Routování dvou stejných subnetů

[gnat]

Za mě NAT 1:1 je jednodušší než přečíslovat celou síť. Jsou to jen 2 příkazy na routeru oproti přečíslování. Mám doma v síti všechny jednoúčelový věci na pevné adrese a i kdyby byly přes DHCP, tak bych je musel dojít restartnout a případně překonfigurovat mapování disku a podobne.

Nezapomeň, že musíš ty NATy udělat pro každou síť jeden, pokud na sebe mají vidět zařízení z obou sítí navzájem.

[Reklama]

[pb.]

Trochu složitější, ale futureproof, navíc se vám nestane, že z hotelu na druhém konci světa na vás po telefonu řve do běla vytočený obchodník:

• IPv6 do firmy.
• Nastavit DNS.
• Strongswan IPv6/48 na vpn (nemusí být ve firmě, ale někde na páteřní síti, ať nezacpáváte linku).
• IPsec mezi vpn a firmou.
• IKEv2 na klientovi.
• VPN přístup dovnitř firmy pouze po IPv6, IPv4 je zbytečná.

Výhody:

• Sítě vám kolidovat nebudou. Nikdy.
• Klienti dostanou IPv6. Všude.

Nevýhody:

• Nikdo vám s nastavením nepomůže, protože všichni řeší kolize na 192.168.x.x

[PetrM]

Za mě NAT 1:1 je jednodušší než přečíslovat celou síť. Jsou to jen 2 příkazy na routeru oproti přečíslování. Mám doma v síti všechny jednoúčelový věci na pevné adrese a i kdyby byly přes DHCP, tak bych je musel dojít restartnout a případně překonfigurovat mapování disku a podobne.

Nezapomeň, že musíš ty NATy udělat pro každou síť jeden, pokud na sebe mají vidět zařízení z obou sítí navzájem.

Už běž s tím NATem někam. Ten všechno jenom komplikuje.

Já doma beru IP rozsah před Prefix Delegation od ISP, jenom jsem nastavil hint pro podsítě a zařízení dostanou zbytek přes DHCPv6. Vidím je v DNSku v doméně .local. Vlastně ani nevím z hlavy, jakou IP adresu má PC, na kterým mám  GIT repozitáře, pamatuju si jenom, jak se stroj jmenuje A kolizi jsem zatím ještě s ničím neměl.

Jedinej problém je, pokud někde nějací vymaštěnci ještě nemají IPv6

[SB]

Dokud nebude všude IPv6, nemá smysl tu někomu nadávat za NAT.

Ten NAT má jednu velkou výhodu: Až někdy přijde další VPN (či jiná síť) s kolizním rozsahem, tak se dá použít znovu. Přečíslovávat každou chvíli síť je nesmyslem.

[ups]

Prosim o napsani v iptables jak ten NAT ma vypadat a na kterem zarizeni bude. Fakt me to zajima.

[Reklama]

[Hobbit]

Hoj,
Pokud mas v LAN rozsah 192.168.1.0/24 a v cilove siti taktez, tak mas velky problem. Cistejsi je jednu ze siti readresovat.
Technicky vzato, ze tve LAN se nikdy nedroutuje ven zadny paket s dst adresou  ze subnetu 192 168 1.0/24. Router ten rozsah vidi na lokalnim rozhrani a tim padem nema duvod routovat do pryc.

Nouzove reseni a je to prasarna je nasledujici:
Vytocis si vpnku, tim vzniknou dva nove interfacy s nejakymi ipcky z v nekoliznim rozsahu. Na vzdalenem routeru udelas v natu pravidlo, kde in-interface = vpn-in, dst.address 192.168.10.0/24 tak dst-nat na 192.168.1.0/24. Mozna to budes muset rozepsat po ipckach, zalezi na implementaci. No a pak je jeste nutne, aby ti sedela zpetna routa, takze napriklad je mozne se schovat za ipcko toho tunelu => na routeru ve tve lan nastavis v natu pravidlo, ke bude: out-interface vpn-out, tak maskarada. prihodis routu, kde 192.168.10.0/24 je za vpnkou. Tim si schovas celou svoi sit za ipcko tunelu.
Na cilove stanice ve vzdalene siti se pak odkazujes presn adresy v 192.168.10.x - ale jak rikam, je to prasarna.

Celkove je tech zpusobu jak to vyprasit docela dost, ale jeden horsi nez druhej.

[V.]

Kdybych propojoval dvě lokality, tak dam openvpn a nastavim nějakej klientskej rozsah. Tj. tu defaultní síť bych nepožíval vůbec.