Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Как сотворть маразм: сервер должен иметь тот-же ип что и роутер воткнутый в него  (Прочитано 895 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн shumtest

  • Автор темы
  • Активист
  • *
  • Сообщений: 731
  • Это вам просто кажется...
    • Просмотр профиля
    • Блог Шумомера
Ситуация такая: есть сеть, 163 компа (винегрет из разных вин от 95 до 7 и стареньких дебианов), есть роутер хей-вей-чего-то-там (не важно) имеющий ип 192.168.26.113 (так исторически сложилось) через который все дружно бегают в инет. Доступа к настройкам роутера нет! (Вообще изменение настроек возможно, со стороны ... скажем так - провайдера, но требует большой бумажной возни, человеку, заведующему всем этим комповым хозяйством, проще отказаться от затеи чем объяснять высокому начальнику зачем ему это). На большинстве компов ип статически прописан (все адреса - из подсети 192.168.26.*), как gateway и dns указан тот самый 192.168.26.113.

Лирическое отступление: сеть вообще кошмарная, все на дешевых неуправлямых длинках. Как еще живет - не понятно.

Сейчас необходимо между роутером и сеткой воткнуть комп с линуксом (шейпинг, проксирование, статистика, ...). Менять настройки на всех компах - малореально (163шт, раскиданы на площади 3х7км,  к тому-же часть вообще доступны только с письменного согласия большого начальника и под наблюдением 2х безопасников, [и при этом на них есть инет!], бред - но это реальность).

Значит линуксовый комп должен должен встать "прозрачно", т.е. иметь на интерфейсе смотрящем в локалку ип 192.168.26.113. Но при этом он должен другим интерфейсом еще и с роутером общаться который имеет этот-же ип.

Вопрос - это вообще возможно? И если да то КАК?

Единственное до чего я, пока, додумался это до схемы с двумя компами:

сеть<-->[192.168.26.113  комп1 192.168.1.1]<-->[192.168.1.2  комп2 192.168.26.254]<-->[192.168.26.113  роутер]

Можно это как-то реализовать в одном компе, без многочисленных натов?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Ситуация такая: есть сеть, 163 компа (винегрет из разных вин от 95 до 7 и стареньких дебианов), есть роутер хей-вей-чего-то-там (не важно) имеющий ип 192.168.26.113 (так исторически сложилось) через который все дружно бегают в инет. Доступа к настройкам роутера нет! (Вообще изменение настроек возможно, со стороны ... скажем так - провайдера, но требует большой бумажной возни, человеку, заведующему всем этим комповым хозяйством, проще отказаться от затеи чем объяснять высокому начальнику зачем ему это). На большинстве компов ип статически прописан (все адреса - из подсети 192.168.26.*), как gateway и dns указан тот самый 192.168.26.113.
Когда-нибудь это всё равно придётся менять. Лучше сейчас один раз нормально сделать, чем из века в век тащить белиберду.

Цитировать
Лирическое отступление: сеть вообще кошмарная, все на дешевых неуправлямых длинках. Как еще живет - не понятно.
Нормально проложена и сегментирована, почему бы ей не работать? Что у вас за аллергия на ДЛинки у всех? Уметь пользоваться надо. И знать, когда стоит поберечь нервы, а когда - деньги.

Цитировать
Сейчас необходимо между роутером и сеткой воткнуть комп с линуксом (шейпинг, проксирование, статистика, ...).
Втыкайте. Только не между, а рядом. Пока.

Цитировать
Менять настройки на всех компах - малореально (163шт, раскиданы на площади 3х7км,  к тому-же часть вообще доступны только с письменного согласия большого начальника и под наблюдением 2х безопасников, [и при этом на них есть инет!], бред - но это реальность).
Ну бред, что делать. Жить как то надо.
Настройте систему, отладьте на всех доступных без головной боли конфигурациях, документируйте всё, что делаете. Когда вы пойдёте за разрешениями к большому начальнику, его один вид вашего талмуда отвратит от мысли до вас докапываться.

Цитировать
Значит линуксовый комп должен должен встать "прозрачно", т.е. иметь на интерфейсе смотрящем в локалку ип 192.168.26.113.
Так не бывает.
Цитировать
Но при этом он должен другим интерфейсом еще и с роутером общаться который имеет этот-же ип.
Сами то слышите, что говорите? Покажи это психиатру - и медкомиссию вы уже не пройдёте.

Цитировать
Единственное до чего я, пока, додумался это до схемы с двумя компами:
Не надо городить огород. Вас никто не поймёт, а потом и сами устанете этот зоопарк поддерживать. Два компа надо, но не для этого. Один должен быть резервным сервером, с полной копией настроек основного, но с заглушенной службой DHCP, готовый включиться по первому пинку, если основной выйдет из строя.[/quote]

Цитировать
Можно это как-то реализовать в одном компе, без многочисленных натов?
Гланды через анальный проход тоже можно удалять... Только цена такой операции будет несопоставима с достигнутым результатом.

TL;DR: Делайте сеть нормально. Один раз, чтобы переделывать не пришлось. Раньше начнёте - раньше закончите.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн shumtest

  • Автор темы
  • Активист
  • *
  • Сообщений: 731
  • Это вам просто кажется...
    • Просмотр профиля
    • Блог Шумомера
Сам знаю что маразматик-проктолог на тонзиллэктомии (даже тема соответственно названа), но что поделать.

Все переделать - не вариант. Гроссбухами местное начальство не пробить, они тут до пенсии на предпенсионных зарплатах сидят, т.ч. основной принцип их работы "ничего не решать". Болото страшенное. Озаботились только потому, что "сверху" бумажка пришла. Но т.к. пришла на ИТ-отдел, а не в директорат, то... Вот и ИТ-шный начальник схитрил - как-то пробил оутсорс на эту работу - если что не он крайний.

Про "так не бывает" - в железе такие решения есть. Сюда не подходят по другим параметрам. Да и в виде "2 компа" реализуемо (всего-лишь маршрутизация между двумя приватными сетями через третью получается, если участок комп2-роутер рассматривать как вторую приватную, и то что диапазон адресов второй приватной совпадает с первой приватной - совершенно не важно в этом случае), значит, теоретически, можно как-то сделать и на одном компе. Надо только изолировать маршруты (сижу мозги ломаю нельзя-ли как-то через раздельные таблицы маршрутизации пустить, помечая пакеты и/или оперируя устройствами а не адресами, или через набор лупбэков). Правда теория и практика не всегда совпадают, т.ч. тоеретически возможно != можно сделать.

Если за пару дней варианта красивей не придумается - буду этот реализовывать.

ЗЫ О! Юбилейный пост...
« Последнее редактирование: 24 Марта 2011, 04:23:41 от shumtest »

Оффлайн censor

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
сколько сегменов в сети?
сколько потребуется dhcp серверов на площадь 3х7
переведите потихоньку всех клиентов на получение адресов от dhcp потом рулите как угодно, те что на статике оставьте в старой подсети, те что на динамике выведите в новый сегмент, пусть получают адрес dhcp сервера в качестве шлюза и днс, сервер пусть так же ходит в инет через старый роутер.
так со временем можно будет перевести всех на новый ip сегмент, а роутер повесить на вторую сетевую в компе исключив его из общей сети.

Оффлайн shumtest

  • Автор темы
  • Активист
  • *
  • Сообщений: 731
  • Это вам просто кажется...
    • Просмотр профиля
    • Блог Шумомера
Время на реализацию ограничено - 3 недели максимум, поэтому все постепенные варианты - не варианты, т.к. после этого срока работы ни кто продолжать не станет. Да и вообще масштабные изменения - не вариант. Опять-же - болото. Оставлять работающее на 10-15% решение - не хочется просто по профессиональным соображениям, хотя мне тут, в курилке, намекнули что начальников устроит даже фейк показывающий что-то отдаленно похожее на реал.

Возможно стоило уточнить (хоть это и не технические детали) - это НЕ постоянное место работы. Это разовая работа на договоре.

Вообще - давайте забудем о благих пожеланиях и вернемся к технической стороне. Сейчас вопрос звучит так: Возможно-ли полностью изолировать друг от друга два сетевых интерфейса внутри одной машины, так что-бы они друг-друга не видели вообще и пакеты ходили только через лупбеки но не напрямую, учитывая все нюансы адресации указанные в первом посте? Чувствую что возможно, но никак не могу сообразить - как, постоянно утыкаюсь в тот факт что ИП одного из интерфейсов и ИП внешней железки являющейся гейтвеем для другого - совпадают.
« Последнее редактирование: 24 Марта 2011, 13:31:34 от shumtest »

Оффлайн _Voland_

  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Цитировать
сеть<-->[192.168.26.113  комп1 192.168.1.1]<-->[192.168.1.2  комп2 192.168.26.254]<-->[192.168.26.113  роутер]
какая то странная затея.

почему то кажется что проще поставить линуховый сервер вместо роутера. А на время настройки параллельно.
tcp/ip - connecting people

Оффлайн bubuntu-ru

  • Любитель
  • *
  • Сообщений: 92
    • Просмотр профиля

Возможно стоило уточнить (хоть это и не технические детали) - это НЕ постоянное место работы. Это разовая работа на договоре.

Такой момент есть, думаю так у всех в РФ. Сделаешь что-то - виноват, не сделаешь тоже виноват. Мораль, делать надо чтобы начальству понравилось, а не машину марки  орленок изобретать.

Оффлайн shumtest

  • Автор темы
  • Активист
  • *
  • Сообщений: 731
  • Это вам просто кажется...
    • Просмотр профиля
    • Блог Шумомера
почему то кажется что проще поставить линуховый сервер вместо роутера. А на время настройки параллельно.
Нельзя. Можно сказать что роутер не принадлежит организации. Да и вообще - с другой стороны железки входит 16 жильный телефонный кабель. Я даже не знаю на каком протоколе это все дальше живет. Грубо говоря - доступ есть к одному rj45 гнезду у которого известен ИП. Дальше - лезть нельзя.

надо чтобы начальству понравилось, а не машину марки  орленок изобретать.
Не хочу. Профессиональная гордость не позволяет. Раз это реализуемо - значит я это сделаю, и сделаю так чтоб работало, а не видимость создавало.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
За три недели можно сеть целиком переложить, т.е. физически.
Не то что проработать взаимодействие сервера с сетью.
А если там безопасники такие параноики, дать им инструкцию в зубы и умыть руки.
Либо пусть доплачивают за вредность.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн shumtest

  • Автор темы
  • Активист
  • *
  • Сообщений: 731
  • Это вам просто кажется...
    • Просмотр профиля
    • Блог Шумомера
Промежуточные итоги:

Как засунуть все это в один комп - не придумал.

Вариант с двумя компами работает, все что надо делает. Следующие несколько дней будет проходить обкатку. Потом соберется в один корпус (какраз валяется раритет - двухмамковый кейс - даже не помню откуда).

 

Страница сгенерирована за 0.051 секунд. Запросов: 25.