Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 23:03



Ответить на тему  [ Сообщений: 8 ] 
Static NAT и Proxy-ARP на WAN интерфейсе 
Автор Сообщение

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Добрый день!
Вот есть классическая схема: GW провайдера предоставляет Ethernet
и на нем сетку /24, IP .1 на самом шлюзе, остальные клиентские.
И есть наш Router, на нем IP .2 и default gw на провайдера.
На нем делаем static NAT IP-to-IP, global например .25

Так вот, для того чтобы входящий IP трафик из Инета на этот адрес .25 (почта например)
отправлялся GW на MAC нашего Router, необходимо ли включать proxy-arp на его WAN интерфейсе?
Или static NAT подразумевает ARP ответы на WAN на адрес .25?
(Кэширование ARP на GW от исход. трафика не берем в расчет, т.к. он временный и по таймауту исчезает.)

_________________
Knowledge is Power


30 май 2020, 12:20
Профиль

Зарегистрирован: 23 май 2012, 15:07
Сообщения: 50
Роутер сам добавит arp-запись.
Ее видно в sh arp.


01 июн 2020, 12:05
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
В описанной ситуации proxy-arp и не должен отрабатывать, так как ARP-запрос от GW полетит об адресе, который должен присутствовать в том же сегменте, то есть наш роутер будет его рассматривать как легитимный ARP-запрос о "правильном" адресе. Поэтому роутер не будет отвечать. Вот если бы на GW была маска /24, а у нас /30, то тогда мог бы сработать proxy-arp (безотносительно NAT).
Мы так одного провайдера в дата-центре к /31 приучали. :-)


04 июн 2020, 01:08
Профиль WWW

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Black Fox писал(а):
В описанной ситуации proxy-arp и не должен отрабатывать, ... Поэтому роутер не будет отвечать.

Про proxy-arp все логично.
Но если наш Router вообще не будет отвечать на ARP запросы провайдерского GW про адрес .25,
то мы никогда не получим входящих пакетов на этот адрес.

А вообще странный игнор (почти) этой темы на форуме.
Это настолько очевидно или все включают по дефолту (с proxy-arp) и не парятся?
Ну в общем-то оно сейчас так и работает, но хотелось бы понимать физику (логику) процесса.

_________________
Knowledge is Power


05 июн 2020, 21:00
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Наверное, я криво выразился. Сорри. Я говорил о том, что если бы дело было только в proxy-arp, то ответа бы и не было. Но то, что настроен NAT, и приводит к созданию дополнительной ARP-записи и наш роутер отвечает шлюзу провайдера именно из-за этой фичи. Можете ради эксперимента отключить proxy-arp на интерфейсе и посмотреть, что NAT всё равно будет работать даже после истечения всех разумных таймаутов для ARP на стороне провайдера (либо включить deb arp, чтобы посмотреть, мы отвечаем на запросы от провайдера).
Наоборот, proxy-arp везде (без особой на то необходимости) стараюсь отключать.


07 июн 2020, 01:04
Профиль WWW

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Тут, кстати, вспомнилось, что на ASA, например, при создании NAT можно указать опцию no-proxy-arp, то есть, похоже, механизм-таки proxy-arp. Но, видимо, не стандартный, а включаемый только для одного конкретного адреса.
https://www.cisco.com/c/en/us/support/d ... SA-00.html


07 июн 2020, 13:40
Профиль WWW

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
И на форуме у нас есть упоминания (правда снова про ASA).
viewtopic.php?f=2&t=9605


07 июн 2020, 18:50
Профиль WWW

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Black Fox писал(а):
Тут, кстати, вспомнилось, что на ASA, например, при создании NAT можно указать опцию no-proxy-arp, то есть, похоже, механизм-таки proxy-arp. Но, видимо, не стандартный, а включаемый только для одного конкретного адреса.

То, что механизм похожий, это да. Там логика несложная - отвечать на ARP запросы на нужные IP.
Вот только непонятно, это отдельная фича, или при отключении proxy-arp на WAN интерфейсе и NAT тоже отвалится?
Про что, собственно, и был изначальный пост.

Black Fox писал(а):
Можете ради эксперимента отключить proxy-arp на интерфейсе и посмотреть, что NAT всё равно будет работать даже после истечения всех разумных таймаутов для ARP на стороне провайдера

Там ARP cache timeout порядка 4-6 часов, плюс исходящий трафик. Так что в продакшене это затруднительно смотреть,
а для лабы сейчас нет свободных железок.

_________________
Knowledge is Power


17 июн 2020, 01:10
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 69


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB