Propojení dvou oddělených sítí

[eXtreeme]

Mam dve oddelene site. Jak je vzajemne propojit? (Aby ze site 192.168.0.1xx slo pingnout 10.0.1.1xx a opacne)...

Zkousel jsem si hrat s "route", ale nepodarilo se mi...

Schema napovi vice...

Kód: [Vybrat]

                                                     |-- [DHCP + NAT] -- {192.168.0.100 - 192.168.0.200}
internet -- {SERVER[eth0:192.168.0.2,tap0:10.0.1.1]}<
                                                     |-- [VPN + DHCP + NAT] -- {10.0.1.100 - 10.0.1.200}


[Reklama]

[Tomik]

Třeba ti chybí povolit přeposílání paketů v jádře, které povolíš tímto: echo 1 > /proc/sys/net/ipv4/ip_forward

[eXtreeme]

Preposilani packetu mam povoleno... Spise bych videl problem v "nastaveni route"... Ukazete mi prosim jak byste nastavoval route?

[Tomik]

Ještě je tu jedna drobnost. Pohrál bych si s nastavením výchozí brány

[rob]

Kód: [Vybrat]

man route

[Reklama]

[xmike1]

co takhle prihrat netstat -rn

[PCnity]

Ak to chapem spravne mas jeden PC, nazvyme ho firewall ktory je pichnuty v oboch sietach.
A tento PC ma pre obe siete figurovat ako gateway [nie default] pre tu opacnu siet.

V takom pripade pridas rute ako net s danym suffixom a ako route uvedies ten firewall. Toto pravidlo potom pridas na kazdom pc.

na fw by si potom mal riesit routing alebo nating.

Najjednoduchsia kontrola je asi tcpdump...

[NN]

Kód: [Vybrat]

iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
NN

[eXtreeme]

Pocitacova stanice v rozsahu 192.168.0.100 - 192.168.0.200

Kód: [Vybrat]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.1.0        *               255.255.255.0   U     0      0        0 wlan0
192.168.0.0     *               255.255.255.0   U     307    0        0 wlan0
loopback        gentoo.mynetwor 255.0.0.0       UG    0      0        0 lo
default         192.168.0.2     0.0.0.0         UG    307    0        0 wlan0

Pocitacova stanice v rozsahu 10.0.1.100 - 10.0.1.200

Kód: [Vybrat]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
IPaddrGateway private         255.255.255.255 UGH   0      0        0 wlan0
10.0.1.0        *               255.255.255.0   U     0      0        0 tap0
192.168.0.0     *               255.255.255.0   U     0      0        0 tap0
192.168.10.0    *               255.255.255.0   U     0      0        0 wlan0
default         private         0.0.0.0         UG    0      0        0 tap0

iptables -S na gateway

Kód: [Vybrat]

...
-A FORWARD -i eth0 -o tap0 -j ACCEPT
-A FORWARD -i tap0 -o eth0 -j ACCEPT
...

route na gateway

Kód: [Vybrat]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.1.0        *               255.255.255.0   U     0      0        0 tap0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
256.129.190.0   *               255.255.252.0   U     0      0        0 eth1
loopback        *               255.0.0.0       U     0      0        0 lo
default         AddrISP 0.0.0.0         UG    0      0        0 eth1

ping (z obou stran stejna reakce)

Kód: [Vybrat]

# ping 10.0.1.100
PING 10.0.1.100 (10.0.1.100) 56(84) bytes of data.
From 192.168.0.100 icmp_seq=1 Destination Host Unreachable
From 192.168.0.100 icmp_seq=2 Destination Host Unreachable
From 192.168.0.100 icmp_seq=3 Destination Host Unreachable


[Ondřej Caletka]

Pocitacova stanice v rozsahu 10.0.1.100 - 10.0.1.200

Kód: [Vybrat]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
IPaddrGateway private         255.255.255.255 UGH   0      0        0 wlan0
10.0.1.0        *               255.255.255.0   U     0      0        0 tap0
192.168.0.0     *               255.255.255.0   U     0      0        0 tap0
192.168.10.0    *               255.255.255.0   U     0      0        0 wlan0
default         private         0.0.0.0         UG    0      0        0 tap0


Tady je chyba – stanice nemá u sítě 192.168.0.0/24 uvedenu bránu 10.0.1.1, díky tomu při posílání hledá hosta 192.168.0.x prostřednictvím ARPu, což se jí logicky nepodaří. Myslím, že ta brána půjde nastavit v konfiguraci OpenVPN, předpokládám tedy, že jde o OpenVPN.

BTW: Když už používáte routed režim, má jaký má význam používat tap rozhraní na místo tun? A nebo když už používáte tap, proč na serveru nevytvoříte bridge mezi tap0 a eth0, čímž byste získal VPN transparentní na vrstvě 2?

BTW2: Není úplně rozumné mít lokální síť, do které se chcete dostat přes VPN adresovanou z rozsahu 192.168.0-1.x, stejně jako 10.x.x.x, protože se pak na ní ze spousty míst za NATem se stejnými adresami nedostanete.