View previous topic :: View next topic |
Author |
Message |
matim n00b
Joined: 28 Aug 2005 Posts: 23
|
Posted: Wed Sep 07, 2005 7:05 pm Post subject: Routing w obie strony |
|
|
Witam,
Przeszukiwałem całe forum gentoo ale rozwiązania które znalazłem mi nie pomogły, a raczej nie uda mi się dokładnie zadać pytania na ogólnym dziale z siecią związanym, więc postanowiłem poszukać pomocy u rodaków .
Moja sieć wygląda mniej więcej tak
internet <---> sieć1 <---> router <---> sieć2
Na routerze jest Gentoo, i aktualnie iptables jest ustawione do Maskaradowania kompów z sieci drugiej do pierwszej i internetu. Potrzebuję jednak sposobu by umożliwić pojedyńczym komputerom z sieci pierwszej dostępu przez sam adres ip do komputerów z sieci drugiej. Na przykład by komputer podłączony w sieci pierwszej mógł bezpośrednio pingować komputer w sieci drugiej. Sytuacja odwrotna działa, jednak gdy ustawię regułki w routerze na odwrót, by maskowały specyficzne adresy z sieci pierszej do drugiej, to niestety nic się nie dzieje.
Aktualnie wszystko w tabeli filter ma domyślnie Accept bez wyjatków, zaś w tabeli nat POSTROUTING jest na Deny, a wpisy sa do pojedyńczych komputerów w stylu
iptables -t nat -A POSTROUTING -s 192.168.0.7 -j MASQUERADE
Czy wie ktoś jak zrobić by routing zaczął działać również w druga stronę??
Pozdrawiam |
|
Back to top |
|
|
sebas86 Guru
Joined: 01 May 2005 Posts: 568 Location: Szczecinek / Szczecin
|
Posted: Thu Sep 08, 2005 6:08 am Post subject: |
|
|
A czemu ten router siedzi pomiędzy dwoma sieciami lokalnymi? Maskowanie w tym wypadku jest troche dziwne i chyba nawet zbędne. Ale jeśli to sieci lokalne i maskowanie jest niezbędne to po co znowu pingować maszyny po drugiej stronie? Maskowanie ma właśnie zapewnić, że za pomocą jednego ip z połączenia może korzystać kilka różnych maszyn i nie da się tego ominąć mając do dyspozycji tylko jeden ip.
Zawsze możesz ustawić alias i przekierowywać z niego cały ruch na wybrany komputer ale to jest wtedy bezsensu. |
|
Back to top |
|
|
czestmir n00b
Joined: 30 Jan 2004 Posts: 38 Location: RH16 1LS
|
Posted: Thu Sep 08, 2005 7:38 am Post subject: |
|
|
w tej konstrukcji to ja czegoś nie rozumiem
czy sieć1 jest lokalna (bo jeżeli tak to konstrukcja logiczna jest dla mnie cokolwiek nie zrozumiał)
jeżeli już to powinno wyglądać tak
Quote: |
internet --> router --> sieć1
______________ \--> siec2
|
bo według twojego opisu to siec1 nie jest siecią lokalną
Rozwiązanie jest prost należy uruchomić serwer DNS lokalny i wówczas wszystkie
komputery w sieci będą się widziały i po IP i po nazwie (pod warunkiem że sieć 1 jest lokalna) |
|
Back to top |
|
|
milosz n00b
Joined: 21 Aug 2005 Posts: 7
|
Posted: Thu Sep 08, 2005 7:50 am Post subject: |
|
|
Według mnie problem nie tkwi na routerze tylko w komputerach sieci1.
Komputery sieci1 mają ustawioną bramę domyślną jako jakiś router Twojego dostawcy internetu, a on nie ma pojęcia o Twojej drugiej sieci i dla tego nie może przerzucać do niej pakietów. A skoro między siec1 i siec2 jest router to Twoje sieci mają zapewne inne IP. I dlatego też działa w drugą stronę, bo Twój rouer, który jest bramą dla sieci2 zna adresy z sieci1.
Rozwiązanie... jeśli w sieci1 są komputery na linuxie, to dodać trasę stałą do sieci2 przez router...
jeśli Win98, to chyba można było ustawić więcej niż jedną bramę,
W winXP w ustawienia sieci wejdź w protokół TCP/IP i potem we właściwośiach masz Advanced, a tam możesz ustawić więcej niż jedną bramę. Może to pomoże, ale nigdy w praktyce nie sprawdzałem ;P
Chyba, że masz dostęp do routera, który jest twoją bramą do sieci, to można na nim ustawić trasę do Twojej sieci2, ale wątpię, ąeby się usługodawca zgodził.
Inna rzecz, to że NAT "zasłania" adresy w Twojej sieci2. Jeśli komputer jest za nat'em, to on musi rozpocząć połączenie, żeby NAT wiedział co ma zrobić w wchodzącymi z zewnątrz pakietami. Jak chcesz dostęp do któregoś konkretnego komputera z sieci2 to ustaw dla niego forwardowanie portów? Po co tam NAT?
Pozdrawiam.
P.S.
Też nie wiem jaki jest sens takiego ustawienia sieci. Nie lepiej tak jak proponuje Czestmir |
|
Back to top |
|
|
matim n00b
Joined: 28 Aug 2005 Posts: 23
|
Posted: Thu Sep 08, 2005 1:54 pm Post subject: |
|
|
Więc przybliżę problem troszkę bardziej. Sprawa ma się dokładniej tak.
Code: |
internet
|
serwer1
|
switch----AP1 <---> AP2--router--switch--sieć2
|
sieć1
|
Wiem że to nie jest tak jak być powinno, ale do takiego wyglądu sieci zmusiły nas panujące warunki :/. Sieć 1 ma dostęp do internetu przez serwer który jest jej częścią. Sieć 2 ma dostęp przez ten sam serwer lecz połączenie przechodzi przez Access Pointa. Okazało się jednak, że cześć sieci2 trzeba odciąć od internetu, jednak problemem stał się AP2 który nie przekazuje adresów MAC . I dlatego miedzy AP2 a siecią2 stoi router, ten na gentoo. Sieć2 ma dostęp do serwera z internetem za pośrednictwem maskarady na routerze. Po ustawieniu bram do poszczególnych hostów, można nawiązać połączenie z sieci2 do sieci1, jednak gdy wszystko odwrócimy, ustawimy trasy na komputerach sieci1 to one mimo wszystko nie mogą nawiązać połączenia z siecią2, a to jest właśnie moim celem. Rozbudowa sieci dołoży kolejny serwer dostępowy, tym jednak razem w sieci2, a chciałbym by pojedyńcze komputery sieci1 również mogły z niego korzystać, a póki co nie udało mi się nawiązać połączenia z sieci1 do sieci2. Czy macie jakiś pomysł by rozwiązać coś takiego? Jak już mówiłem na forum "networking and security" znalazłem taki sam problem, ale jego rozwiązanie u mnie nie działa.
Co wy na to?
Z góry dzięki
Pozdrawiam |
|
Back to top |
|
|
qermit Veteran
Joined: 02 Feb 2005 Posts: 1032
|
Posted: Thu Sep 08, 2005 3:54 pm Post subject: |
|
|
Moim zdaniem najlepiej by było podlączyć Access Pointa 1 do serwera1. Code: | internet
|
serwer1----AP1 <---> AP2--router--switch--sieć2
|
switch
|
sieć1 |
_________________ "A co ty masz w swoim LinuXie?" - Dr Qermit |
|
Back to top |
|
|
matim n00b
Joined: 28 Aug 2005 Posts: 23
|
Posted: Thu Sep 08, 2005 4:24 pm Post subject: |
|
|
Niestety, nie zrozumiałem.
czemu miałoby to służyć?
Chcę by komputer podłączony do sieci1 mógł nawiązać połączenie z komputerem z sieci2... |
|
Back to top |
|
|
qermit Veteran
Joined: 02 Feb 2005 Posts: 1032
|
Posted: Thu Sep 08, 2005 4:43 pm Post subject: |
|
|
(po dłuższym namyśle)no właściwie jest to raczej niepotrzebne, bo można zdefiniować odpowiednie regułki, które będą wracać pakiety z serwera1 do swicza, a przez niego do routera w sieci 2 (o ile możesz się połączyć do routera) _________________ "A co ty masz w swoim LinuXie?" - Dr Qermit |
|
Back to top |
|
|
matim n00b
Joined: 28 Aug 2005 Posts: 23
|
Posted: Thu Sep 08, 2005 5:44 pm Post subject: |
|
|
Może mi się wydaje, ale ty chyba myślisz o dostępie do sieci2 zza serwera1?
Mi rozchodzi się jedynie o lokalny (znaczy bez pośrednictwa internetu) routing, z sieci1 do sieci2, przy czym jedynym problemem jest konieczny router. Tylko jak go ustawić, by maskował pakiety też w drugą stronę? |
|
Back to top |
|
|
sebas86 Guru
Joined: 01 May 2005 Posts: 568 Location: Szczecinek / Szczecin
|
Posted: Thu Sep 08, 2005 6:55 pm Post subject: |
|
|
matim wrote: | Może mi się wydaje, ale ty chyba myślisz o dostępie do sieci2 zza serwera1?
Mi rozchodzi się jedynie o lokalny (znaczy bez pośrednictwa internetu) routing, z sieci1 do sieci2, przy czym jedynym problemem jest konieczny router. Tylko jak go ustawić, by maskował pakiety też w drugą stronę? |
Ten router to sprzętowy czy zwykły komp + oprogramowanie? Jak sprzętowy to nie za wiele pomoge (chyba, że da się odbierać ruch z kilku różnych ip). |
|
Back to top |
|
|
matim n00b
Joined: 28 Aug 2005 Posts: 23
|
Posted: Thu Sep 08, 2005 7:04 pm Post subject: |
|
|
Router to komp który właśnie staram się ustawić, a że to forum Gentoo, to taki właśnie jest na nim system :-].
Dokładniej to jest to chyba jeszcze wersja 1.4 po aktualizacjach z internetu, z dwoma kartami sieciowymi Realteka 8139 i sterownikami do nich wkompilowanymi w kernel. Czekam na propozycje rozwiązania problemu...
Pozdrawiam |
|
Back to top |
|
|
sebas86 Guru
Joined: 01 May 2005 Posts: 568 Location: Szczecinek / Szczecin
|
Posted: Fri Sep 09, 2005 5:51 am Post subject: |
|
|
matim wrote: | Router to komp który właśnie staram się ustawić, a że to forum Gentoo, to taki właśnie jest na nim system :-].
Dokładniej to jest to chyba jeszcze wersja 1.4 po aktualizacjach z internetu, z dwoma kartami sieciowymi Realteka 8139 i sterownikami do nich wkompilowanymi w kernel. Czekam na propozycje rozwiązania problemu... |
To po co maskować? Po prostu ustaw odpowiednie trasy, tak aby jeśli, któraś maszyna znajduje się poza siecią pierwszą to router przesyła na drugą stronę i vice versa.
Do tego powstało Linux-NET-HOWTO:
http://www.jtz.org.pl/Html/NET-3-HOWTO.pl.html
A zwłaszcza rozdział o trasowaniu:
http://www.jtz.org.pl/Html/NET-3-HOWTO.pl-5.html#ss5.7 |
|
Back to top |
|
|
czestmir n00b
Joined: 30 Jan 2004 Posts: 38 Location: RH16 1LS
|
Posted: Fri Sep 09, 2005 6:27 am Post subject: |
|
|
A więc tak rozwiązanie kolegi @qermit jest jak najbardziej słuszne
Quote: |
internet
|
serwer1----AP1 <---> AP2--router--switch--sieć2
|
switch
|
sieć1
|
A teraz odpowieć czemu ma to służyć
1. dostęp do internetu z sieci2 możesz blokować na serwerze1 (nawet na poszczególne hosty)
2. tak naprawdę ten router nie jest ci potrzebny
3. wówczas możesz sprawę dostępu do obu sieci załatwić trasowaniem ruchu
4. awaria sieci1 nie odcina sieci2
jeżeli jednak z jakichś powodów ta konfiguracja nie jest ci potrzebna to rozwiązanie jest co najmniej trudne ponieważ
trasownie ruchu na routerze z równoczesnym dostępem do netu z sieci2 może nie dokońca działać
ale tego nie jestem do końca pewny nalży spróbować |
|
Back to top |
|
|
mbar Veteran
Joined: 19 Jan 2005 Posts: 1990 Location: Poland
|
Posted: Fri Sep 09, 2005 6:53 am Post subject: |
|
|
Ja myślę, że należy wyłączyć maskaradę i zdefiniować trasy route (+ewentualnie NAT) ręcznie. W końcu maskarada jest potrzebna tak naprawdę tylko wtedy, gdy wyjściowy (publiczny) adres IP jest zmienny. |
|
Back to top |
|
|
matim n00b
Joined: 28 Aug 2005 Posts: 23
|
Posted: Fri Sep 09, 2005 7:16 am Post subject: |
|
|
sebas86:
Hym, trasy są ustawione. Z poziomu routera mogę pingować kopmutery i z sieci1 i z sieci2, ale samo ustawienie tras nie pozwala mi pingować z sieci1 do sieci2, ono jest możliwe dopiero po dodaniu komend z -j MASQUERADE. Z Linux-NET-HOWTO uczyłem się jak to działa, ale u mnie nie jest tak jakbym chciał.
czestmir:
odpowiedzi:
1. dostępu do internatu z sieci2 nie mogę blokować na serwerze1 bowiem AP2 nie przekazuje adresów MAC i nie mozna zidentyfikować komputerów z sieci2
2. router jest właśnie po to, by zablokować dostęp osobom z sieci2, co nie może być zrobione za APekiem
3. możliwe że to właśnie trasowanie jest problemem, ale to tak jak pisalem wyżej
4. faktycznie, ale awarii nie wliczam w rachubę, jeszcze się nie zdarzyło
I ciągle próbuję ustawić to tak jak powinno...
mbar:
tak również sprawdzałem, trasy wsyzstkie są, a maskarada to odmiana NATu, której właśnie używam. Bez żadnych regułek NATowych ruch przez router stoi w miejscu
-------------------
Zaczyna denerwować mnie ta konfiguracja, i zaczynam myśleć o tym by router mial alias sieciowy i przekazywał z niego cały ruch na dany komputer w sieci2. Tylko muszę przeszperać sieć.... |
|
Back to top |
|
|
sebas86 Guru
Joined: 01 May 2005 Posts: 568 Location: Szczecinek / Szczecin
|
Posted: Fri Sep 09, 2005 7:46 am Post subject: |
|
|
A możesz pokazać z jakich regułek korzystasz i jak masz ustawione urządzenia sieciowe? |
|
Back to top |
|
|
czestmir n00b
Joined: 30 Jan 2004 Posts: 38 Location: RH16 1LS
|
Posted: Fri Sep 09, 2005 10:00 am Post subject: |
|
|
Nie wiem co to za sieć ale odpowiec sobie na kilka pytań
1. Czy musisz mieć autoryzacje hostów po MAC
2. Czy wszystkie hosty z siec2 nie mają mieć internetu
Pingowanie z rutera sieć1 i sieć2 nic nie znaczy
musisz dodać trase routowania sieć1 <--> sieć2
Router z zasadzy działania zawsze będzie widził obie sieci |
|
Back to top |
|
|
mbar Veteran
Joined: 19 Jan 2005 Posts: 1990 Location: Poland
|
Posted: Fri Sep 09, 2005 10:46 am Post subject: |
|
|
Właśnie, i wklej nam w końcu tabelę rutingu. |
|
Back to top |
|
|
matim n00b
Joined: 28 Aug 2005 Posts: 23
|
Posted: Fri Sep 09, 2005 8:58 pm Post subject: |
|
|
Tak, właśnie konieczna jest autoryzacja po MACach. Tylko wybrane komputery z sieci2 mają nie mieć internetu. Trasy ustawiałem oczywiście też na komputerach zarówno w sieci1 jak i w sieci2, i jak pisałem na początku z sieci2 do sieci1 wszystko jest w należytym porządku, jedynie z sieci1 do sieci2 nic nie działa.
-------------------
Więc, tabela routingu na serwerze:
Code: |
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0 0 lo
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth1
|
-------------------
Iptables -t nat -L
Code: |
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy DROP)
target prot opt source destination
MASQUERADE all -- 192.168.1.7 0.0.0.0/0
MASQUERADE all -- 192.168.1.105 0.0.0.0/0
MASQUERADE all -- 192.168.1.111 0.0.0.0/0
MASQUERADE all -- 192.168.1.249 0.0.0.0/0
MASQUERADE all -- 192.168.0.5 0.0.0.0/0
MASQUERADE all -- 192.168.0.2 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
|
-------------------
ifconfig
Code: |
eth0 Link encap:Ethernet HWaddr 00:E0:4C:FF:27:B5
inet addr:192.168.1.150 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1719896 errors:0 dropped:0 overruns:0 frame:0
TX packets:1048895 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2423113520 (2310.8 Mb) TX bytes:253675354 (241.9 Mb)
Interrupt:10 Base address:0xd800
eth1 Link encap:Ethernet HWaddr 00:09:2C:00:06:C5
inet addr:192.168.0.6 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:217292 errors:0 dropped:0 overruns:0 frame:0
TX packets:148622 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:281073245 (268.0 Mb) TX bytes:11952439 (11.3 Mb)
Interrupt:11 Base address:0xe400
|
-------------------
Dodatkowo jest ustawiony arp z wpisanymi na stałe MACami.
Trasy na hoście w sieci2 postawionym na XPku dodaję poleceniem na przykład
route add 192.168.0.2 192.168.1.150
zaś na hoście w sieci1
route add 192.168.1.111 192.168.0.6
W tabeli filter w iptables wszystko na ACCEPT.
O czymś zapomniałem?
Pozdro |
|
Back to top |
|
|
sebas86 Guru
Joined: 01 May 2005 Posts: 568 Location: Szczecinek / Szczecin
|
Posted: Sat Sep 10, 2005 7:02 am Post subject: |
|
|
Jak na mój gust tablica routingu dziwnie wygląda, co w ogóle ma oznaczać 0.0.0.0? I czemu potem to jest przekierowywane na bramę domyślną? |
|
Back to top |
|
|
matim n00b
Joined: 28 Aug 2005 Posts: 23
|
Posted: Sat Sep 10, 2005 7:42 am Post subject: |
|
|
Hym, to jest właśnie wpis odpowiadający za bramę domyślą
route add default gw 192.168.0.1
a zamiast defualt pokazuje 0.0.0.0 bo wyżej zamieściłem wynik wywołania "route -n"
Nie to jest problemem... |
|
Back to top |
|
|
sebas86 Guru
Joined: 01 May 2005 Posts: 568 Location: Szczecinek / Szczecin
|
Posted: Sat Sep 10, 2005 8:17 am Post subject: |
|
|
Hm, ja myślę jednak, że właśnie tablica routingu coś psuje. Podobną sytuacje mam u siebie, mam trzy kompy połączone szeregowo i ostatni jako jedyny ma dostęp do sieci, więc siedzi na nim maskarada. Sęk tylko w tym, że na drugim też muszę mieć maskarade inaczej nie działa przekierowywanie pakietów wychodzących na Internet z tego pierwszego i w ogóle do bramki
1 <-> 2 <-> 3 <-> Internet
Mam poustawiane trasy dobrze (tak mi się przynajmniej zdaje) i wygląda na to, że trasowanie po prostu nie działa. |
|
Back to top |
|
|
matim n00b
Joined: 28 Aug 2005 Posts: 23
|
Posted: Sat Sep 10, 2005 8:43 am Post subject: |
|
|
A moim zdaniem to nie trasowanie. U mnie w końcu serwer ma "w zasięgu" wszystkie komputery, zarówno po jednej jak i po drugiej stronie, czyli wie gdzie przekazywać pakiety, tylko że w jedną stronę on nie chce tego robić. Uważam że chodzi o regułki iptables, ale gdzie co i jak, nie udało mi się jeszcze dowiedzieć...
U mnie sytuacja składa się na podobną, bowiem dostęp do internetu przechodzi tak jakby przez dwa połączone szeregowo komputery, sieci są tak na dokładkę...
Czy robił ktoś kiedyś taki routing w obie strony routera? Bo tracę nadzieję ... |
|
Back to top |
|
|
|