¿Cómo acceder al espacio de direcciones 192.x desde el espacio de direcciones 10.x?

17

Tengo un enrutador secundario con espacio de direcciones 192.xxx. En cualquier máquina aquí puedo acceder al espacio de direcciones 10.xxx. Lo opuesto no es verdad. Una máquina en 10.0.xx no puede hacer ping a 192.168.xx ¿Cómo configuro mi enrutador para que esto sea posible?

networking router ip ip-address Morsa el gato
fuente
44
No hay nada inherentemente especial en las redes 10.xyz y 192.168.xy, excepto que están explícitamente disponibles para su uso en redes privadas. Por lo tanto, todo lo que necesita hacer es corregir el enrutamiento que cualquier administrador del sistema que valga la pena puede arreglar.
Thorbjørn Ravn Andersen
Verifique la ruta en ambos lados. Verifique los firewalls en ambos lados. Verifique los firewalls en las máquinas. Eso debería cubrirlo.
kafka
1
Si uno puede hacer ping al otro pero no al revés, es un problema de NAT o filtro de IP. Nada en su pregunta permite diagnósticos adicionales.
Eckes

Respuestas:

27

Parece que tiene más de una puerta de enlace NAT en una red pequeña. Hacer "Doble NAT", como se llama esto, generalmente causa varios problemas, uno de los cuales es el que está experimentando: parte de su red está en el lado público / WAN / no confiable de uno de sus NAT, y puede ' No llegue a las máquinas del otro lado.

La mejor solución para evitar esta y otras molestias de Double NAT es reconfigurar el enrutador descendente para que no esté haciendo NAT. Algunos enrutadores le permiten desactivar NAT y hacer que el puerto WAN se conecte con los puertos LAN. Otros no tienen una forma de hacerlo, por lo que solo tiene que deshabilitar el servidor DHCP en ellos y conectar uno de sus puertos LAN en un puerto LAN en el enrutador ascendente.

Spiff
fuente
1
Si bien esta respuesta es objetivamente correcta, hay trabajo adicional que debe hacerse (es decir, establecer una ruta desde el enrutador principal al secundario)
davidgo
8
@davidgo, no realmente, ya que hacer esto eliminará toda la red 192.168.xx y todo será 10.xxx
psusi
3
@psusi Bastante justo. Leí mal que Spiff estaba sugiriendo aplanar la red.
David
44
@davidgo También entendí mal la sugerencia la primera vez. Creo que es porque primero sugiere deshabilitar NAT, lo que asumí para implicar que seguiría siendo enrutamiento y que las direcciones asignadas a las interfaces de red seguirían siendo las mismas. Cuando esta respuesta dice deshabilitar NAT, realmente significa deshabilitar el enrutamiento por completo.
kasperd
10

Deberá realizar cambios en ambos enrutadores:

En el enrutador secundario: asigne a la interfaz WAN una dirección IP estática (puede asignarla en el enrutador secundario al tenerla en el rango 10.xxx pero fuera del rango DHCP, o puede usar el enrutador principal para hacer la reserva DHCP para asignar una dirección del enrutador principal). Deshabilite NAT en el enrutador secundario.

En el enrutador principal, debe establecer una ruta estática para 192.168.xx con una puerta de enlace de la dirección IP WAN de los enrutadores secundarios.

davidgo
fuente
@davidgo, ¿puedes dar más detalles sobre la última parte de tu respuesta? es decir, asignar una ruta estática para ese subespacio de direcciones.
Walrus the Cat
3
No puedo dar detalles sin conocer el enrutador, pero la lógica es la siguiente: el enrutador necesita saber dónde enviar cualquier paquete que reciba. Lo hace buscando la ruta más específica en la tabla de enrutamiento que conoce, y sabe sobre sí misma, la LAN a la que está conectada, la WAN a la que está conectada y su ruta predeterminada. NO sabe (en este caso) que los dispositivos 192.168.xx deben alcanzarse a través de un enrutador en su LAN, por lo que debe informarlo; de lo contrario, enviará los paquetes para 192.168.xx a través de la interfaz WAN.
davidgo
dd-wrt.com/wiki/index.php/Linking_Subnets_with_Static_Routes explica cómo funciona esto y cómo hacerlo en dd-wrt (pero divide 192.168 en bloques más pequeños, en lugar de usar 2 redes, pero la lógica es la misma)
davidgo
Dado que el ping funciona en una dirección (lo que significa que los paquetes de respuesta también llegan) no es un problema de enrutamiento.
eckes
@eckes No es cierto. El enrutador secundario está, entre otras cosas, actuando como una válvula unidireccional que permite que SOLO los paquetes ingresen los paquetes entrantes asociados con los paquetes salientes, y lo hace jugando con la dirección de origen si los paquetes salientes e invirtiendo el violín para los entrantes asociados.
davidgo