active)
  interfaces: wan
  sources: 
  services: http https ssh
  ports: ...
  masquerade: yes
  forward-ports:...
  icmp-blocks: timestamp-reply timestamp-request
  rich rules

internal (default, active)
  interfaces: lan0 lan1
  sources: 
  services: dhcpv6-client http https ipp-client mdns mountd nfs rpc-bind samba-client ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: timestamp-reply timestamp-request
  rich rules:

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         11.11.11.22       0.0.0.0         UG    100    0        0 wan
11.11.11.11    0.0.0.0         255.255.255.248 U     100    0        0 wan
172.16.0.0      0.0.0.0         255.255.252.0   U     0      0        0 lan0
172.16.1.0     0.0.0.0         255.255.255.0   U     0      0        0 lan1

локальные интерфейсы выходят "в мир" без проблемм
но доступа друг к другу не имеют, при этом из, например 172.16.0.0/24 сети я могу пропинговать только 172.16.1.1 и соответственно наоборот.
Чувствую, что, что-то забыл, но что не могу понять.
Подскажите что я не доделал, а то я уже 2 дня бъюсь и не добъюсь

Answer 1

[Владимир]

попробуйте добавить
ip r a 172.16.0.0/24 dev lan0 src 172.16.0.1
ip r a 172.16.1.0/24 dev lan1 src 172.16.1.1

и проверьте на всяк случай что
cat /proc/sys/net/ipv4/ip_forward
выдаст 1

Comments

[Игорь С]

так у меня же как раз эти роуты и присутствуют, поп умолчанию.
cat /proc/sys/net/ipv4/ip_forward выдаёт 1, мне кажется у меня бы тогда и интернет не работал, если бы был 0

[Владимир]

у компьютеров в сетях 172.16.0.0/24 и 172.16.1.0/24
стоят шлюзами по умолчанию 172.16.0.1 и 172.16.1.1 соответственно ?

в iptables для цепочки FORWARD политика дроп не стоит случайно ?
если всеравно не работает то запускайте пинг, и tcpdump или tshark и смотрите что происходит с пакетами.

[Игорь С]

На компьютерах в сети шлюз по умолчанию другой, но на всех прописано
route add -net 172.16.1.0/24 gw 172.16.0.1
route add -net 172.16.0.0/24 gw 172.16.1.1
про таблицы IPTABLES немного сложнее. у меня на шлюзе стоит FirewallD и уже изрядно настроен, пока была одна локалка и один интернет. Но локальные интерфейсы находятся в одной зоне, и теоретически, должны нормально друг друга видеть. TCPDUMP показывает, что пакет уходит с одной сети в другую, но обратно не приходит

[Игорь С]

добавил
firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i lan0 -o lan1 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i lan1 -o lan0 -j ACCEPT
не помогло

[Владимир]

увы я с FirewallD не знаком,
трафик смотреть пробывали?
например tcpdump -i lan1 icmp -c 100
запустить пинг между сетями и посмотреть
еще можно попробывать включить логирывание трафика в фаерволе в цепочке FORWARD (появляется ли там чтото или нет)

Answer 2

[alegzz]

172.16.0.0 0.0.0.0 255.255.252.0 U 0 0 0 lan0
правильно размер сети надо указать

Answer 3

[Игорь С]

Господа, всё оказалось куда прозаичней. Оказалось, что у моего "провайдера" светится приватная сеть 172.16.0.0/24, в связи с чем были конфликты ip адресов, которые я не заприметил в виду глубокой невнимательности. после смены подсети всё заработало