Нет пинга на интерфейсы из других подсетей

[Violetoil]

Есть 3 интерфейса на виртуальной машине Ubuntu:

Код: (html5) [Выделить]

br0          192.168.10.200 vlan 10
ens160.200   192.168.200.200 vlan 200
ens160.2     192.168.2.200 vlan 2
Также есть фаервол Juniper srx240, который позволяет трафику с 10ого vlan ходить в любые другие(200 и 2), но ens160.200 и ens160.2 недоступны с него (при этом в своей подсети все доступно).
iptables сейчас сделал вообще пустыми. tcpdump на пинг выдает следующее:

Код: (html5) [Выделить]

17:00:01.425831 ethertype IPv4, IP (tos 0x0, ttl 63, id 29922, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.10.2 > RADIUS: ICMP echo request, id 32362, seq 0, length 64
17:00:01.425831 IP (tos 0x0, ttl 63, id 29922, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.10.2 > RADIUS: ICMP echo request, id 32362, seq 0, length 64
17:00:01.450484 IP (tos 0xc0, ttl 64, id 60619, offset 0, flags [none], proto ICMP (1), length 113)
    localhost > localhost: ICMP localhost udp port 37640 unreachable, length 93
IP (tos 0x0, ttl 64, id 40239, offset 0, flags [DF], proto UDP (17), length 85)
    localhost.domain > localhost.37640: [bad udp cksum 0xff54 -> 0x4634!] 35973 NXDomain q: PTR? 200.200.168.192.in-addr.arpa. 0/0/1 ar: . OPT UDPsize=4096 (57)
route:

Код: (html5) [Выделить]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         gateway         0.0.0.0         UG    0      0        0 ens160.200
default         gateway         0.0.0.0         UG    200    0        0 ens160
default         gateway         0.0.0.0         UG    425    0        0 br0
link-local      0.0.0.0         255.255.0.0     U     1000   0        0 ens160
192.168.2.0     0.0.0.0         255.255.255.0   U     200    0        0 ens160
192.168.10.0    0.0.0.0         255.255.255.0   U     425    0        0 br0
192.168.200.0   0.0.0.0         255.255.255.0   U     400    0        0 ens160.200
Как сделать так чтобы интерфейсы отвечали другим подсетям?
Заранее благодарю за помощь.

[fisher74]

А эти другие подсети знают про подсеть в 10-ом vlan-е?
ip r с тестового хоста одной из этих подсетей покажите

[Violetoil]

А эти другие подсети знают про подсеть в 10-ом vlan-е?
ip r с тестового хоста одной из этих подсетей покажите

1) На фаерволе правила есть. По крайней мере другие машины в подсетях пингуются.
2) Честно говоря не понял о чем речь в плане ip r вот результаты traceroute от 192.168.10.12 до тестового хоста:

Код: (html5) [Выделить]

traceroute 192.168.2.11
traceroute to 192.168.2.11 (192.168.2.11), 64 hops max, 52 byte packets
 1  192.168.10.1 (192.168.10.1)  0.704 ms  0.535 ms  0.404 ms
 2  192.168.2.11 (192.168.2.11)  1.706 ms  1.725 ms  1.553 ms
Доступа из сетей 192.168.2.0 и 192.168.200.0 нет, ведь для reply пакета им и не надо знать а  топология сети примерно следующая:
vlan 10 net 192.168.10.0/24 - административная сеть, имеет доступ в любую подсеть
vlan 2 net 192.168.2.0/24 - подсеть созданная для сетевого оборудования(свитчи, фаервол и др.)
vlan 200 net 192.168.200.0/24 - подсеть созданная для подключения по vpn(выделил в отдельную, дабы проще было регулировать права доступа,)

[fisher74]

им и не надо знать

с чего это Вы взяли? Может быть в полном объёме и не нужно, но в обобщённом придётся.
Как Вам ответит адресат, если не знает куда бросить письмо для Вас?

естно говоря не понял о чем речь в плане ip r

в плане введите эту команду на тестируемом хосте и покажите её вывод нам. Или (я боюсь это предположить) Вы не знаете что это за команда?

[Violetoil]

с чего это Вы взяли? Может быть в полном объёме и не нужно, но в обобщённом придётся.
Как Вам ответит адресат, если не знает куда бросить письмо для Вас?

Да, согласен. Тем не менее они знают, так как traceroute до других хостов идет, как я показал выше.

в плане введите эту команду на тестируемом хосте и покажите её вывод нам. Или (я боюсь это предположить) Вы не знаете что это за команда?

К сожалению не знаю, по выводу вижу что это тот же route, приведенный в первом сообщении:
default via 192.168.200.1 dev ens160.200
default via 192.168.2.1 dev ens160  proto static  metric 200
default via 192.168.10.1 dev br0  proto static  metric 425
169.254.0.0/16 dev ens160  proto static  scope link  metric 1000
192.168.2.0/24 dev ens160  proto kernel  scope link  src 192.168.2.200  metric 200
192.168.10.0/24 dev br0  proto kernel  scope link  src 192.168.10.200  metric 425
192.168.200.0/24 dev ens160.200  proto kernel  scope link  src 192.168.200.200  metric 400

[fisher74]

Да, выводит примерно тоже самое.
Только вот я просил с другой железки, а не со шлюза (и не с файерволла)

[Violetoil]

Только вот я просил с другой железки, а не со шлюза (и не с файерволла)

Эта машина является шлюзом только для VPN клиентов(и то еще нет), в остальных случаях это просто хост. Схема сети примерно следующая:

интернет--фаервол(шлюз)--коммутаторы

Ubuntu VM подключено напрямую к фаерволу, PC к коммутатору.

Тем не менее, вот netstat -nr(mac os x) с pc(192.168.10.12):

Код: (html5) [Выделить]

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            192.168.10.1       UGSc           32        0   vlan0
10.37.129/24       link#14            UC              1        0   vnic1
10.211.55/24       link#13            UC              2        0   vnic0
10.211.55.3        0:1c:42:3c:8f:fd   UHLWIi          1        1   vnic0   1127
127                127.0.0.1          UCS             0        0     lo0
127.0.0.1          127.0.0.1          UH              9  4441798     lo0
169.254            link#8             UCS             0        0   vlan0
192.168.10         link#8             UCS             1        0   vlan0
192.168.10.1/32    link#8             UCS             1        0   vlan0
192.168.10.1       b0.a8.6e.b2.a9.10  UHLWIir        42      125   vlan0   1078
192.168.10.12/32   link#8             UCS             1        0   vlan0
192.168.10.200     0.c.29.fe.9b.8d    UHLWI           0        7   vlan0   1085
224.0.0/4          link#8             UmCS            2        0   vlan0
224.0.0.251        1:0:5e:0:0:fb      UHmLWI          0        0   vlan0
239.255.255.250    1:0:5e:7f:ff:fa    UHmLWI          0       10   vlan0
255.255.255.255/32 link#8             UCS             0        0   vlan0
и таблица маршрутов одного из коммутаторов:

Код: (html5) [Выделить]

Routing Table

IP Address/Netmask  Gateway          Interface     Cost      Protocol
------------------  ---------------  ------------  --------  --------
0.0.0.0/0           192.168.2.1      System        1         Default
192.168.2.0/24      0.0.0.0          System        1         Local

Total Entries: 2



Пользователь добавил сообщение 02 Августа 2017, 15:22:04:Попробовал отключить интерфейс Br0(192.168.10.200) - пинг сразу заработал. Как я понял происходит следующее:
1) На интерфейс 192.168.200.200 или 192.168.2.200 приходит пакет от 192.168.10.12
2) Так как интерфейс с данной подсетью существует(192.168.10.200) Ubuntu VM пытается перекинуть трафик на него.
3) Пакет не может пройти дальше и режется

Как сделать так чтобы ответ шел с того интерфейса на который пришел пока что не понимаю.

[fisher74]

Да уж.. запутанно всё у Вас.
Если бы сами не сказали какой тернистый путь проходит пакет я бы ещё долго вкуривал что-куда включено.
Мне кажется нужно упрощать схематику.

Если не менять, то разрулить можно пробовать с помощью iproute2

[Violetoil]

Если вдруг кто-то зайдет сюда и будет искать ответ, вот минимум, который понадобится для реализации:https://bozza.ru/art-251.html.

Также добавлю, что для более удобного управления удобно все это записать в скрипт в /etc/init.d/

[fisher74]

Домашнее задание выполнено. Поздравляю. (никакого сарказма)
Теперь Вы точно знаете как ЭТО у Вас работает )))