Как я пинганул врата АДА
18 May 2012 | Автор: dd |
Подходил к концу 10ти часовой аврал проброса портов на внутренний сервак, в течении которого я обточил сервак, пропатчил его и перешел к самому тривиальному- настройке NAT’а на безусловный редирект в DMZ. Надо заметить, что все это производилось на шлюзе под FreeBSD 8.2 на которой столовалась внутренняя сеть 192.168.0.0/24, сопряженная 192.168.15.0/24, а также живущем на нем VPN сообществе с сетью 172.16.0.0/24.
Все тривиально и просто.
Все вроде просто, да на поверку не очень. Сначала поднял DMZ сетку 172.16.10.0 но почему то тут же упал VPN. Решив, что видимо глюк openvpn, забил и сменил сетку на 192.168.20.0, но ничего не заработало. Ковырялся вокруг да около очень долго, но в итоге часу в третьем ночи, понял, что не работает и естественно решил, что это тот же глюк VPN, так что решил взять вообще нигде не использовавшуюся сетку 10.10.10.0
Перенастроил все под неё, но опять же ничего не заработало, причем внутренний адрес даже не видел интернета. Зато обнаружил на трассировке, что причина в том, что пакет уходит по маршруту 10.2.2.5, но у меня таких сетей не было. Более того, для всех этот адрес был next-hop, то есть это было либо продолжение глюка на фаерволе, либо что то внутри сети. Учитывая пятый час утра я понял что еще немного изысканий, и меня, повезут брыжущего слюной, в дурку, поэтому тихонечко лег спать.
Но поскольку я уже вошел в сисадминский инрейдж, то еще два раза вставал, проверяя ту или иную версию, так что в районе начала седьмого утра забылся чутким сном. В итоге в 10 утра меня разбудили звонком из подопытного офиса, так как у них упал инет. Забравшись на шлюз, я понял что по ошибке, в угаре, назначил на DMZ имевшуюся сетку, так что все вернул обратно и пошел досыпать. Но мозг уже увлеченно просчитывал варианты, пытаясь понять природу загадочного IP, так что пришлось поддаться и сесть за комп.
Голова кипела по той причине, что не понятно что это был за глюк, и главное я не мог сформулировать вопрос гуглю, ибо на вопрос о мифическом адресе 10.2.2.5 поиск выдал кучу разных тем. Больше всего убивало что адрес пинговался, но arp молчал. Решив поменять сетку с 10.10.10.0 на отличную от 10, я обнаружил что даже при отсутствии маршрута для сети 10.Х.Х.Х это мифический адрес 10.2.2.5 продолжает пинговаться, и тут я понял что пингую ворота ада, открывшиеся на моем шлюзе.
Бубна под рукой не было, поэтому я срочно отписал цискоUNIXсовому-гуру Евгена сану с вопросом – не встречал ли он реальных демонов с приватной адресацией, так что мы вдвоем начали думать куда тут копать, ибо было совершенно непонятно и реально первой мыслью было что это какое то кольцо. Но тут меня осенило и оказалось что во врата АДА можно зайти как по ssh, так и по telnet, что сразу вернуло его из сонма богов к физическим устройствам. Прикинув, что все устройства внутри сети имеют правильную адресацию, ибо я все перенастраивал собственноручно, то единственный вывод который напросился, коли все пакеты уходили по дефолтному маршруту: это адрес на next hop провайдера. Тут как раз Евгена сан подтвердил, что это оказывается стандартная практика локальных провайдеров, пускать по чистому инету собственную приватную сетку для управления оборудованием без использования публичных IP. Такой своеобразный lammerz VLAN, который любят практиковать хитроумные сисадмины в небольших офисах.
Так что пришлось натягивать на кукан провайдера, у которого, как оказалось, криво была настроена маршрутизация для дополнительного пула предоставленных IP.
Теги: Сетевые протоколы, Сети
