Como acessar o espaço de endereço 192.x do espaço de endereço 10.x?

17

Eu tenho um roteador filho com espaço de endereço 192.xxx. Em qualquer máquina aqui, posso acessar o espaço de endereço 10.xxx. O contrário não é verdade. Uma máquina no 10.0.xx não pode executar ping no 192.168.xx Como configuro meu roteador para tornar isso possível?

networking router ip ip-address Morsa, o gato
fonte
4
Não há nada inerentemente especial nas redes 10.xyz e 192.168.xy, exceto que elas estão explicitamente disponíveis para uso em redes privadas. Portanto, tudo que você precisa fazer é corrigir o roteamento que qualquer administrador de sistema que se preze pode corrigir.
Thorbjørn Ravn Andersen
Verifique o roteiro nos dois lados. Verifique os firewalls dos dois lados. Verifique os firewalls nas máquinas. Isso deve cobrir.
kafka
1
Se um pode executar ping no outro, mas não o contrário, é um problema de filtro NAT ou IP. Nada na sua pergunta permite mais diagnósticos.
Eckes

Respostas:

27

Parece que você tem mais de um gateway NAT em uma rede pequena. Fazer "Double NAT" - como é chamado - geralmente causa vários problemas, apenas um dos quais você está enfrentando: parte da sua rede está no lado público / WAN / não confiável de um de seus NATs e pode " Não alcance as máquinas do outro lado.

A melhor solução para evitar esse e outros problemas do Double NAT é reconfigurar o roteador downstream para que ele não esteja executando o NAT. Alguns roteadores permitem desativar o NAT e tornar a porta WAN conectada às portas LAN. Outros não têm uma maneira de fazer isso, então você precisa apenas desativar o servidor DHCP neles e conectar uma de suas portas LAN a uma porta LAN no roteador upstream.

Spiff
fonte
1
Embora esta resposta é factualmente correctas, há um trabalho adicional que precisa ser feito (ou seja, a criação de uma rota do pai para router criança)
davidgo
8
@davidgo, não é realmente uma vez fazendo isso irá eliminar toda a rede 192.168 e tudo será 10.xxx
psusi
3
@psusi Feira suficiente. Eu interpretei mal que Spiff estava sugerindo achatar a rede.
davidgo 27/11
4
@ Davidgo Eu entendi mal a sugestão da primeira vez também. Eu acho que é porque sugere primeiro desabilitar o NAT, o que eu assumi para sugerir que ainda estaria roteando e os endereços atribuídos às interfaces de rede permaneceriam os mesmos. Quando essa resposta diz desativar NAT, significa realmente desativar o roteamento completamente.
kasperd
10

Você precisará fazer alterações nos seus roteadores -

No roteador filho - atribua à interface WAN um endereço IP estático (você pode atribuí-lo ao roteador filho, mantendo-o no intervalo 10.xxx, mas fora do intervalo DHCP, ou pode usar o roteador pai para fazer a reserva DHCP para atribuir um endereço do roteador pai). Desative o NAT no roteador filho.

No roteador pai, você precisa definir uma rota estática para 192.168.xx com um gateway do endereço IP da WAN dos roteadores filhos.

davidgo
fonte
@davidgo você pode elaborar a última parte da sua resposta? ou seja, atribuir uma rota estática para esse subespaço de endereços.
Morsa, o gato
3
Não posso dar detalhes sem conhecer o roteador, mas a lógica é a seguinte: o roteador precisa saber para onde enviar qualquer pacote que receber. Ele faz isso procurando a rota mais específica na tabela de roteamento que conhece - e sabe sobre si mesma, a LAN está conectada, a WAN está conectada e sua rota padrão. NÃO sabe (neste caso) que os dispositivos 192.168.xx devem ser acessados ​​através de um roteador em sua LAN, portanto, é necessário avisá-lo; caso contrário, ele enviará os pacotes para 192.168.xx pela interface WAN.
Davidgo 27/11
O dd-wrt.com/wiki/index.php/Linking_Subnets_with_Static_Routes explica como isso funciona e como fazê-lo no dd-wrt (mas divide 192.168 em blocos menores, em vez de usar 2 redes - mas a lógica é a mesma)
davidgo
Como o ping funciona em uma direção (o que significa que os pacotes de resposta também chegam), não é um problema de roteamento.
Eckes
@eckes Não é verdade. O roteador filho está, entre outras coisas, agindo como uma válvula unidirecional que permite que APENAS pacotes de entrada associados a pacotes de saída - e isso é feito brincando com o endereço de origem, se houver pacotes de saída, e revertendo o manuseio para os que estão associados.
Davidgo