Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: cend 09. 02. 2011, 21:45:52
-
Ahoj všichni mám takovej problém. Doma mi běží server, ke kterému se připojuju přes n2n. Všechno funguje jak má ale potřeboval bych se dostat ještě na router v síti. Dám příklad. Sít n2n IP třeba 192.168.50.1, domácí síť IP 192.168.3.0 ten router má IP 192.168.3.1 A jediné co teď potřebuju, je dostat se ze sítě toho n2n (192.168.50.1) na ten router s IP 192.168.3.1 Myslel jsem že jakmile se dostanu přes VPN do domácí sítě (192.168.3.0) tak se mi zpřístupní všechno. Ale asi mi chybí routa... Jinak jako router používám mikrotik. Nevíte někdo jak na to ? Děkuju za každou radu.
-
Tak jestli jsem pochopil tvoji topologii dobře, tak budeš muset na tom serveru nakonfigurovat routování (pravděpodobně i NAT) a potom si hodit statickej rout, kterej bude říkat, že do sítě 192.168.3.0 se půjde přes IP adresu toho serveru v 192.168.50.0 síti ;-)
-
Jo přesně tak úplně přesně tak to je. Jen prostě nevim jak. Systém na serveru je windows Xp a nevim jak tam mam hodit statickou routu...
-
Tak už jsem našel jak to asi nastavit ale neporadil by jsi mi jak to rozchodit ? Tady je odkaz a dole je routování, já nevim jak se routuje, takže kdyby jsi věděl jak na to dej prosím vědět děkuju. http://www.samuraj-cz.com/clanek/tcpip-routing-smerovani/
-
Jakou používáš v té síti masku? N2N používá standardně subnet /24, takže ze stanice 192.168.50.1 se na 192.168.3.1 těžko dostaneš.
-
255.255.255.0
-
No, tak v tom bude ten problém, ne? N2N mění masku parametrem -s.
-
Tak jsem to asi nepochopil nemohl by jste mi prosim napsat jak mam tedy nastavit jednotlive sítě? Domací mám 192.168.3.0/24, kde je i router na který se chci dostat (192.168.3.1) a do této sítě se teď připojuji adresou 192.168.4.12/24 to je adresa n2n PC v síti ale nevidím se...
-
Teď jsem koukal na IP kalkulačku a když dám masku 255.255.248.0 tak bych se měl vidět z 192.168.3.0 - 192.168.4.0 ne ?
-
No, podle mě ti hejbání s maskou vůbec nepomůže. Jestli máš topologii NOTEBOOK -> VPN -> SERVER -> ROUTER tak aby ses z NOTEBOOKU dostal na ROUTER, stejně na tom serveru musí běžet nějaký routování. Pak si můžeš na notesu hejbnout s maskou nebo hodit statickou routu přímo do vzdálené sítě. Ale bez routování to podle mě nepůjde. (aspoň si to myslim). Klidně mi večer napiš na ICQ 222 960 497 a vysvětlim ti, jak tohle funguje ;-)
-
Nevim jak funguje n2n ale napr. OpenVpn muze mit nastaveni route z siti klientu
Kdy to bude nastaveno vsichni VPN klienty budou mit routing do siti klientu ktery je hlasi pres VPN server.
Kdy chcete udelat nejaky n2n routerem mate nastavit routing na kazdem picitachi pres ktery bezi packet. Presne kazdy, nejen router!
napr vsudy network mask je /24
napr "pocitac 2" ma privatni adres 192.168.3.5
n2n sit - 192.168.50.0/24
domaci sit - 192.168.3.0/24
target router (microtik) - 192.168.3.1
tak mame takovou sit'
"pocitac 1" [19.168.50.1] --n2n sit-- "pocitac 2" [192.168.50.2 a 192.168.3.5] --localni sit-- "router" [192.168.3.1]
Mate nastavit v routeru (192.168.3.1) routing 192.168.50.0/24 via 192.168.3.5
A mate v pocitacu 1 nastavit routing do siti 192.168.3.0/24 via 192.168.50.2
Je to vsechno. A bude to fungovat!
Kzyz z nejakych duvodu nemuzete vyuzivat routing muzete nastavit NAT (MASQUERADE) aby ppocitace ktere nevi nic o routingu mneli jen packets z vlastni siti!!!
Vzdy divejtese na packet ktery ma source IP a destination IP, a co z nim muze udelat kazdy pocitach (router) kdy chce nekam jeho zaslat.
Kdy nejaky pozitach nevi kam vzdy zasle do DEFAULT GATE.
-
Nevim jak funguje n2n
No v linuxu se to tváří jako rozhraní edge0. Podle všeho to tuneluje IP pakety pomocí UDP protokolu. IP adresu a masku sítě si člověk může zvolit. Všechno počítače v síti n2n musí být v jedné podsíti. Není tam žádný master uzel (koordinátor není součástí sítě)
-
No v linuxu se to tváří jako rozhraní edge0. Podle všeho to tuneluje IP pakety pomocí UDP protokolu.
Chtel jsem rict ze nevim jestli n2n ma takove nastaveni kdy nejake z klientu muzou nahlasit vsem sve site kdyz na to maji potrebu. A vsichni body zapojene do n2n budou pridavat routing do te siti. Nemel jsem zkusenosti z n2n, vzdy uzival OpenVpn.
Kouknul jsem se do dokumentace n2n a nic jsem nenasel ohledne routingu a hlaseni siti klientu.
V OpenVPN to tak vypada:
Mam zapojene 3 body do jedne siti.
openvpn.conf
# server hlasi sve site
push "route 192.168.102.4 255.255.255.252"
push "route 192.168.102.8 255.255.255.252"
push "route 192.168.103.0 255.255.255.0"
....
# server hlasi sit' jedneho z klientu
client-config-dir ccd
route 192.168.16.0 255.255.255.0
./ccd/client1
#sit' client1
iroute 192.168.16.0 255.255.255.0
#staticka adresa pro VPN client1
ifconfig-push 10.8.0.5 10.8.0.6
Sit 192.168.16.0/24 zapojena do jedneho z klientu OpenVpn.
Site
192.168.102.4/30
192.168.102.8/30
192.168.103.0/30
jsou zapojene do OpenVpn serveru.
Tady je routing table jednoho z klientu.
[user001@m750 ~]$ ip route |sort
10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.37 metric 1
10.8.0.0/24 via 10.8.0.5 dev tun3
10.8.0.5 dev tun3 proto kernel scope link src 10.8.0.6
192.168.102.4/30 via 10.8.0.5 dev tun3
192.168.102.8/30 via 10.8.0.5 dev tun3
192.168.103.0/24 via 10.8.0.5 dev tun3
192.168.16.0/24 via 10.8.0.5 dev tun3
default via 10.0.0.1 dev eth0 proto static
Vsechno je nastaveno automaticky.
Pocitac "Client1" nemaji manualniho nastaveni proto ze ma veskere route od serveru automaticky.
Pocitace z site 192.168.16.0/24 maji manualne nainstalovany route pro veskere potreby.
Napr pocitac 192.168.16.45 ma nastaveny default gate 192.168.16.1 a chce se dostat do tiskarny 192.168.103.2. Tak ma nastaveny routing 192.168.103.0/24 via 192.168.16.2 (192.168.16.2 localni adresa pocitace "client1") a tiskarna maji nastaveny default gate 192.168.103.1 ktery je jeden z interfejsu OpenVpn serveru.
Vsechno bezi nepretrite nekolik let.
-
N2N je hloupá VPN, která nic neumí, než přeposílat pakety z jednoho uzlu do druhého s tím, že data jdou přímo mezi počítači i přes NATy. Takže jakákoliv konfigurace vzdáleně nepřichází v úvahu. Ale lze na jednoho klienta nainstalovat DHCP, který poskytne konfiguraci ostatním.
-
Já jsem teď DHCP zkusil a funguje mi to.
Na uzlu 192.168.50.1 mám dnsmasq nakonfigurovaný, aby na rozhraní edge0 poslouchal DHCP
Na druhém počítači:
$ sudo edge -a 0.0.0.0 -c jmenosite -k heslo -s 0.0.0.0 -l 88.86.108.50:82 -f -v
$ sudo dhclient3 edge0
Internet Systems Consortium DHCP Client V3.1.3
Copyright 2004-2009 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/edge0/a2:7f:ce:fd:ad:f4
Sending on LPF/edge0/a2:7f:ce:fd:ad:f4
Sending on Socket/fallback
DHCPDISCOVER on edge0 to 255.255.255.255 port 67 interval 3
DHCPOFFER of 192.168.50.215 from 192.168.50.1
DHCPREQUEST of 192.168.50.215 on edge0 to 255.255.255.255 port 67
DHCPACK of 192.168.50.215 from 192.168.50.1
bound to 192.168.50.215 -- renewal in 35801 seconds.
Jediný zádrhel mám jen ten, že mi DHCP nastaví výchozí bránu pro 0.0.0.0, což nesmí, protože tím si odřízne cestu od internetu a nemá kudy routovat ty zabalené UDP pakety. Takže to chce si ještě pohrát s nastavením DHCP serveru
-
Ale default gate je dulezita vec! :) Ze jo?!
Daval jsem odpoved pro autora prispevku.
Mame 2 pocitace a router microtik. (estli se nepletu)
[P1] - pocitac 1
[P2] - pocitac 2
[R] - router v lokalni siti "pocitace 2" do ktereho chceme mit pristup z "pocitace 1"
[R] je zapojeny nejakym spusobem do [P2] a jsou v jedne siti
[P2] je zapijeny do [P1] pres n2n
logicky mame takovou sit'
[R] == [P2] == [P1]
Ted' mame co?
[P2] presne vi jak zaslat pakety pro [R] nebo pro [P1] proto ze ma obedve siti u sebe v jadre.
Jen [R] nic nevi o [P1] stejne jako [P1] nic nevi o [R]. Znamena to ze veskere pakety ktere nejsou z site [R] zasle do Default gate. Stejne ucini i [P1] vsechno co nepatri jeho siti zasle do default gate. Pro [R] a [P1] predpokladam ze nejsou zadne jine "routing rules".
Aby to bezelo normalne mame rict routerovi [R] ze pakety pro sit [P2=P1] on ma zasilat do [P2].
Stejne mame rict "Pocitacu 1" [P1] ze pakety pro sit (pozor!) [P2=R] (lokalni sit' mezi routerem a "Pocitacem 2") on ma zasilat stejne do [P2]. Default gate nikde se nema menit.
Kdy udelate tak bude vsechno normalne bezet.
-
Ale default gate je dulezita vec! :) Ze jo?!
Jo, jenže ta tam nesmí být. Musí se vypnout default gw a nastavit se statická routa, do te podsite, kam se chce dostat. DHCP by to měl zvladnout.
-
Jo, jenže ta tam nesmí být. Musí se vypnout default gw a nastavit se statická routa, do te podsite, kam se chce dostat. DHCP by to měl zvladnout.
Nechapu o co jde...
Ale proc se musi vypnout default routa? Kdy napr. [R] ma pristup na Internet smazani nebo zmena default route zmeni kam smeruji pakety pro internet. Pro to aby jen nastavit routing mezi [P1] a [R] staci pridat staticky routing, a default gate nikde menit neni potreba.
-
Jo, jenže ta tam nesmí být. Musí se vypnout default gw a nastavit se statická routa, do te podsite, kam se chce dostat. DHCP by to měl zvladnout.
Nechapu o co jde...
Ale proc se musi vypnout default routa? Kdy napr. [R] ma pristup na Internet smazani nebo zmena default route zmeni kam smeruji pakety pro internet. Pro to aby jen nastavit routing mezi [P1] a [R] staci pridat staticky routing, a default gate nikde menit neni potreba.
Proč se musí vypnout default routa? (já myslel v kjonfiguraci DHCP)
Pokud klient N2N sítě požádá DHCP server v síti N2N o konfiguraci, nesmí mu DHCP změnit default gateway a to z toho důvodu, že jde o VPN. Jakmile se totiž změni výchozí brána, všechny pakety poslané do N2N sítě se zabalí do UDP paketů a ty se pošlou kam? Samozřejmě, že ven do internetu, jenže teď je default gw nastaveno na N2N sít. No jistě, do N2N sítě a ty se zase zabalí, atd, až to někde přeteče a ten paket se zahodí. Proto je potřeba udržet default gw stejnou i po získání konfigurace přes DHCP a musí se to řešit jinak, třeba statickou routou, která obsahuje adresu a masku podsítě, kam se má tenhle klient být schopen dostat. Nesmí to prostě být default gateway.
Takže ano, router musí mit nadefinované trasy jak do své mateřské sítě, tak do navazující N2N sítě a posílat pakety na počítač, který routování provádí. DHCP server běžící na tom počítači musí klientům poskytnout adresu v navazující podsíti a statickou routu do sítě s routerem a nesmí obsahovat nastavení default gw, protože tím klienta definitivně odřízne od internetu.