Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: ZAJDAN 18. 10. 2018, 13:18:41
-
V lokální síti mám subnet 192.168.1.0/24
Ve VPN síti se také objevuje subnet 192.168.1.0/24
jak správně routovat abych měl přístup na oba?
díky
-
Nijak. Přečíslovat lokální síť.
-
nepoužívat pro svoje potřeby síť 192.168.1.0/24 právě z důvodů, že tento rozsah používá hodně firem a pak dochází ke kolizi
-
Jednoduche reseni to nema, snad jedine delat na routeru NAT 1:1 a namapovat si jeden z tech subnetu na jednom rozhrani do nekolizniho adresniho prostoru. Ale jednodussi bude to fakt preadresovat.
-
Nikdy nikde nepoužívej:
192.168.0.0/24
192.168.1.0/24
10.0.0.0/24
Krom přečíslování si to eště můžeš cvičně přeNATovat. ::)
-
Destination NAT by to vyresil, ale musel bych ho delat pro kazdou IP solo
-
Destination NAT by to vyresil, ale musel bych ho delat pro kazdou IP solo
V Linuxe môžeš pomocou iptables spraviť NAT pre celý subnet:
iptables -t nat -A PREROUTING -d 192.168.1.0/24 -i eth0 -j NETMAP --to 192.168.8.0/24(Zmeň si interface na to, ktoré potrebuješ NATovať)
Ide to aj napr. v Mikrotik (dáš to-address /24) alebo Cisco routeroch.
-
Nikdy nikde nepoužívej:
192.168.0.0/24
192.168.1.0/24
10.0.0.0/24
Preco nie? co sa ma potom pouzivat?
192.168.x.x - to pouzivam doma (1.x -lokalna siet, 2.x -pre hostovsku siet)
10.x.x.x - pre moje zariadenia (domace hracky)
172.x.x.x - to pouziva provider.
vo firme podobne:
192.168.x.x. - pocitace
172.x.x.x - VPN a ine srandy.
-
najprv treba pochopit vyznam masky siete...
-
najprv treba pochopit vyznam masky siete...
ano maska by mohla také pomoci,
na jedné straně třeba:
Address: 192.168.1.1
Network: 192.168.1.0/26
Broadcast: 192.168.1.63
na druhé straně třeba:
Address: 192.168.1.100
Network: 192.168.1.64/26
Broadcast: 192.168.1.127
ale v případě kdy je na obou stranách adresa 192.168.1.10 , již maska nepomůže
-
Preco nie? co sa ma potom pouzivat?
192.168.x.x - to pouzivam doma (1.x -lokalna siet, 2.x -pre hostovsku siet)
10.x.x.x - pre moje zariadenia (domace hracky)
172.x.x.x - to pouziva provider.
Ty máš 16M domácích hraček? Zkus v Googlu "subnet calculator". Boha mojho.
-
Reseni to pochopitelne ma, v omezen privatnim IPv4 prostoru uz na to nekteri mysleli.
https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/200726-Configure-NAT-to-Enable-Communication-Be.html?referring_site=RE&pos=1&page=https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/13774-3.html
Akorat tohle urcite na domacim routeru nechcete, takze provedete readresaci lokalni site na neprekryvny rozsah
-
Nikdy nikde nepoužívej:
192.168.0.0/24
192.168.1.0/24
10.0.0.0/24
Preco nie? co sa ma potom pouzivat?
192.168.x.x - to pouzivam doma (1.x -lokalna siet, 2.x -pre hostovsku siet)
10.x.x.x - pre moje zariadenia (domace hracky)
172.x.x.x - to pouziva provider.
vo firme podobne:
192.168.x.x. - pocitace
172.x.x.x - VPN a ine srandy.
Lol Phirae to myslel tak, že sítě jako 192.168.0.x, 192.168.1.x, 10.0.0.x jsou factory defaulty na veliké spoustě krabiček, a taky spousta firem začínala před 20 lety s malou krabičkou, a postupně jim kolem toho narostla síť o stovkách zařízení - a přeadresovat tu starou 192.168.1.x v trochu větší firmě už je dost dřina. Takže když doma začínám, dám si na lokál třeba 192.168.53.x/24 a už jsem v pohodě, protože takhle "náhodnou" adresu sítě málokdo použije. A pokud se mi to někde potká skrz VPNku, tak změním ten jeden (dobře, dva-tři) parametry na svém domácím APčku a jedu vesele dál. Protože těch pět počítačů a telefonů doma stejně líže adresu z DHCP.
-
Preco nie? co sa ma potom pouzivat?
...
172.x.x.x - to pouziva provider.
172.x.x.x asi ne, neni to spise 172.16.x.x/12 :-)?
"Note that only a portion of the "172" and the "192" address ranges are designated for private use. The remaining addresses are "public," and routable on the global Internet."
https://www.arin.net/knowledge/address_filters.html
-
Lol Phirae to myslel tak, že sítě jako 192.168.0.x, 192.168.1.x, 10.0.0.x jsou factory defaulty na veliké spoustě krabiček, a taky spousta firem začínala před 20 lety s malou krabičkou, a postupně jim kolem toho narostla síť o stovkách zařízení - a přeadresovat tu starou 192.168.1.x v trochu větší firmě už je dost dřina.
Bingo!
-
Za mě NAT 1:1 je jednodušší než přečíslovat celou síť. Jsou to jen 2 příkazy na routeru oproti přečíslování. Mám doma v síti všechny jednoúčelový věci na pevné adrese a i kdyby byly přes DHCP, tak bych je musel dojít restartnout a případně překonfigurovat mapování disku a podobne.
Nezapomeň, že musíš ty NATy udělat pro každou síť jeden, pokud na sebe mají vidět zařízení z obou sítí navzájem.
-
Trochu složitější, ale futureproof, navíc se vám nestane, že z hotelu na druhém konci světa na vás po telefonu řve do běla vytočený obchodník:
- IPv6 do firmy.
- Nastavit DNS.
- Strongswan IPv6/48 na vpn (nemusí být ve firmě, ale někde na páteřní síti, ať nezacpáváte linku).
- IPsec mezi vpn a firmou.
- IKEv2 na klientovi.
- VPN přístup dovnitř firmy pouze po IPv6, IPv4 je zbytečná.
Výhody:
- Sítě vám kolidovat nebudou. Nikdy.
- Klienti dostanou IPv6. Všude.
Nevýhody:
- Nikdo vám s nastavením nepomůže, protože všichni řeší kolize na 192.168.x.x
-
Za mě NAT 1:1 je jednodušší než přečíslovat celou síť. Jsou to jen 2 příkazy na routeru oproti přečíslování. Mám doma v síti všechny jednoúčelový věci na pevné adrese a i kdyby byly přes DHCP, tak bych je musel dojít restartnout a případně překonfigurovat mapování disku a podobne.
Nezapomeň, že musíš ty NATy udělat pro každou síť jeden, pokud na sebe mají vidět zařízení z obou sítí navzájem.
Už běž s tím NATem někam. Ten všechno jenom komplikuje.
Já doma beru IP rozsah před Prefix Delegation od ISP, jenom jsem nastavil hint pro podsítě a zařízení dostanou zbytek přes DHCPv6. Vidím je v DNSku v doméně .local. Vlastně ani nevím z hlavy, jakou IP adresu má PC, na kterým mám GIT repozitáře, pamatuju si jenom, jak se stroj jmenuje :D A kolizi jsem zatím ještě s ničím neměl.
Jedinej problém je, pokud někde nějací vymaštěnci ještě nemají IPv6 :(
-
Dokud nebude všude IPv6, nemá smysl tu někomu nadávat za NAT.
Ten NAT má jednu velkou výhodu: Až někdy přijde další VPN (či jiná síť) s kolizním rozsahem, tak se dá použít znovu. Přečíslovávat každou chvíli síť je nesmyslem.
-
Prosim o napsani v iptables jak ten NAT ma vypadat a na kterem zarizeni bude. Fakt me to zajima.
-
Hoj,
Pokud mas v LAN rozsah 192.168.1.0/24 a v cilove siti taktez, tak mas velky problem. Cistejsi je jednu ze siti readresovat.
Technicky vzato, ze tve LAN se nikdy nedroutuje ven zadny paket s dst adresou ze subnetu 192 168 1.0/24. Router ten rozsah vidi na lokalnim rozhrani a tim padem nema duvod routovat do pryc.
Nouzove reseni a je to prasarna je nasledujici:
Vytocis si vpnku, tim vzniknou dva nove interfacy s nejakymi ipcky z v nekoliznim rozsahu. Na vzdalenem routeru udelas v natu pravidlo, kde in-interface = vpn-in, dst.address 192.168.10.0/24 tak dst-nat na 192.168.1.0/24. Mozna to budes muset rozepsat po ipckach, zalezi na implementaci. No a pak je jeste nutne, aby ti sedela zpetna routa, takze napriklad je mozne se schovat za ipcko toho tunelu => na routeru ve tve lan nastavis v natu pravidlo, ke bude: out-interface vpn-out, tak maskarada. prihodis routu, kde 192.168.10.0/24 je za vpnkou. Tim si schovas celou svoi sit za ipcko tunelu.
Na cilove stanice ve vzdalene siti se pak odkazujes presn adresy v 192.168.10.x - ale jak rikam, je to prasarna.
Celkove je tech zpusobu jak to vyprasit docela dost, ale jeden horsi nez druhej.
-
Kdybych propojoval dvě lokality, tak dam openvpn a nastavim nějakej klientskej rozsah. Tj. tu defaultní síť bych nepožíval vůbec.