Freesco, NND, CDN, EOS
http://forum.freesco.pl/

sieć bez nat
http://forum.freesco.pl/viewtopic.php?f=22&t=12613		 Strona 1 z 1
Autor:  cycu [ wtorek, 30 maja 2006, 21:45 ]
Tytuł:  sieć bez nat
Jak zrobić routing bez maskarady - to proste pytanie spędza mi sen z powiek. Chcę zrobić sieć działającą na publicznych adresach ale nie za bardzo wiem jak się za to zabrać. Próbowałem robić trasy zgodnie z "zaawansowany routing- howto" ale słabo wyszło- LAN pinguje tylko interfejs zewnętrzny na routerze.
Mam dwie klasy - jedna 65 ipków (przeznaczona na interfejs zewnętrzny+ konta www) druga 255 ipków- LAN (interfejs wewnetrzny)
Jak za pomoca ip route przekazywać ruch pomiedzy nimi?
Autor:  zciech [ wtorek, 30 maja 2006, 23:29 ]
Tytuł: 
Widzisz najlepsze to jest to ze nic nie musisz robic. (cala robote wykonuje twoj isp na swoim routerze, musi tak ustawic ze wszystke wywolania na twoje 255 adresow ida na trwoje eth0 - jeden z tych 65 ipkow).Caly rouring to wpisanie bramy.
No i oczywiscie nie robienia maskarady.
Autor:  cycu [ środa, 31 maja 2006, 09:01 ]
Tytuł: 
Wydaje mi się, że to o czym mówisz już mam, tzn od strony internetu mogę korzystać z obydwu klas . Chodzi mi o to,żeby mój router przekazywał pakiety pomiędzy interfejsami -na eth0 (LAN) mam jedną klasę a na eth1 (WAN) drugą
POingując z LAN-u osiągam tylko eth0 , eth1 juz nie . Do tej pory wystarczyło zrobic maskaradę albo SNAT i router przekazywał pakiety
Autor:  tasiorek [ środa, 31 maja 2006, 10:23 ]
Tytuł: 
Interfejsowi eth0 przypisujesz jeden ip z puli tych 65 i prosisz dostawce, zeby wszystkie zapytania do tych 255 adresow kierowal na to ip, ktore przypisales eth0. Do eth1 przypisujesz Jesden z tych 255 adresow i wpinasz do switcha z klientami. Na komputerach klienckich ustawiasz ip z puli tych 255 i jako brame to z eth1. Wlaczasz forward pakietow:
echo 1 > /proc/sys/net/ipv4/ip_forward
i jesli w firewallu nie masz zablokowanego przekazywania pakietow miedzy interfejsami eth0 i eth1, to bedzie dzialac.
Autor:  Koriolan [ środa, 31 maja 2006, 11:11 ]
Tytuł: 
Np, klasa 80.80.80.0-255
Moze spróbuj tak:

internet Router ISP np. 88.80.80.254] ===>[eth0 80.80.80.1 router (brama: 80..254) .....
...router 80.80.80.2 eth1]---- do userów---->[eth0 80.80.80.3, 4, 5 .. userzy (brama: 80.80.80.2) ]

Jak cos nie tak to poprawcie :-)

Rada:
Jak nie wiesz co sie dzieje z pakietami użyj TCPDUMP np. tak :

na routerze: 'tcpdump -i eth1 host 80.80.80.3
a na 80...3 daj:' ping www.onet.pl'

lub dodatkowo na routerze 'tcpdump -i eth0 icmp 80.80.80.0/24' by widzieć czy cos wychodzi
lub np. 'tcpdump -i eth0 icmp host 213....' by sprawdzić czy ktoś pinguje www.onet.pl (najpierw z routera daj ping na onet by wiedzieć jaki to IP'.
Po godzinie prób powinienes wiedzieć gdzie Ci pakiety sie blokują :-)
Autor:  tasiorek [ środa, 31 maja 2006, 11:31 ]
Tytuł: 
Koriolan pisze:
internet Router ISP np. 88.80.80.254] ===>[eth0 80.80.80.1 router (brama: 80..254) .....
...router 80.80.80.2 eth1]---- do userów---->[eth0 80.80.80.3, 4, 5 .. userzy (brama: 80.80.80.2) ]

Jesli dobrze zrozumialem, to chcesz przypisac do dwoch roznych interfejsow dwa adresy z tej samej podsieci. To nie jest zbyt dobry pomysl. Skad serwer bedzie wiedzial, ze pakiety do 80.80.80.254 ma skierowac przez eth0, a do reszty przez eth1?
Jesli masz tylko 255 adresow i ISP nie przydzielil Ci innego na serwer (w co watpie), to powinienes to zrobic tak:
Uradzenie ISP: 80.80.80.253 z maska 255.255.255.252, Twoje eth0 80.80.80.254 z maska 255.255.255.252. Teraz na eth1 bedzie zabawa, bo najwieksza maska jaka mozesz ustawic, zeby nie pokryla sie z eth0 jest 255.255.255.128 i adres 80.80.80.1. Zmieszcza sie tu klienci od 80.80.80.2 do 80.80.80.126. Potem alias z ip 80.80.80.129 z maska 255.255.255.192 i tu klienci od 80.80.80.130 do 80.80.80.190. Kolejny alias na 80.80.80.193 i maska 255.255.255.224 itd. Ani to przyjemne, ani wygodne i marnuje sie przy tym duza ilosc ip. To rozwiazanie jest karkolomne i nigdy sie z podobnym nie spotkalem, bo jesli chcesz miec jakis router przed klientami, to powinienes dostac osobna podsiec dwuadresowa na komunikacje router-urzadzenie ISP.
Autor:  Koriolan [ środa, 31 maja 2006, 12:07 ]
Tytuł: 
tasiorek - w zasadzie masz racje choc ja trochę skróciłem temat ISP. U mnie jest tak:

internet router ISP 80.10.10.1 v35] ~~~~~[ V35 Cisco/3com eth1] ====>[eth0 router NN (linuks) ....dalej...

O interfejsach na Cisco/3com już ja decyduję. ISP tak jak mówi zciech rutuje mi wszystkie adresy na V35. i (ROUTER/MODEM xDSL/czy co tam jeszcze) od ISP FAKTYCZNIE ma inny IP niz z mojej puli (zresztą nie może mieć :-) ) tak, że nie trzeba "uradzać" z ISP .

Reasumując poprawiony schemat dla 'cyca':
internet 11.11.11.1]==>[eth0 11.11.11.2 router NND (brama: 11.11.11.1)....
.......router eth1 80.80.80.1]--userzy-->[ 80.80.80.2, 3, 4,... user ( brama 80....1)...
Autor:  cycu [ środa, 31 maja 2006, 12:23 ]
Tytuł: 
Ja mam dwie klasy :
213.199.219.xx/27
oraz
88.199.83.xx/26

pierwsza -chce ją dac pomiędzy mną a ISP
druga - ma na niej pracować LAN
Dzielić jednę klasy na mniejsze nie chcę, bo jak napisałeś ,tracę adresy

Chodzi mi tylko o to jak przepuścić pakiety pomiędzy tymi klasami na moim routerze. Mam skonfigurowane obie sieci . z routera widzę internet (poprzez bramę 213.199.219.bb oraz LAN - poprzez 88.199.83.bb . moge pingować kompa w sieci LAN z ip 88.199.83.kk ale z kompa 83.199.83.kk nie moge zapingować 213.199.219.xx ani tym bardziej internetu.
Mój problem jest taki ,żebym jakos uruchomił przekazywanie pakietów. W normalnym przypadku wystarczyło zapuścić maskaradę ale przecież tu nie będę nic maskował ani robił translacji adresów.
Wszędzie gdzie sie pytałem o to odsyłają mnie do "łukasz.bromirski.net" ale tam znalazłem, owszem, opis routingu , ale w punkcie, na którym najbardzij mi zależy jest ogólne stwerdzenie,ze "muszę dodać reguły inicjijące ruch "
Edit : Obydwie klasy są widoczne w internecie - brama u ISP to jednocześnie brama dla 213.199.219.xx i dla 88.199.219.xx - mogę podłączyć na mości ja---isp obydwie klasy, ale chcę to mniejszą a większa przeznaczyć na mój LAN
Autor:  zciech [ środa, 31 maja 2006, 13:09 ]
Tytuł: 
Cytuj:
Ja mam dwie klasy :
213.199.219.xx/27
oraz
88.199.83.xx/26

pierwsza -chce ją dac pomiędzy mną a ISP
druga - ma na niej pracować LAN
Dzielić jednę klasy na mniejsze nie chcę, bo jak napisałeś ,tracę adresy

tak na marginiesie to krecisz cos
/27 to 32 adresy
/26 to 64 adresy

dopiero maska /24 to 254 adresy
--------------------------------------

213.199.291.xx/27 to nie twoja siec tylko twojego ISP to on decyduje co tam ma byc na jakich adresach (byc moze zprzydziela tam nawet adresy i bramy przez dhcpd.

powiedz mu tak:
213.199.219.jakasliczba to jest adres miojego interfejsu do Ciebie (eth0)(jak znam zycie, to on Ci podał jaki ma byc adres twojego eth0 i juz na ten adres routuje pakiety) prosze wyroutowac wszystkie pakiety do sieci 88.199.83.xx/26 na ten adres.

U siebie wpisz jako brame adres 213.199.219.jakasliczbainna bedacy adresem interfejsu twojego ISP do ktorego jestes polaczony (powinien podac Ci ten adres)

wpisz to z echo 1> co wczesnuiej w poscie podano
i na poczatek:
iptables -I FORWARD -j ACCEPT
zapewni przesylanie pakietow przez twoj router.
NIe podales calego adresu wiec strzelam ze masz taki adreres eth0:
: [/] [] ()
root@serwer:~$traceroute 88.199.83.02
traceroute to 88.199.83.02 (88.199.83.2), 30 hops max, 38 byte packets
 1  byd_ru1.neo.tpnet.pl (213.25.2.163)  54.396 ms  15.295 ms  137.688 ms
 2  z.byd_ru1.do.byd_r2.tpnet.pl (213.25.5.161)  61.693 ms  15.544 ms  15.809 ms
 3  195.117.0.42 (195.117.0.42)  21.637 ms  21.638 ms  163.772 ms
 4  * * *
 5  iwa-ge-3-0-0.tktelekom.pl (213.199.224.10)  67.559 ms  99.677 ms  19.904 ms
 6  wro-at-6-0-206.tktelekom.pl (213.199.224.50)  392.123 ms  39.817 ms  117.831 ms
 7  88-199-83-2.tktelekom.pl (88.199.83.2)  93.935 ms  35.696 ms  33.865 ms
GeSHi © Codebox Plus
Autor:  cycu [ środa, 31 maja 2006, 13:41 ]
Tytuł: 
maski pokręciłem , faktem jest że mam 65 i 255 (88.199.83.0/24)
moge sobie wybierać jak ustawiam adresy - tylko bramy isp wyznaczył na pierwszych ipkach z kazdej klasy
Szkoda,ze muszę się prosić o ten routing u dostawcy, ale skoro piszecie,ze inaczej sie nie da to wysyłam maila do admina
88.199.83.2 odpowiada ze strony Internetu a jest to mój interfejs od strony LAN-u.(na serwie testowym) Tyle mi sie udało osiągnąć , ale LAN dalej nie wychodzi do Internetu
Autor:  Koriolan [ czwartek, 1 czerwca 2006, 11:36 ]
Tytuł: 
A zastanowiłeś sie co ja Ci napisałerm ?
Masz tam WYRAŹNY schemat jak masz to zrobić !
Wszystkie odpowiedzi masz już w tych postach, ale z miłości do ludzi wysilę się jeszcze raz i napiszę Ci wołami.

internet - Twój dostawca ISP - 213.199.219.01 ] ===>[eth0 213.199.219.02 router (brama 213.199.219.01) eth1 88.199.83.02] --->[ 88.199.83.03, 4,5 user ( BRAMA 88.199.83.02....

NIE PODAŁEŚ DOKŁADNIE IP więc końcówki mogą się troszkę różnić ( 01, 02 itd.)

1) Brama to USTAWIENIE w routingu tego numeru ( np. na routerze 'route add default gw 213.199.219.01')
2) Brama u klientów TEŻ musi być ustawiona
3) NIE MOŻE BYĆ SŁOWA MASQUERADE w firewallu ( sprawdź 'iptables -L -t nat', 'iptables -L' itp.)
4) Jak będziesz robił próby wspomóż się tcpdump.
5) Jak to wszystko nie pomoze zgłoś się do MAC!EK http://forum.freesco.pl/profile.php?mode=viewprofile&u=604 powinien Ci to za 100 zł ustawić.
6) Jeśli i to Ci nie pomoże to ja Ci za 500 zł ustawię.
(to jest oczywiście kwota zachety do nauki dla Ciebie).
Tak jak CI napisałem MUSI chodzić, więc NIE pisz co ustawiłeś tylko ustaw tak jak Ci napisałem i URUCHOM TO a szcęście zaleje Twoje zmartwione serce.
Autor:  cycu [ czwartek, 1 czerwca 2006, 23:03 ]
Tytuł: 
Ten post był skierowany do mr. Zciech'a- tak gwoli wyjaśnienia dlaczego odpowiedział mu 88.199.83.2 . może po postach nie wyglada na to,ale juz wiem o co chodzi, nie musisz się Korolian unosić.
:)
peace

pozdrawiam , dziekuję za pomoc
Ps routing działa , rozwiodłem się z maskaradą ...na zawsze mam nadzieję
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/