Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: eXtreeme 17. 03. 2010, 22:11:39
-
Mam dve oddelene site. Jak je vzajemne propojit? (Aby ze site 192.168.0.1xx slo pingnout 10.0.1.1xx a opacne)...
Zkousel jsem si hrat s "route", ale nepodarilo se mi...
Schema napovi vice...
|-- [DHCP + NAT] -- {192.168.0.100 - 192.168.0.200}
internet -- {SERVER[eth0:192.168.0.2,tap0:10.0.1.1]}<
|-- [VPN + DHCP + NAT] -- {10.0.1.100 - 10.0.1.200}
-
Třeba ti chybí povolit přeposílání paketů v jádře, které povolíš tímto: echo 1 > /proc/sys/net/ipv4/ip_forward
-
Preposilani packetu mam povoleno... Spise bych videl problem v "nastaveni route"... Ukazete mi prosim jak byste nastavoval route?
-
Ještě je tu jedna drobnost. Pohrál bych si s nastavením výchozí brány
-
man route
-
co takhle prihrat netstat -rn
-
Ak to chapem spravne mas jeden PC, nazvyme ho firewall ktory je pichnuty v oboch sietach.
A tento PC ma pre obe siete figurovat ako gateway [nie default] pre tu opacnu siet.
V takom pripade pridas rute ako net s danym suffixom a ako route uvedies ten firewall. Toto pravidlo potom pridas na kazdom pc.
na fw by si potom mal riesit routing alebo nating.
Najjednoduchsia kontrola je asi tcpdump...
-
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
NN
-
Pocitacova stanice v rozsahu 192.168.0.100 - 192.168.0.200
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.1.0 * 255.255.255.0 U 0 0 0 wlan0
192.168.0.0 * 255.255.255.0 U 307 0 0 wlan0
loopback gentoo.mynetwor 255.0.0.0 UG 0 0 0 lo
default 192.168.0.2 0.0.0.0 UG 307 0 0 wlan0
Pocitacova stanice v rozsahu 10.0.1.100 - 10.0.1.200
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
IPaddrGateway private 255.255.255.255 UGH 0 0 0 wlan0
10.0.1.0 * 255.255.255.0 U 0 0 0 tap0
192.168.0.0 * 255.255.255.0 U 0 0 0 tap0
192.168.10.0 * 255.255.255.0 U 0 0 0 wlan0
default private 0.0.0.0 UG 0 0 0 tap0
iptables -S na gateway
...
-A FORWARD -i eth0 -o tap0 -j ACCEPT
-A FORWARD -i tap0 -o eth0 -j ACCEPT
...
route na gateway
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.1.0 * 255.255.255.0 U 0 0 0 tap0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
256.129.190.0 * 255.255.252.0 U 0 0 0 eth1
loopback * 255.0.0.0 U 0 0 0 lo
default AddrISP 0.0.0.0 UG 0 0 0 eth1
ping (z obou stran stejna reakce)
# ping 10.0.1.100
PING 10.0.1.100 (10.0.1.100) 56(84) bytes of data.
From 192.168.0.100 icmp_seq=1 Destination Host Unreachable
From 192.168.0.100 icmp_seq=2 Destination Host Unreachable
From 192.168.0.100 icmp_seq=3 Destination Host Unreachable
-
Pocitacova stanice v rozsahu 10.0.1.100 - 10.0.1.200
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
IPaddrGateway private 255.255.255.255 UGH 0 0 0 wlan0
10.0.1.0 * 255.255.255.0 U 0 0 0 tap0
192.168.0.0 * 255.255.255.0 U 0 0 0 tap0
192.168.10.0 * 255.255.255.0 U 0 0 0 wlan0
default private 0.0.0.0 UG 0 0 0 tap0
Tady je chyba – stanice nemá u sítě 192.168.0.0/24 uvedenu bránu 10.0.1.1, díky tomu při posílání hledá hosta 192.168.0.x prostřednictvím ARPu, což se jí logicky nepodaří. Myslím, že ta brána půjde nastavit v konfiguraci OpenVPN, předpokládám tedy, že jde o OpenVPN.
BTW: Když už používáte routed režim, má jaký má význam používat tap rozhraní na místo tun? A nebo když už používáte tap, proč na serveru nevytvoříte bridge mezi tap0 a eth0, čímž byste získal VPN transparentní na vrstvě 2?
BTW2: Není úplně rozumné mít lokální síť, do které se chcete dostat přes VPN adresovanou z rozsahu 192.168.0-1.x, stejně jako 10.x.x.x, protože se pak na ní ze spousty míst za NATem se stejnými adresami nedostanete.