Es una maquina virtual bajo vmware y si, están conectadas al mismo switch, no se si llamarla vlan, porque fue siempre la subred 0 lisa y llanamente. Siempre funciono de maravillas hasta que implementamos esta subred 30 que si es una vlan.
El día 2 de enero de 2015, 14:13, Ramses <[email protected]> escribió: > El 02/01/2015, a las 17:57, Fernando Miculan <[email protected]> > escribió: > >> Buenas buenas, paso a comentar la estructura de red y un resumen: >> El equipo en donde corre el firewall-squid tiene dos eth (eth0: >> 192.168.0.194 y eth1: 192.168.0.193), el gw brindado a todos los >> usuarios mediante dhcp es el 192.168.0.194 (eth0) >> A partir de la implementacion de la subred 30, se instalaron 2 routers >> mikrotik, uno es el gw 192.168.0.1 y el otro es 192.168.30.1 >> Los gw físicos de internet son el 192.168.0.216 y 192.168.0.205. >> El squid tiene grupos, de los cuales uno es acceso total y el otro >> limitado, a su vez el firewall filtra accesos y forwardea todo el 80 >> al 3128 del squid, como habran visto. >> También el firewall deja acceder a mac address listeadas estén o no >> dentro del dominio de mi empresa (caso visitas, terceros, etc). >> >> Lo de las 2 interfases eth, lo armaron asi, y creo que la excusa fue >> monitorear trafico y discriminarlo por interfase. >> >> El día 31 de diciembre de 2014, 18:06, Santiago Liz >> <[email protected]> escribió: >>> No hagas top posting porque se vuelve difícil seguir el tema... >>> No abras otro hilo para el mismo tema... pego acá >>> >>>> El día 30 de diciembre de 2014, 21:24, Santiago Liz <[email protected]> >>>> escribió: >>>>> El día 30 de diciembre de 2014, 17:23, Fernando Miculan >>>>> <[email protected]> escribió: >>>>>> Hola, como están?. >>>>>> Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos >>>>>> cuantos años que utilizo Linux, en especial Debian y Ubuntu. >>>>>> >>>>>> Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un >>>>>> active >>>>>> directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber >>>>>> implementado un firewall con iptables. Todo realizado en un Debian 7. >>>>>> Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según >>>>>> los grupos asignados en el active directory. >>>>>> El problema se presento justamente hoy, al querer ampliar la red a otra >>>>>> subred (192.168.30.0, que dicho sea de paso se implemento en forma de >>>>>> vlan >>>>>> en un router mikrotik.) >>>>>> La cuestión es, que después de haber agregado la ruta en una de las >>>>>> interfaces del debian para que vea la subred 30, estos navegan >>>>>> perfectamente >>>>>> en internet, pero no la subred 0, todo lo que sea web no funciona, salvo >>>>>> el >>>>>> correo electrónico y el skype. >>>>>> Que es lo que puede estar pasando? >>>>>> Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no >>>>>> veo el problema... me estará faltando algún tipo de regla adicional en el >>>>>> firewall ?? >>>>>> Si les sirve les puedo postear el script del firewall. La política por >>>>>> defecto es DROP y luego permito algunos puertos y mac address para que >>>>>> bypaseen el proxy. >>>>> >>>>> Falta algo de info, pero adivinando diría que algún cambio afectó la >>>>> configuración de squid donde se daba permiso a la red >>>>> 192.168.0.0/(24?) para utilizar el mismo al habilitar la >>>>> 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a >>>>> la IP:Puerto donde escucha squid. >>>>> Al decir que anda el correo y skype descarto problemas de ruteo/nat. >>>>> Cuando desis que no navegan, cual es el error? un error de squid >>>>> diciendo que no tienen permiso o que no los clientes nos se pueden >>>>> conectar al proxy? >>>> >>>> Los que no navegan son los equipos de la subred 0 que esquivan el proxy >>>> squid a través de una regla iptables por mac address. Si esos equipos los >>>> apunto al squid desde el navegador, funcionan bien. >>>> Lo extraño es que esa regla funciono de maravillas antes de hacer la subred >>>> 30. >>> >>>> Aqui posteo lo que me tira un netstat -nr >>>> >>>> Destination Gateway Genmask Flags MSS Window irtt >>>> Iface >>>> 0.0.0.0 192.168.0.216 0.0.0.0 UG 0 0 0 >>>> eth1 >>>> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 >>>> eth0 >>>> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 >>>> eth1 >>>> 192.168.30.0 192.168.0.1 255.255.255.0 UG 0 0 0 >>>> eth0 >>>> >>>> Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo >>>> para la subred 30 >>> >>> El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la >>> misma red 192.168.0.0/24 ? >>> >>> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 >>> eth1 >>> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 >>> eth0 >>> >>> La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT? >>> Eth0 y eth1 están conectadas al mismo segmento de red? >>> >>> Donde están conectados los equipos que no tienen acceso físicamente, a >>> la eth0 o eth1? >>> >>> Con esos datos parecería ser que hay un problema independiente de la >>> red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás >>> intentando que el equipo forwardee paquetes entre dos interfaces de la >>> misma red, lo cual no tiene mucho sentido. >>> Si un equipo cualquiera de las red 192.168.0.0/24 tiene como default >>> la IP 192.168.0.216 debería andar sin intervención del proxy/firewall. >>> >>> Deberías aclarar como está implementada la red. >>> >>>> >>>> >>>> -- >>>> Fernando Miculan.- >>>> FCM Sistemas >>>> Tel. 15-5435862 / ID: 160*6915 >>>> ICQ: 6410724 / Skype: fcmsistemas >>>> http://ferchobbs.ddns.net >>>> BBS Telnet: ferchobbs.ddns.net:23 >>> >>> Saludos, >>> Santiago.- >>> >>> >>> -- >>> To UNSUBSCRIBE, email to [email protected] >>> with a subject of "unsubscribe". Trouble? Contact >>> [email protected] >>> Archive: >>> https://lists.debian.org/CAJ5eSfaC9sQcAXwhyA_Û[email protected] > > ¿Las 2 interfaces están conectadas al mismo switch y misma VLAN? > > > Saludos, > > Ramses > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact [email protected] > Archive: > https://lists.debian.org/[email protected] > -- Fernando Miculan.- FCM Sistemas Tel. 15-5435862 / ID: 160*6915 ICQ: 6410724 / Skype: fcmsistemas http://ferchobbs.ddns.net BBS Telnet: ferchobbs.ddns.net:23 -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/CA+qfd8fW+Qaxe7CbWb1KLqyWK7fTE86rCWAAXC31y+=nebr...@mail.gmail.com
