Problemas de roteamento do FreeBSD 10.1

3

Eu tenho roteador baseado no FreeBSD no meu campus.

Configuração trivial para esses tipos de roteadores: duas interfaces, uma delas olhando para a internet externa, segunda - para a rede local.

Na minha rede local há três sub-redes: 192.168.0.0/24, 192.168.1.0/24, 192.168.200.0/24. ipfw configurado para nat transparente, encaminhamento sysctl ativado.

Interface local configurada para três aliases de IP: 192.168.0.1, 192.168.1.1 e 192.168.200.1 de acordo com as sub-redes. Também está conectado ao único comutador HP gerenciável para l2. Alternar configurado por padrão para uma única vlan.

De 192.168.0.0/24 clientes de sub-rede eu posso alcançar 192.168.1.0/24 clientes e vice-versa. Mas para os clientes em 192.168.200.0/24 as outras duas sub-redes estão inacessíveis, apesar do fato de que a Internet está disponível através do gateway padrão 192.168.200.1.

Por design inicial, todas as sub-redes internas devem estar acessíveis umas às outras.

saída do netstat -rn no roteador do FreeBSD:

Routing tables
Internet:
Destination           Gateway            Flags      Netif Expire
default               xxx.xxx.xxx.xxx      UGS         xl0
127.0.0.1             link#4             UH          lo0
192.168.0.0/24        link#1             U          bge0
192.168.0.1           link#1             UHS         lo0
192.168.0.2           link#1             UHS         lo0
192.168.1.0/24        link#1             U          bge0
192.168.1.1           link#1             UHS         lo0
192.168.200.0/24      link#1             U          bge0
192.168.200.1         link#1             UHS         lo0
xxx.xxx.xxx.xxx/30      link#3             U           xl0
xxx.xxx.xxx.xxx         link#3             UHS         lo0

Saída para o ipfw :

00050 1123362356 950030754266 nat 123 ip4 from any to any via xl0
00100   26229559  14516116395 allow ip from any to any via lo0
00200          0            0 deny ip from any to 127.0.0.0/8
00300          0            0 deny ip from 127.0.0.0/8 to any
00400          0            0 deny ip from any to ::1
00500          0            0 deny ip from ::1 to any
00600          0            0 allow ipv6-icmp from :: to ff02::/16
00700          0            0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800          0            0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900          0            0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000          0            0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000  734630742 621499874050 allow ip from any to any
65535          9          589 deny ip from any to any
    
por Hyperoff 28.01.2015 / 19:53

1 resposta

0

Então, o que faz um traceroute de uma máquina 192.168.200.0/24 para outra 192.168 / 16: a trilha termina no roteador, ou alguma outra coisa está comendo os pacotes?

Se ele terminar no roteador, tente aumentar a verbosidade do seu ipfw (com pf você adicionaria uma opção de log às regras de queda / negação).

    
por 28.01.2015 / 22:31