Двойной nat

shaman	# 11 лет, 1 месяц назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	проблема все еще остается, уже не знаю куда копать. они все на нас сваливают, я уже вторую неделю не вылажу из-за доков, скоро все rfc наизусть рассказывать буду :-D help me please :) все таки дело не в этом парсере, тк иногда (чаще утром, когда никого нет) файл (любой) может выложиться. днем отключал всех юзеров, оставлял только нат для одного клиента и этого ресурса, и не выкладывается… на всякие gmail выкладываются сколь угодно большие файлы. зы поправьте меня если я ошибаюсь, 1) nat полностью прозрачен для клиента, за исключением тех случаев, когда серверная часть приложения находиться за натом. 2) последовательное применение nat прозрачно для клиента, учитывая п1. 3) openvpn для конечного пользователя полностью прозрачен ( viewtopic.php?f=16&t=6511#p53765 ). через этот туннель я отправлял большие пакеты, которые доходили до получателя. 4) всякие nmap, telnet, traceroute по разным портам, с разными размерами пакетов подтверждают п1-п3 5) на всех серверах с mtu проблем нет, большие пакеты доходят до получателей. 6) файлы выкладываются используя метод POST, на который могут быть наложены ограничения по размеру, времени выполнения и прочее 7) учитывая п1-п6 единственное место, где может быть грабля, это их сервер (либо ограничения на post запрос, либо кривое веб-приложение) 8) вспомнив, что иногда файлы все же выкладываются, я предполагаю, что есть ограничения по времени (юзеров больше, не успевает обработать запрос). причем по таймауту скорее всего вылетает ихнее веб приложение, тк со всех промежуточных серверов проблем с доступом к инету не возникает (в тч и к этому глючному)

# 11 лет, 1 месяц назад

Сообщения: 379

Участник с: 13 декабря 2009

проблема все еще остается, уже не знаю куда копать. они все на нас сваливают, я уже вторую неделю не вылажу из-за доков, скоро все rfc наизусть рассказывать буду :-D
help me please :)
все таки дело не в этом парсере, тк иногда (чаще утром, когда никого нет) файл (любой) может выложиться. днем отключал всех юзеров, оставлял только нат для одного клиента и этого ресурса, и не выкладывается…
на всякие gmail выкладываются сколь угодно большие файлы.
зы поправьте меня если я ошибаюсь,

1) nat полностью прозрачен для клиента, за исключением тех случаев, когда серверная часть приложения находиться за натом.
2) последовательное применение nat прозрачно для клиента, учитывая п1.
3) openvpn для конечного пользователя полностью прозрачен ( viewtopic.php?f=16&t=6511#p53765 ). через этот туннель я отправлял большие пакеты, которые доходили до получателя.
4) всякие nmap, telnet, traceroute по разным портам, с разными размерами пакетов подтверждают п1-п3
5) на всех серверах с mtu проблем нет, большие пакеты доходят до получателей.
6) файлы выкладываются используя метод POST, на который могут быть наложены ограничения по размеру, времени выполнения и прочее
7) учитывая п1-п6 единственное место, где может быть грабля, это их сервер (либо ограничения на post запрос, либо кривое веб-приложение)
8) вспомнив, что иногда файлы все же выкладываются, я предполагаю, что есть ограничения по времени (юзеров больше, не успевает обработать запрос). причем по таймауту скорее всего вылетает ихнее веб приложение, тк со всех промежуточных серверов проблем с доступом к инету не возникает (в тч и к этому глючному)

sleepycat	# 11 лет, 1 месяц назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	не знаю,есть мысль но нарядли . Да для клиента номер 1 и 2 нат работает прозрачно,покуда натующий роутер их знает, однако принимающий роутер видит (стандартная натсройка,когда нат-сервер подставляет свой айпи.айпи карты в пакет как источник.) Принимающий роутер видит запрос от нектоторого xxx.xxx.yyy.zzz и посылает его дальше, дальше его встречает вебсервер и отдает обратно,цепь замкнулась. в ето время второй юзер начал аналогично, в итоге веб сервер снова принимает от ната(своего) тотже внутренний ип (опять же если натсройка стандартня,т.е. нат просто подставляет свой адрес) и веб сервер начинает тупить, посколько получает тотже запрос не закончив предыдущий. Скорее всего дело не в етом. но попробуй удостоверившись что Вы один в сети юзаете етот канал, поработать , и посмотреть ловятся ли ошибки. Поднимал както впн тем же средством меж домом и работой, правда на фрибсд, и вот точноя ничего не натил на интерфейс vpn. Проблем небыло…ето конешно ваши объекты,но я все же не понимаю зачем натиться если подключается ктото свой..лишний костыль… Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 11 лет, 1 месяц назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

не знаю,есть мысль но нарядли . Да для клиента номер 1 и 2 нат работает прозрачно,покуда натующий роутер их знает, однако принимающий роутер видит (стандартная натсройка,когда нат-сервер подставляет свой айпи.айпи карты в пакет как источник.) Принимающий роутер видит запрос от нектоторого xxx.xxx.yyy.zzz и посылает его дальше, дальше его встречает вебсервер и отдает обратно,цепь замкнулась. в ето время второй юзер начал аналогично, в итоге веб сервер снова принимает от ната(своего) тотже внутренний ип (опять же если натсройка стандартня,т.е. нат просто подставляет свой адрес) и веб сервер начинает тупить, посколько получает тотже запрос не закончив предыдущий. Скорее всего дело не в етом. но попробуй удостоверившись что Вы один в сети юзаете етот канал, поработать , и посмотреть ловятся ли ошибки.
Поднимал както впн тем же средством меж домом и работой, правда на фрибсд, и вот точноя ничего не натил на интерфейс vpn. Проблем небыло…ето конешно ваши объекты,но я все же не понимаю зачем натиться если подключается ктото свой..лишний костыль…

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

shaman	# 11 лет, 1 месяц назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	такой ситуации не будет, когда выполняется nat используется как ключ номер порта, те роутер (в моем случае сервер) “знает” кому что отдать. есть такая таблица nat, куда записываются данные об исходящем пакете, при приеме же из этой таблицы извлекается локальный адрес, порт и тд подобная схема получилась только потому, что организации разные. локалка клиента->nat на серве клиента->впн к нам->nat на нашем серве->инет. не спрашивайте почему именно так, начальство требует :)

shaman

# 11 лет, 1 месяц назад

Темы: 26

Сообщения: 379

Участник с: 13 декабря 2009

такой ситуации не будет, когда выполняется nat используется как ключ номер порта, те роутер (в моем случае сервер) “знает” кому что отдать.
есть такая таблица nat, куда записываются данные об исходящем пакете, при приеме же из этой таблицы извлекается локальный адрес, порт и тд
подобная схема получилась только потому, что организации разные.
локалка клиента->nat на серве клиента->впн к нам->nat на нашем серве->инет.
не спрашивайте почему именно так, начальство требует :)

sleepycat	# 11 лет, 1 месяц назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	все верно на сторонах отправки и приема. представь что у тебя на одном конце не серер а просто комп. на нат приходит пакет с уже измененным ип, я понимаю, что сервер который снатил пакет отает отработает, но наа другом конце сервер не получает ничего от натаа первого, только пакет, в котором подставлен ип. у меня просто такое было. на дальней стороне, была защита по ip и два юзера не могли одновременно юзать такую систему, а поочереди за милу душу. тоже двойной нат. ладно модет ты и прав. опять же я более чем уверено что дело не в етом. я просто печатал ето в надежде что текст может подтолкнуть (родить) мысль какютов др. направлении. Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 11 лет, 1 месяц назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

все верно на сторонах отправки и приема. представь что у тебя на одном конце не серер а просто комп. на нат приходит пакет с уже измененным ип, я понимаю, что сервер который снатил пакет отает отработает, но наа другом конце сервер не получает ничего от натаа первого, только пакет, в котором подставлен ип. у меня просто такое было. на дальней стороне, была защита по ip и два юзера не могли одновременно юзать такую систему, а поочереди за милу душу. тоже двойной нат. ладно модет ты и прав. опять же я более чем уверено что дело не в етом. я просто печатал ето в надежде что текст может подтолкнуть (родить) мысль какютов др. направлении.

sleepycat	# 11 лет, 1 месяц назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	стоп, а нат внутрь тоже работает? на входящий трафик? простоя по умолчанию подумал что да,если нет, то мой вариант вообще отпадает… Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 11 лет, 1 месяц назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

стоп, а нат внутрь тоже работает? на входящий трафик? простоя по умолчанию подумал что да,если нет, то мой вариант вообще отпадает…

shaman	# 11 лет, 1 месяц назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	в смысле нат внутрь? локальная сеть 192.168.100.0/24 натится в 172.25.0.8 потом 172.25.0.0/24 (все подключенные организации) натятся в наш внешний адрес. я не очень понял что вы имеете в виду. и что за проблема была когда юзеры могли только по очереди пользоваться вашей системой. можете подробнее рассказать?

shaman

# 11 лет, 1 месяц назад

Темы: 26

Сообщения: 379

Участник с: 13 декабря 2009

в смысле нат внутрь?
локальная сеть 192.168.100.0/24 натится в 172.25.0.8
потом 172.25.0.0/24 (все подключенные организации) натятся в наш внешний адрес.
я не очень понял что вы имеете в виду. и что за проблема была когда юзеры могли только по очереди пользоваться вашей системой. можете подробнее рассказать?

sleepycat	# 11 лет, 1 месяц назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	а вот щас я не понел… так ладно давай наводящий вопрос. Нат средствами фаервола или впн приложения? (т.е. ты описывал свою сеть и сеть за сервером чужим в натсройках openvpn?) и такой вопрос- машина —-> сервер <—————> сервер <———- машина2 192.168.x 10.10.yy машина может пинговать машину2, по своим внутрениим айпи, через канал ессно? Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 11 лет, 1 месяц назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

а вот щас я не понел… так ладно давай наводящий вопрос. Нат средствами фаервола или впн приложения? (т.е. ты описывал свою сеть и сеть за сервером чужим в натсройках openvpn?) и такой вопрос-

машина —-> сервер <—————> сервер <———- машина2

192.168.x 10.10.yy
машина может пинговать машину2, по своим внутрениим айпи, через канал ессно?

sleepycat	# 11 лет, 1 месяц назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	route -n Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 11 лет, 1 месяц назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

route -n

shaman	# 11 лет, 1 месяц назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	естественно может, иначе в инет не вылезет клиент. на клиентском серве весь трафик заворачивается в vpn канал. все видят все что положено. с маршрутизацией полный порядок Нат средствами фаервола или впн приложения? вот этого реально не понял, нат делается средствами iptables, путем добавления правил. у меня ощущение что мы немного от курса отклонились :)

shaman

# 11 лет, 1 месяц назад

Темы: 26

Сообщения: 379

Участник с: 13 декабря 2009

естественно может, иначе в инет не вылезет клиент. на клиентском серве весь трафик заворачивается в vpn канал.
все видят все что положено. с маршрутизацией полный порядок

Нат средствами фаервола или впн приложения?

вот этого реально не понял, нат делается средствами iptables, путем добавления правил.
у меня ощущение что мы немного от курса отклонились :)

sleepycat	# 11 лет, 1 месяц назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	не знаю поднимал сервер vpn собсна через инет, у вас видимо чтото другое ежели нужно чтобы клиент “выходил в инет” . Ну впринципе если пингуется хорошо,то снимаю свое версию…ето не то. теперь я уверен. Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 11 лет, 1 месяц назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

не знаю поднимал сервер vpn собсна через инет, у вас видимо чтото другое ежели нужно чтобы клиент “выходил в инет” . Ну впринципе если пингуется хорошо,то снимаю свое версию…ето не то. теперь я уверен.