Propojení dvou oddělených sítí

eXtreeme

Propojení dvou oddělených sítí
« kdy: 17. 03. 2010, 22:11:39 »
Mam dve oddelene site. Jak je vzajemne propojit? (Aby ze site 192.168.0.1xx slo pingnout 10.0.1.1xx a opacne)...

Zkousel jsem si hrat s "route", ale nepodarilo se mi...

Schema napovi vice...
Kód: [Vybrat]
                                                     |-- [DHCP + NAT] -- {192.168.0.100 - 192.168.0.200}
internet -- {SERVER[eth0:192.168.0.2,tap0:10.0.1.1]}<
                                                     |-- [VPN + DHCP + NAT] -- {10.0.1.100 - 10.0.1.200}
« Poslední změna: 17. 03. 2010, 22:43:11 od Petr Krčmář »


Tomik

Re: Propojeni dvou siti
« Odpověď #1 kdy: 17. 03. 2010, 22:27:02 »
Třeba ti chybí povolit přeposílání paketů v jádře, které povolíš tímto: echo 1 > /proc/sys/net/ipv4/ip_forward

eXtreeme

Re: Propojeni dvou siti
« Odpověď #2 kdy: 17. 03. 2010, 22:37:19 »
Preposilani packetu mam povoleno... Spise bych videl problem v "nastaveni route"... Ukazete mi prosim jak byste nastavoval route?

Tomik

Re: Propojeni dvou siti
« Odpověď #3 kdy: 17. 03. 2010, 22:40:09 »
Ještě je tu jedna drobnost. Pohrál bych si s nastavením výchozí brány

rob

Re: Propojení dvou oddělených sítí
« Odpověď #4 kdy: 18. 03. 2010, 18:29:07 »
Kód: [Vybrat]
man route


xmike1

Re: Propojení dvou oddělených sítí
« Odpověď #5 kdy: 18. 03. 2010, 20:53:22 »
co takhle prihrat netstat -rn

PCnity

  • *****
  • 699
    • Zobrazit profil
    • E-mail
Re: Propojení dvou oddělených sítí
« Odpověď #6 kdy: 19. 03. 2010, 16:49:07 »
Ak to chapem spravne mas jeden PC, nazvyme ho firewall ktory je pichnuty v oboch sietach.
A tento PC ma pre obe siete figurovat ako gateway [nie default] pre tu opacnu siet.

V takom pripade pridas rute ako net s danym suffixom a ako route uvedies ten firewall. Toto pravidlo potom pridas na kazdom pc.

na fw by si potom mal riesit routing alebo nating.

Najjednoduchsia kontrola je asi tcpdump...

NN

Re: Propojení dvou oddělených sítí
« Odpověď #7 kdy: 19. 03. 2010, 18:04:10 »
Kód: [Vybrat]
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

NN

eXtreeme

Re: Propojení dvou oddělených sítí
« Odpověď #8 kdy: 22. 03. 2010, 10:14:51 »
Pocitacova stanice v rozsahu 192.168.0.100 - 192.168.0.200
Kód: [Vybrat]
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.1.0        *               255.255.255.0   U     0      0        0 wlan0
192.168.0.0     *               255.255.255.0   U     307    0        0 wlan0
loopback        gentoo.mynetwor 255.0.0.0       UG    0      0        0 lo
default         192.168.0.2     0.0.0.0         UG    307    0        0 wlan0

Pocitacova stanice v rozsahu 10.0.1.100 - 10.0.1.200
Kód: [Vybrat]
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
IPaddrGateway private         255.255.255.255 UGH   0      0        0 wlan0
10.0.1.0        *               255.255.255.0   U     0      0        0 tap0
192.168.0.0     *               255.255.255.0   U     0      0        0 tap0
192.168.10.0    *               255.255.255.0   U     0      0        0 wlan0
default         private         0.0.0.0         UG    0      0        0 tap0

iptables -S na gateway
Kód: [Vybrat]
...
-A FORWARD -i eth0 -o tap0 -j ACCEPT
-A FORWARD -i tap0 -o eth0 -j ACCEPT
...

route na gateway
Kód: [Vybrat]
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.1.0        *               255.255.255.0   U     0      0        0 tap0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
256.129.190.0   *               255.255.252.0   U     0      0        0 eth1
loopback        *               255.0.0.0       U     0      0        0 lo
default         AddrISP 0.0.0.0         UG    0      0        0 eth1

ping (z obou stran stejna reakce)
Kód: [Vybrat]
# ping 10.0.1.100
PING 10.0.1.100 (10.0.1.100) 56(84) bytes of data.
From 192.168.0.100 icmp_seq=1 Destination Host Unreachable
From 192.168.0.100 icmp_seq=2 Destination Host Unreachable
From 192.168.0.100 icmp_seq=3 Destination Host Unreachable

Re: Propojení dvou oddělených sítí
« Odpověď #9 kdy: 22. 03. 2010, 10:44:41 »
Pocitacova stanice v rozsahu 10.0.1.100 - 10.0.1.200
Kód: [Vybrat]
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
IPaddrGateway private         255.255.255.255 UGH   0      0        0 wlan0
10.0.1.0        *               255.255.255.0   U     0      0        0 tap0
192.168.0.0     *               255.255.255.0   U     0      0        0 tap0
192.168.10.0    *               255.255.255.0   U     0      0        0 wlan0
default         private         0.0.0.0         UG    0      0        0 tap0
Tady je chyba – stanice nemá u sítě 192.168.0.0/24 uvedenu bránu 10.0.1.1, díky tomu při posílání hledá hosta 192.168.0.x prostřednictvím ARPu, což se jí logicky nepodaří. Myslím, že ta brána půjde nastavit v konfiguraci OpenVPN, předpokládám tedy, že jde o OpenVPN.

BTW: Když už používáte routed režim, má jaký má význam používat tap rozhraní na místo tun? A nebo když už používáte tap, proč na serveru nevytvoříte bridge mezi tap0 a eth0, čímž byste získal VPN transparentní na vrstvě 2?

BTW2: Není úplně rozumné mít lokální síť, do které se chcete dostat přes VPN adresovanou z rozsahu 192.168.0-1.x, stejně jako 10.x.x.x, protože se pak na ní ze spousty míst za NATem se stejnými adresami nedostanete.