Vytvoření izolované podsítě s využitím brány

Vytvoření izolované podsítě s využitím brány
« kdy: 05. 05. 2020, 13:36:13 »
Chtěl bych vědět, jak prakticky na linuxovém stroji vytvořím  subsíť, která bude mít určité vlasnosti z nadřazené sítě. S možností přístupu na internet přes bránu, ale bez komunikace mezi jednotlivými sítěmi)
Začnu popisem nadřazené sítě: je to 192.168.0.0/16 s bránou a DHCP 192.168.1.1 a . Tu mohou využívat, ale nemohu ji konfigurovat.

Do té sítě jsem připojen přes první rozhraní a do vnitřní sítě přes druhé rozhraní.

Chci udělat to, aby zařízením z vnitřní sítě byla přidělována IP z pod-rozsahu, tedy  192.168.200.xxx/24. (to by jim zařídil zde běžící DHCP server, který ale nějakým způsobem bude muset spolupracovat s DHCP původní sítě) Zároveň aby zařízení  z vnější sítě nemohly komunikovat s vnitřní sítí (kromě brány) a zařízení z vnitřní sítě se nemohly napojit na vnější  nadřazenou síť (kromě brány a na internet ale ano). Chtěl bych to bez natu (ano vím, že nařazená síť NAT určitě používá).

Samozřejmě to jde zprovoznit tak NATovaně (1:N - PNAT - překlad portů i adres), že dhcp klient na vnějším rozhraní si vezme 192.168.xxx.xxx a na vnitřním pojede DHCP server  třeba 172.16.0.xxx, a oba budou oddělené.  a samozřejmě se přidá pravidlo do iptables (-t nat - A POSTROUTING -i in0 -o out0 -j MASQ.)

Zajímá mě druhé (vlastně jediné)alternativní řešení a SICE 1:1 natem (defacto jen NAT, pouze překlad adres) s tím, že by vnitřní síť byla třeba 172.16.


Podmínka je, aby to fungovalo bez žádné konfigurace klientských PC (ty se ostatně stejně budou připojovat na vnitřní rozhraní.

To taky vylučuje, že by se tedy klienti připojovaly rovnou do vnější sítě.
Taky jsem zavrhl vytvoření bridge. Má někdo názor, že by to bylas chůdná cesta (ale muselo by se dát hodně pravidel to ebtables, jestli to nazývám správně) ?

Dál bych se chtěl zeptat, zda k tomu budou potřeba věci jako
- IP Scope (to je co zač? neříká to, že adresa je platná jen v rámci  rozhraní, to by umožnilo mít 2 různé sítě např 192.168/16, který by ale spolu nemluvily, neboť by jejich hranice končila rozhraním ; nebo scope global či jiný?)
- DHCP relay (pro to a aby stroj mohl dělat ty kouzla s DHCP, že se bude snažit u nadřazeného DHCP vyjednat 192.168.200.xxx, ale klientům posílat zůženou masku sítě /24 místo /16 a )
- je potřeba dávat do iptables nějaká pravidla, nebo definice sítí je dostatečná, aby zařízení o existenci nadřazené sítě neměly páru (to koliduje s adresou brány) a zároveň ,aby zařízení z nadřazené sítě kromě brány nemohly komunikovat s mojí sítí?
- nazývá se toto podsíť/ subnet?
« Poslední změna: 05. 05. 2020, 16:59:19 od Petr Krčmář »


Netuším, co jsou „určité vlastnosti z nadřazené sítě“.

Určitě v jedné oblasti (v rámci jedné kabeláže, v propojených sítích) nechcete provozovat několik různých sítí se stejným (nebo překrývajícím se) rozsahem IP adres. Takže pokud chcete provozovat síť 192.168.200.0/24, tenhle rozsah už nikde jinde nepoužívejte. Klidně můžete mít vedle síť 192.168.0.0/17, ale nepoužívejte síť, která by se s 192.168.200.0/24 překrývala.

Takže pokud už tam máte síť 192.168.0.0/16 a nemůžete to změnit, použijte pro tu svou síť jiný rozsah, třeba něco z 10.0.0.0/8 nebo 172.16.0.0/12.

robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Když opominu, že v tom máte jako vždy galimatyáš a očividně si odmítáte cokoliv nastudovat (viz závěrečné otázky na subnet, DHCP relay...), tak, jaký je účel celé této opičárny?

Spolupráce DHCP, jak si ji představujete, je nesmysl.
Ano, NAT 1:1 je logické řešení, pokud skutečně potřebujete adresy z toho rozsahu. Řešení jste si sám navrhl, tak na co se vlastně ptáte? Jen by mě zajímalo, jak zajistíte, že DHCP server ve "vnější" síťi nikomu nepřiřadí adresu z rozsahu 192.168.200.0/24 (takhle se to píše, google: adresa sítě).
Síť 192.168.0.0/16, pokud není dále segmentovaná, buď nemá opodstatnění (tj. je zbytečně velká) nebo je to zvěrstvo (viz maximální doporučovaný počet zařízení ve VLAN kvůli broadcastům).

https://cs.wikipedia.org/wiki/Pods%C3%AD%C5%A5
https://cs.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol

Re:Vytvoření izolované podsítě s využitím brány
« Odpověď #3 kdy: 05. 05. 2020, 19:42:37 »
Ano, navrhl jsem několik řešení, jedno funkční (1:N PNAT), ale zároveň zjišťuji i jiná lepší (?) řešení. A zmínil jsem některé problémy, které mě při tom napadly (DHCP "relay" a )

Vlastně bych byl rád za názor ke každému řešení, které je optimální, které je nerealizovatelné, problematické a které nesmyslné.
Nebo ideálně, pokud jste pochopili záměr, konkrétní řešení vybrat (i jiné, ale řekl bych, že jsem vyjmenoval, vyčerpal všechny možnosti)

Vlastnosti nadřazené síte jsem myslel:
-využít bránu 192.168.1.1  k přístup na internet 192.168.1.1 Bude stačit vůbec tato jedna brána a jak se vyřeší problém s tím, že z pohledu klentů není v síti 192.168.200 ? Není i potřeba druhá brána .192.168.200.1, která bude pouze mezikrok  k 192.168.1.1
- využití  "autoritativního" DHCP pro "lokální" DHCP - upraví odpovědi, aby maska podsítě byla 192.168.200.0/24


To že vnější síti někdo  by náhodou přiřadil 192.168.200.0/16,  si myslím, že be mělo jít řešit firewallem. Ale nejsem si jistý

Re:Vytvoření izolované podsítě s využitím brány
« Odpověď #4 kdy: 05. 05. 2020, 20:02:13 »
Nebo ideálně, pokud jste pochopili záměr, konkrétní řešení vybrat
Řešení čeho? Nenapsal jsi, proč takové zvěrstvo vymýšlíš.

Normální řešení je mít druhou, nepřekrývající se síť a případně na bráně do ní pravděpodobně NAT, když zbytek sítě nemůžeš konfigurovat. Pokud vymýšlíš něco jiného, tak k tomu máš asi nějaký důvod, který jsi nám nesdělil.


Re:Vytvoření izolované podsítě s využitím brány
« Odpověď #5 kdy: 05. 05. 2020, 20:58:30 »
Ano, navrhl jsem několik řešení, jedno funkční (1:N PNAT), ale zároveň zjišťuji i jiná lepší (?) řešení. A zmínil jsem některé problémy, které mě při tom napadly (DHCP "relay" a )
Jak píše Mirek Prýmek – ptáte se na řešení, ale ještě jste nepopsal problém.

Vlastnosti nadřazené síte jsem myslel:
-využít bránu 192.168.1.1  k přístup na internet 192.168.1.1 Bude stačit vůbec tato jedna brána a jak se vyřeší problém s tím, že z pohledu klentů není v síti 192.168.200 ? Není i potřeba druhá brána .192.168.200.1, která bude pouze mezikrok  k 192.168.1.1
Začal bych tím, že si ujasníme některé základní pojmy. Router je zařízení, které propojuje několik sítí (alespoň dvě). Zařízení v síti komunikují s ostatními zařízeními ve stejné síti přímo, pokud chtějí komunikovat se zařízením z jiné sítě, musí komunikovat přes router. Brána je router, který vede do nějaké velké sítě – často do internetu. Takže v té vaší malé síti budete mít nejspíš jeden router, který bude na druhé straně připojený do té velké sítě 192.168.0.0/16. Tím pádem zároveň bude pro tu vaši malou síť tento router fungovat jako brána – ze vaší sítě zprostředkuje přístup do větší sítě a přes ni i do internetu.

- využití  "autoritativního" DHCP pro "lokální" DHCP - upraví odpovědi, aby maska podsítě byla 192.168.200.0/24
To je nesmysl.