我有一个标志/ mangle / SNAT设置已经工作了很多年了。 但是,当尝试使用DHCP请求的相同设置时,它会间歇性地失败: *mangle -A OUTPUT -p udp -m udp –dport 67 -j MARK –set-xmark 0x7/0xffffffff #… *nat -A POSTROUTING -m mark –mark 0x7 -j SNAT –to-source <SCRUBBED> 然而,由于没有明显的原因,在SNAT翻译过程中,数据包偶尔会被redirect到端口1而不是67。 iptables文档指出: which can specify a single new source IP address, an inclusive range of IP addresses, and optionally, a port range (which is only […]
有没有基于云的服务,我可以创build一个完整的实验室基础设施 创build活动目录 其他一些服务器 一些电脑 使用思科IOS镜像来创build像GNS3这样的路由器 交换
我已经使用站点到站点VPN隧道在Azure中设置了一个虚拟networking。 到目前为止这么好,但隧道设备不能通过公共IP访问我的服务,他们只能通过本地IP访问。 似乎阻止VPN设备访问连接到同一虚拟networking的虚拟机的公共IP。 所以说api.mydomain.com通过DNS映射到一个虚拟机的公共IP。 对于所有的互联网设备来说都可以正常工作,但是不能通过站点到站点的VPN隧道。 虽然他们可以通过本地ip(192.168.xx)正常访问。 任何方式我可以打开访问/路由通过站点到站点VPN到公共IP地址的stream量? 有问题的设备是GPRS设备并使用蜂窝运营商的DNS。 所以我没有什么可以做的(比如添加一个条目来指向本地地址)。
我有一个关于VPN的大问题,我无法解决或连接点(可能会导致问题) 我们的一位客户希望用更好的东西来取代旧的snapgear,所以他们selectASA来做。 我已经在ASA中创build了所有的configuration,并在我们的testingnetworking中进行了testing。 我能够将客户机从外部连接到ASA VPN,并能ping通networking内的任何机器。 一切都很完美。 之后,我已经为客户站点设置了相同的防火墙/configuration,并且一旦我将ASA连接到他们的networking,并尝试使用任何连接从外部连接,我都无法ping他们的networking内的任何机器。 所有的networking,子网都遥不可及。 起初,我已经设置了ASA接口的静态路由和静态IP,但没有运气。 然后我设置了接口,从DHCP服务器获取IP地址,以及所有从“L3核心交换机”进行所有路由的所有路由,而没有任何运气。 ASA的configuration(dynamic) : Saved : : Serial Number: xxxxxxxx : Hardware: ASA5506, 4096 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cores) : ASA Version 9.5(2) ! hostname xxxxxxxx enable password xxxxxxxxxxxxxx encrypted passwd xxxxxxxxxxxxxx encrypted names ip local pool VPN_xxxxxx 10.13.3.2-10.13.3.200 mask […]
背景: 我的任务是在我们的DC上设置VLAN和路由。 VLAN ID是25,我通过一个中继端口在HP v1910交换机上configuration,并用VLAN 25标记。 我还有一台ESXi主机,端口组标记为VLAN 25,连接到v1910交换机上的一个端口,该交换机属于VLAN 5非标记和VLAN 25标记的混合端口。 据我所知,VLAN工作得很好,因为我已经被指示使用的IP似乎可以ping通远程设备。 我已经分配的IP: 10.10.25.10/30或10.10.25.10掩码255.255.255.252用来testing的远程IP是10.10.25.9/30,我可以Ping(traceroute也可以,一跳到10.10.25.9) 现在的问题是这样的: 已经将IP 10.10.25.10/30分配给我的一个虚拟机,vNIC连接到属于VLAN 25的端口组。远程站点上的设备虽然是192.168.78.10,这意味着我需要路由stream量通过属于VLAN 25的NIC和下一跳为10.10.25.9(远程站点的networkingpipe理员给出的指令,假设10.10.25.9是具有路由器或路由能力的设备)的NIC到192.168.78.10。 以下是我在运行Windows操作系统的虚拟机上所做的尝试(接口25是属于VLAN 25的网卡): route add 192.168.78.10 mask 255.255.255.255 10.10.25.9 if 25 虽然这个时候我不能连接到192.168.78.10。 更让我困惑的是,对192.168.78.10做traceroute不会产生任何可见的跳数,尽pipe我可以ping 10.10.25.9罚款,这肯定会显示为networking跳跃? 我的问题: 问题在我身边,还是在远程? 如果这是我的目的,我是否可能错过了一些东西?
我们有以下设置,我需要工作: 地点A: 子网1: networking:192.168.1.0 掩码:255.255.255.0 默认网关:192.168.1.1 子网2: networking:192.168.2.0 掩码:255.255.255.0 默认网关:192.168.2.1 地点B: 子网3: networking:192.168.3.0 掩码:255.255.255.0 默认网关:192.168.3.1 位置A和B的默认网关通过VPN连接,并且仅路由子网1和3.我无法更改这些网关的configuration。 我需要实现的是,stream向公共子网的stream量,例如193.197.0.0通过子网2的默认网关进行路由。 我到目前为止所做的: 我在位置A和B添加了一个MikroTik路由器,configuration如下: 地点A: IP:192.168.1.254,192.168.2.254 路线:193.197.0.0 – > 192.168.2.254 地点B: IP:192.168.3.254 现在,对于位置A和子网1,这工作正常。 但是,我没有正确设置位置3的MikroTik。 我试过了: 路线:193.197.0.0/12 – > 192.168.1.254(这不起作用) 设置两个MikroTik之间的IPIP隧道和路由193.197.0.0/12 – >(IPIP隧道) 背景:子网1和3中的客户端需要访问某个网站。 但是,网站只能通过子网2(一些高安全性的东西)的网关联系。 我很确定,这种情况下可以用这些路由器解决,但我需要你的帮助! 有任何想法吗?
因为我从来没有和ASA一起工作过,并且在同一个接口上有多个WAN,所以这个可以实现吗? 我的ISP给了我/ 29的IP地址,我把xxx.xxx.xxx.xxx/29分配给一个物理接口,设置gw,路由gw,nat,访问列表等。我的问题是,我怎样才能使用其他WAN地址从相同的范围,并为每个内部子网进行每一个。 例如:xxx.xxx.xxx.xxx/29到192.168.1.0/24,xxx.xxx.xxx.xxy / 29到172.16.1.0/23,xxx.xxx.xxx.xxz / 29到10.0.0.0/24 … 有人可以提供一个例子吗? 如果每个广域网在ASA上分配了物理接口(如果可能的话),又怎么能实现呢?
我有我的公司开发的HTTP代理。 代理使用TPROXY。 通常,安装此代理需要添加一些路由规则和iptables规则(对于squid): ip rule add fwmark 1 lookup 100 ip route add local 0.0.0.0/0 dev lo table 100 iptables -t mangle -N DIVERT iptables -t mangle -A DIVERT -j MARK –set-mark 1 iptables -t mangle -A DIVERT -j ACCEPT iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT iptables -t mangle -A […]
我有两个私人子网 10.9.1.0/24 10.9.137.0/24 10.9.1.0/24是在那里,我创build了一个使用MS Windows 2008R2的IP 10.9.1.10的Active Directory域控制器。 路由器和DHCP服务器是10.9.1.1 几天前,一个新的集团join了我们的部门,现在我们也控制了10.9.137.0/24。 设置非常相似,DHCP服务器和路由器是10.9.137.1。 为了连接两个networking(它们位于两个不同的物理位置),我使用预共享密钥创build了一个IPsec VPN。 然后我可以从一个networkingping到另一个networking。 我也能够使用来自两个networking的AD(10.9.1.10)上运行的相同的DNS服务。 唯一的问题是,当我尝试从第二个networking(10.9.137.0/24)到现有DC广告Windows 7 PC时,我得到AD DC无法find的错误。 它不适用于FQDN,DNS名称和IP地址。 正如我所说的,我无法find一个理由,ping的工作正常,我甚至可以连接到networking共享从一个networking到另一个。 我究竟做错了什么? AD DC是否需要位于同一个子网(10.9.0.0/16)? 我需要告诉我的AD DC,它也“服务”其他子网? 有任何想法吗? 任何线索我应该看看,我很欣赏。 谢谢,斯蒂芬妮。
所以我有一个虚拟服务器设置在亚马逊,我将调用OSERV,在3个不同的端口上运行openvpn。 所有的OpenVPN服务器都充当了路由网关。 在TCP上运行的服务器中的2个工作得很好,但是我的UDP服务器虽然能够进行本地连接,但总是超时用于外部IP。 我将称之为UDPSERV。 所以当我通过UDPSERV到OSERV ssh,它工作正常。 但是,当我尝试通过UDPSERV在其他任何地方ssh(或执行任何其他types的活动)时,连接超时。 我将调用我正在testing的外部服务器作为EXSERV。 我已经在冗长级别6观看了日志,并且在尝试连接到EXSERV时看到发送和接收的数据包。 所以我知道这是有效的。 我也在客户端机器上运行了wireshark,并看到它发送和接收数据包也很好,当SSH到EXSERV。 ssh root@ESERV -o ConnectTimeout=60 Connection reset by ESERV port 22 虽然奇怪,当我通过UDPSERV到OSERV进行活动时看日志,似乎并没有显示出来。 我已经确认MTU不是问题。 有趣的是,我实际上可以推送> 4000字节作为MTU。 我曾尝试将其设置为500。 所以我认为这就是设置这个问题的一切。 如果有人能帮我弄清楚为什么这不起作用,我真的很感激。 在这下面是所有我的configuration。 [编辑]哦,是的。 我通过UDPSERV从我的客户端到EXSERV做了一个netcat,它工作正常。 所有3个openvpn服务器configuration都具有以下相关设置: dev tun ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" keepalive 10 120 comp-lzo persist-key persist-tun 不同的设置: Serv1 : port 80 proto tcp server 10.8.0.0 […]