Re: VG-8050 configuración para permitir navegar a través de un sub-red enrutado por otro router?

libove · ‎15-04-2016

Tengo Fusión con un VG-8050 router de Movistar. El router está configurado con la dirección IP 192.168.255.7/26 (es decir, netmask 255.255.255.192, rango 192.168.255.0 .. 192.168.255.63).

No tiene configurado segunda dirección IP el VG-8050.

Tengo otro router (un MikroTik) detrás del VG-8050 (en la LAN interna) conectado por un solo puerto Ethernet, dicho puerto configurado con dos direcciones IP - 192.168.255.3/26 y 192.168.255.125/26.

El MikroTik enruta entre los dos subredes.

Ordenadores en cualquier de las subredes comunican con éxito a ordenadores en la otra, sin problema.

Pero nada en la subred 192.168.255.64/26 (es decir, el rango 192.168.255.65 .. 192.168.255.126) puede navegar por Internet.

Veo en capturas de paquetes en el MikroTik que los paquetes salen hacia el VG-8050 (192.168.255.7), pero nada más escuchamos nada de ellos.

La tabla de enrutamiento del VG-8050 tiene:

Destination	Gateway	Subnet Mask	Flag	Metric	Service	Interface
80.58.67.179	0.0.0.0	255.255.255.255	UH	0	6	ppp0.1
0.0.0.0	0.0.0.0	0.0.0.0	U	0	6	ppp0.1
192.168.255.64	192.168.255.3	255.255.255.192	UG	1		br0
192.168.255.0	0.0.0.0	255.255.255.192	U	0		br0

(más unas otras entradas estándares de Movistar)

Pues, el VG-8050 sabe como enrutar paquetas hacia la subred 192.168.255.64/26.

He comprobado las configuraciones de NAT y de cortafuegos en el VG-8050 y no veo nada relacionado. Añadiendo una regla 'permite todo' al cortafuegos no cambia nada. (El defecto por paquetes 'saliendo' as Aceptar; he comprobado añadir una regla para paquetes 'entrando' de 'permitir todo que llegue desde 192.168.255.64/26; no afectó nada; pues, no es que el VG-8050 piensa que estos paquetes están 'entrando').

También comprobé añadir segunda dirección IP en la LAN interna del VG-8050 pero esta no permite conectar al otro router ni tampoco solucionó el problema de no poder enrutar paquetes de la segunda subred al Internet.

Qué hay qe hacer en el VG-8050 para hacerlo aceptar paquetes enrutados por este otro router detrás, en la otra subred en que el VG-8050 no participa directamente pero que ya tiene una ruta estática para saber donde hay?

gracias!

libove · ‎17-04-2016

Más información:

En el MikroTik puede hacer PING al VG-8050 tanto de su dirección 192.168.255.3 como de su dirección 192.168.255.126:

[admin@MikroTik1] /ip arp> /ping src-address=192.168.255.3 192.168.255.7 count=2
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                                       
    0 192.168.255.7                              56  64 0ms  
    1 192.168.255.7                              56  64 0ms  
    sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms 

[admin@MikroTik1] /ip arp> /ping src-address=192.168.255.125 192.168.255.7 count=2 
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                                       
    0 192.168.255.7                              56  64 0ms  
    1 192.168.255.7                              56  64 0ms  
    sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms

Pues, sin duda el VG-8050 recibe y responde a paquetes de la subred 192.168.255.64/26.

Ordenadores en cualquiera de las dos subredes (192.168.255.0/26 o 192.168.255.64/26) pueden comunicarse entre ellos, y pueden comunicar con el VG-8050.

Pero, nada en 192.168.255.64/26 (ni el MikroTik de su dirección 192.168.255.125, ni ningún ordenador con dirección dentro del rango 192.168.255.64/26) puede pasar por el VG-8050 hacia el Internet.

Pienso: ¿Cómo decide el VG-8050 sí o no hace NAT en los paquetes saliendo del VG-8050 hacia el Internet?

¿Es posible que el problema es que el VG-8050 emite estos paquetes SIN hacer NAT para obscurar sus direcciones internas 192.168.255.64/26 (mientras hace NAT correctamente en los paquetes proviniendo de 192.168.255.0/26) ?

gracias,

libove · ‎17-04-2016

Uff, sí, ya sé qué falla, pero todavía necesita vuestra ayuda en cómo corregirlo.

Puse un anticuado 'hub' (repetidor) entre el puerto Ethernet del VG-8050 y el puerto del ONT, para poder capturar e investigar el contenido de los paquetes saliendo del VG-8050 hacia el Internet.

Veo claro que el VG-8050 envía los paquetes de la subred 192.168.255.64/26 al Internet SIN hacer NAT en ellos. Pues, salen hacie el Internet todavía con dirección de fuente (source address) 192.168.255.xx, que evidentemente nunca van a responderse.

Pues, el VG-8050 solo hace NAT en paquetes saliendo, cuando los paquetes tengan dirección IP de origen dentro de la red interna en el puerto LAN, que en mi caso es 192.168.255.0/26.

¿Cómo configure el VG-8050 de hacer NAT también en paquetes llegando por el lado interno con dirección IP de fuente 192.168.255.64/26?

gracias.

Soporte Fibra y ADSL

VG-8050 configuración para permitir navegar a través de un sub-red enrutado por otro router?