AbcLinuxu:/ Poradna / Linuxová poradna / Routování - už opravdu nevím

Štítky: Internet, PC, sítě

Dotaz: Routování - už opravdu nevím

15.7.2010 18:20 Tom
Routování - už opravdu nevím

Přečteno: 490×

Odpovědět | Admin

((LAN-1 192.168.20.0/24))---((GW-1))---((VPN skrz internet 23.0/24))---((GW-2))---((LAN-2 25.0/24))

Na uvedeném obrázku je propojení sítí a pokud se komunikuje z PC v LAN-1 na PC v LAN-2, tak není na PC-1 ani na PC-2 IP adresa toho druhého, ale vždy IP adresa příslušné GW v příslušné síti. Lze nastavit, aby při spojení např. z 20.5 na 25.8 bylo vidět tak, že teď s 25.8 komunikuje 20.5 a ne aby byla vidět IP příslušné GW?

Řešení dotazu:

Nástroje: Začni sledovat (0) ?

Odpovědi

15.7.2010 18:36 kryps
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Siete su v roznych IP subnetoch, takze musi byt medzi jednotlivymi LAN sietami mininalne 1 router. Kedze v tomto pripade tu je este VPN tunnel, tak su tam 2 routre. Alternativa je dat obe siete na rovnaky IP subnet, pripadne urobit prasacinu a zmenit len NETMASKU na nejaku, co pokryje oba subnety napr. 255.255.0.0. Potom pouzit VPN, ktora bude bridgovana cize asi najskor OpenVPN s TAP interfacemi a medzi jednotlivymi sietami (PC) budu spojenia na L2 a teda budu komunikovat priamo. Tunel teda nebude routovany, ale bridgovany, takze sa na L3 IP adresy gatewayi neobjavia. Otazka je, ci je mozne preadresovat alebo zmenit netmasky PC v oboch sietach.

15.7.2010 18:42 Tom
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Propojení LAN, které popisuješ není uskutečnitelný. Z toho tedy usuzuju, že to nelze udělat tak, jak si to představuju

15.7.2010 20:24 kryps
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Este je tu jedna moznost. Tazsie sa to opisuje, ale snad to bude pochopitelne. Na GW1 nabindovat volne IP adresy zo siete 20.0/24 a urobit SNAT/DNAT na IPcka zo siete 25.0/24 a naopak, na GW2 nabindovat volne IP adresy zo siete 25.0/24 a urobit SNAT/DNAT na IP adresy zo siete 20.0/24. Potom to bude vyzerat tak, ze v podstate tie 2 siete o sebe nebudu vediet, ale vzdy ked pojdu pakety na pocitac v druhej sieti, tak sa GW v prislusnej sieti zatvari, ze ona ma tu IP adresu, prijme data a urobi SNAT/DNAT do tej druhej siete a bude to vyzerat tak, ze sa ako keby komunikuje v ramci jednej siete. Je to ale zlozitejsie na konfiguraciu, pretoze tym padom bude mat kazdy pocitac v kazdej sieti ako keby 2 IP adresy a moze to niektore sluzby ovplyvnit. Zaroven bude problem trochu s broadcast/multicast zalezitostami. Zalezi, co presne/konkretne je cielom.

15.7.2010 18:53 cezz | skóre: 24 | blog: dm6
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Kedze obe LAN maju svoj vlastny subnet je treba medzi nimi routovat. Na kazdej GW si nastav routu do LAN na opacnej strane cez IP druhej GW vo VPN. V pripade ze maju PC v LAN ako default GW tu istu GW ako tu s VPN, bude to chodit, inak potrebujes na vsetkych tiez nastavit routu cez IP ich GW.

Routovaniu by si sa vedel vyhnut kombinaciou NATov, ak je to nutne.

Computers are not intelligent. They only think they are.

15.7.2010 18:58 Tom
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Sítě fungují tak, že GW v každé lan má několik funkcí. Je to NAT do internetu a VPN spoj do druhé LAN. Data přes VPN normálně tečou, až na to že bych rád to co jsem psal výš

15.7.2010 20:26 tomk
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Ale takhle by to preci normalne melo fungovat. Kdyz se vytvori napr. TCP spojeni z 20.5 na 25.8, tak proste oba konce uvidi, ze to spojeni je mezi nima. IP adresa GW v tom za normalnich okolnosti nijak nefiguruje.

Pokud 25.8 vidi v packetech jako zdrojovou adresu IP adresu gatewaye z prvni site, tak je to z toho duvodu, ze ji tam ta gateway da (provede NAT). Melo by tedy stacit ty dve gw premluvit, aby NAT pro packety mezi temito sitemi neprovadely.

Tomas

15.7.2010 21:40 Tom
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Právě problém je v tom, že každá GW dělá primárně pro svou síť bránu s NAT pro přístup k netu. Na VPN spoji používám TAP a nedaří se mi to nastavit. Už mi z toho jde hlava kolem

15.7.2010 22:05 tomk
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Aha, to je tedy OpenVPN? Pak by mi jako ciste reseni prislo pouzit tun, nejakou propojovaci sit a na obou gw normalne nasmerovat LAN site vzdy za protejsi adresou propojovaci site. Pak zbyva jen v tom co dela nat (iptables?) zajistit, aby to provoz mezi lan sitemi neprekladalo.

Tomas

16.7.2010 00:53 cezz | skóre: 24 | blog: dm6
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Vyzera, ze robis zbytocne NAT aj na tap interfacoch, skus ho zrusit, vsetko by malo ist presne ako potrebujes.

Pre pristup k internetu by mal stacit SNAT na rozhrani do internetu. Ak potrebujes z nejakeho dovodu NAT aj smerom dovnutra siete, bude musiet byt specifickejsi, aby nematchol packety z druhej siete.

Computers are not intelligent. They only think they are.

16.7.2010 07:03 Tom
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

NAT tak jak mi běží teď tam nechat chci, osvědčil se mi i přes všechny kejkle, které s ním dělám. NATovací pravidlo mám zapsáno takto:
iptables -t nat -A POSTROUTING -j MASQUERADE
a napadlo mě, jestli tam nepřidat ještě -o ${internet iface} a jestli by to vůbec pomohlo

16.7.2010 08:52 NN
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Prave tou maskaradou to schovavas za IP brany, tak se na ni vykasli a obe site naroutuj skrz VPN.

16.7.2010 09:18 Tom
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Routovací pravidla jsou nastavená tak, že ze dostanu do druhé sítě, v tom problém není. Problém je v tom, že když z PC v LAN-1 na PC v LAN-2, tak např. v iftopu vidím, že přistupuju na GW-1 když jdu z LAN-1 a zase na druhé straně že na cílový komp přistupuje GW-2 na PC v LAN-2. No a řešíme tady jak se toho zbavit a zajistit, aby byly vidět přímo IP adresy obou PC které spolu komunikují, byť jsou každý z jiného /24 subnetu :-)

16.7.2010 11:59 tomk
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Taky uz nevim, jak jinak to napsat. Kdyz po tech gw chces, aby to delalo nat vseho, tak se pak nemuzes divit, ze se ti to na druhe strane hlasi pod natovanou adresou. Chce to, a slibuju, ze to pisu podruhe a naposled, zajistit, aby se NAT netykal provozu mezi lan sitemi. Tedy napr. alespon necim jako:

iptables -t nat -I POSTROUTING -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT

Tomas

18.7.2010 16:54 cezz | skóre: 24 | blog: dm6
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

a napadlo mě, jestli tam nepřidat ještě -o ${internet iface} a jestli by to vůbec pomohlo

Myslim, ze by urcite pomohlo.

A zrejme by pomohlo trosku si nastudovat iptables a nie len nieco nejako nastavit, ze to nahodou ako-tak chodi..

Computers are not intelligent. They only think they are.

18.7.2010 22:02 Tom
Rozbalit Rozbalit vše Re: Routování - už opravdu nevím

Tak se zdá, že vše je podle mých představ. Díky všem za rady. A nebojte se, zase se ozvu :-)

Založit nové vlákno • Nahoru

Tiskni Sdílej: