Маршрутизация. Что и как(mini-HOWTO).

[Bato]

Какой еще ключ? routef вызывается без параметорв.

А понял, сразу не дошло.

[NightMan]

Добрый день. Имею вопрос по маршрутизации сети, но почитав как люди "лестно" относяться по клонированию подобных тем решил задать вопрос сюда.

Итак: имеется домашняя сеть, топологии "сосиска" содержащаяя около 400+ машин и около 6-8 ADSL-модемов разных провайдров (около 4 разновидностей параметров) доступных из локалки. В данный момент сеть разрезана на несколько кусков со своими настройками без DHCP и с DHCP (как что работает до сих пор - известно одному ктулху). Кусок в котором находиться моя машина имеет роутер, раздающий через DHCP ip,dns и т.д. для одного доступного отсюда провайдера. Стоит задача собрать всю сеть, впихнув в любое место сети от одного до трех машин, настроенных как маршрутизатор для раздачи через DHCP параметров для работы в сети и интернете, отсеиванию левых пакетов и запрету нескольких (например, многоадресного чата). Было бы всё просто, если ставить один сервер и иметь 1 модем, но т.к. их, повторюсь, около 6-8 и каждый имеет свои настройки, не понятно как можно раздавать настройки IP,маски,шлюза,днс пользователям. Также непонятно (не критично на первое время) как слинковать сервера такого типа.

[AnrDaemon]

Выделяешь модемы в транспортную сеть с предельно ограниченным доступом. Идеально - физически протащить отдельную сеть для модемов, соединив их с предполагаемыми шлюзами в единое целое. Нет - авторизация по MAC и максимально зарезанное адресное пространство. На модемах (всех) отрубить DHCP.
Предполагаемые сегменты локальной сети так же разделить физически, воткнув между ними шлюзы.
Но всё это теория, на практике надо начать с выяснения, куда что ТОЧНО идёт. И по возможности предусмотреть защиту от закольцовывания.

[NightMan]

Идеально - физически протащить отдельную сеть для модемов, соединив их с предполагаемыми шлюзами в единое целое.

Невозможно

Выделяешь модемы в транспортную сеть с предельно ограниченным доступом.
Нет - авторизация по MAC и максимально зарезанное адресное пространство.

Где про это можно подробно почитать? Желательно пошагово и с примерами

[AnrDaemon]

"Невозможно" родиться обратно. Всё остальное возможно, если правильно приложить голову к решению вопроса.

Почитать, да ещё и подробно с примерами - нигде. Это надо чувствовать, к сожалению. Начните, как я сказал, с малого - с построения топологии сети с привязкой к местности, чтобы было понятно, что есть на деле, и какие варианты перестройки и сегментирования возможны.

[NightMan]

"Невозможно" родиться обратно. Всё остальное возможно, если правильно приложить голову к решению вопроса.

Я имел ввиду, что в моей сети этим никто не будет заниматься, т.к. нету ни времени, ни средств.

Сейчас возникла другая проблема: настройка двух сетевых интерфейсов. Поставил дома две машины для тестов, основную (как клиентскую) на ВинХР и маршрутизатор на Ubuntu 10.04 с двумя сетевыми. Одна сетевая смотрит в локальную сеть, в которой стоит АДСЛ модем, вторая на клиентскую машину (далее обе будут смотреть в разные части физически разделенных сегментов и видеть несколько модемов, подключенных в разных частях сети). Пока что не могу никак подружить два интерфейса, настраивая их следующим образом. 1 сетевая (в сторону текущего модема), допустим, 192.168.1.100/255.255.255.0 и шлюз 192.168.1.5, вторая 192.168.1.130/255.255.255.0 и шлюз 192.168.1.5, клиентская машина, подключенная к второй сетевой на убунте, имеет 192.168.1.133/255.255.255.0 и шлюз 192.168.1.5. При таких настройках Ubuntu видит первых интерфейсом шлюз раздачи инета (192.168.1.5) только, если не подключен второй интерфейс, при этим клиентская машина не видит ничего, как только второй интерфейс на убунте включается клиентская машина видит Ubuntu, оба интерфейса, но не видит шлюз инета 1.5, как и сама Ubuntu. Но если до включения второго интерфейса я включаю VPN, то при включении второго интерфейса Ubuntu связь с инетом не теряет, но клиент-машина все равно не видит ничего.

при выключеном втором интерфейсе

(Нажмите, чтобы показать/скрыть)

route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
91.187.0.1      0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
81.25.32.68     192.168.1.5     255.255.255.255 UGH   0      0        0 eth1
81.25.32.68     192.168.1.5     255.255.255.255 UGH   0      0        0 eth1
81.25.32.6      192.168.1.5     255.255.255.255 UGH   1      0        0 eth1
81.25.32.70     192.168.1.5     255.255.255.255 UGH   0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     1      0        0 eth1
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

При включенном втором

(Нажмите, чтобы показать/скрыть)

route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
91.187.0.1      0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
81.25.32.68     192.168.1.5     255.255.255.255 UGH   0      0        0 eth1
81.25.32.68     192.168.1.5     255.255.255.255 UGH   0      0        0 eth1
81.25.32.6      192.168.1.5     255.255.255.255 UGH   1      0        0 eth1
81.25.32.70     192.168.1.5     255.255.255.255 UGH   0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     1      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     1      0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

[AnrDaemon]

И не подружишь так.
У тебя обе карты в одной сети находятся.

[NightMan]

И не подружишь так.
У тебя обе карты в одной сети находятся.

Повесил внешнюю сетевуху (с шлюзом-инетом) на 192.168.1.100/255.255.255.0 и шлюз 192.168.1.5
Внутренную повесил на 192.168.0.100/255.255.255.0 шлюз 192.168.1.5

Клиентский комп настроил: 192.168.0.133/255.255.255.0 шлюз 192.168.1.100.

Теперь Ubuntu видит внешнюю сеть и шлюз, внутренную сеть и клиентский комп (клиентский тоже видит Ubuntu), поднимается впн без шаманств, но комп-клиент не видит шлюз инета 192.168.1.5.

P.S> Бывает иногда, что ВПН-ка хочет ходить через внутреннюю сеть, то есть через второй интерфейс, где висит клиент-комп, как её заставить ходить через определенный интерфейс?

[AnrDaemon]

Я так не понимаю... давай под спойлеры инфу с гейта:
ifconfig -a
ip route
iptables-save (до кучи)

С клиента
ipconfig /all
route print

И пожалуйста НЕ СКРИНШОТАМИ.
И в винде и в линуксе можно копировать с консоли текст или направить вывод утилиты в файл.

[NightMan]

И пожалуйста НЕ СКРИНШОТАМИ.
И в винде и в линуксе можно копировать с консоли текст или направить вывод утилиты в файл.

Как будто спойлеры я скринами выложил  
С гейта:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:04:61:ff:ff:ff  
          inet addr:192.168.1.43  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::204:61ff:feff:ffff/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2103 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2499 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1306626 (1.3 MB)  TX bytes:498955 (498.9 KB)
          Interrupt:20 Base address:0xe000

eth1      Link encap:Ethernet  HWaddr 00:e0:4c:70:77:5d  
          inet addr:192.168.0.100  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:fe70:775d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1932 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1356 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:152311 (152.3 KB)  TX bytes:103738 (103.7 KB)
          Interrupt:18 Base address:0xc000

lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:12 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:720 (720.0 B)  TX bytes:720 (720.0 B)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:91.187.2.139  P-t-P:91.187.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:1766 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1842 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1197125 (1.1 MB)  TX bytes:374294 (374.2 KB)

(Нажмите, чтобы показать/скрыть)

91.187.0.1 dev ppp0  proto kernel  scope link  src 91.187.2.139
81.25.32.68 via 192.168.1.5 dev eth0  src 192.168.1.43
81.25.32.70 via 192.168.1.5 dev eth0  proto static
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.43  metric 1
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.100  metric 1
169.254.0.0/16 dev eth0  scope link  metric 1000
default dev ppp0  proto static

iptables-save либо пустая, либо не выполнилась, потому что вывода в консоль не было, в отдельный файл записался тоже пустой файл.

С клиента:

(Нажмите, чтобы показать/скрыть)

Настройка протокола IP для Windows
        Имя компьютера  . . . . . . . . . : admin-7-1
        Основной DNS-суффикс  . . . . . . :
        Тип узла. . . . . . . . . . . . . : неизвестный
        IP-маршрутизация включена . . . . : нет
        WINS-прокси включен . . . . . . . : нет

VMware Network Adapter VMnet8 - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : VMware Virtual Ethernet Adapter for

VMnet8

        Физический адрес. . . . . . . . . : 00-50-56-C0-00-08
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 192.168.139.1
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . :

VMware Network Adapter VMnet1 - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : VMware Virtual Ethernet Adapter for

VMnet1

        Физический адрес. . . . . . . . . : 00-50-56-C0-00-01
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 192.168.233.1
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . :

NVIDIA - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : NVIDIA nForce 10/100/1000 Mbps Ethernet
        Физический адрес. . . . . . . . . : 00-13-8F-CD-54-F0
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 192.168.0.133
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.1.43
        DNS-серверы . . . . . . . . . . . : 81.25.32.34
                                                           81.25.32.9

(Нажмите, чтобы показать/скрыть)

===========================================================================

Список интерфейсов

0x1 ........................... MS TCP Loopback interface

0x2 ...00 50 56 c0 00 08 ...... VMware Virtual Ethernet Adapter for VMnet8

0x3 ...00 50 56 c0 00 01 ...... VMware Virtual Ethernet Adapter for VMnet1

0x4 ...00 13 8f cd 54 f0 ...... NVIDIA nForce Networking Controller - ╠шэшяюЁЄ я

ырэшЁют∙шър яръхЄют

===========================================================================

===========================================================================

Активные маршруты:

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика

          0.0.0.0          0.0.0.0     192.168.1.43   192.168.0.133       20

        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1

      192.168.0.0    255.255.255.0    192.168.0.133   192.168.0.133       20

    192.168.0.133  255.255.255.255        127.0.0.1       127.0.0.1       20

    192.168.0.255  255.255.255.255    192.168.0.133   192.168.0.133       20

    192.168.139.0    255.255.255.0    192.168.139.1   192.168.139.1       20

    192.168.139.1  255.255.255.255        127.0.0.1       127.0.0.1       20

  192.168.139.255  255.255.255.255    192.168.139.1   192.168.139.1       20

    192.168.233.0    255.255.255.0    192.168.233.1   192.168.233.1       20

    192.168.233.1  255.255.255.255        127.0.0.1       127.0.0.1       20

  192.168.233.255  255.255.255.255    192.168.233.1   192.168.233.1       20

        224.0.0.0        240.0.0.0    192.168.0.133   192.168.0.133       20

        224.0.0.0        240.0.0.0    192.168.139.1   192.168.139.1       20

        224.0.0.0        240.0.0.0    192.168.233.1   192.168.233.1       20

  255.255.255.255  255.255.255.255    192.168.0.133   192.168.0.133       1

  255.255.255.255  255.255.255.255    192.168.139.1   192.168.139.1       1

  255.255.255.255  255.255.255.255    192.168.233.1   192.168.233.1       1

Основной шлюз:        192.168.1.43

===========================================================================

Постоянные маршруты:

  Сетевой адрес            Маска    Адрес шлюза      Метрика

       81.25.32.6  255.255.255.255      192.168.1.5       1

      81.25.32.32  255.255.255.224      192.168.1.5       1

      81.25.32.64  255.255.255.192      192.168.1.5       1

      81.25.34.96  255.255.255.240      192.168.1.5       1

[Гарри Кашпировский]

(Нажмите, чтобы показать/скрыть)

С клиента:

Код: [Выделить]

Постоянные маршруты:

  Сетевой адрес            Маска    Адрес шлюза      Метрика

       81.25.32.6  255.255.255.255      192.168.1.5       1

      81.25.32.32  255.255.255.224      192.168.1.5       1

      81.25.32.64  255.255.255.192      192.168.1.5       1

      81.25.34.96  255.255.255.240      192.168.1.5       1

Это шутка такая?

[NightMan]

(Нажмите, чтобы показать/скрыть)

С клиента:

Код: [Выделить]

Постоянные маршруты:

  Сетевой адрес            Маска    Адрес шлюза      Метрика

       81.25.32.6  255.255.255.255      192.168.1.5       1

      81.25.32.32  255.255.255.224      192.168.1.5       1

      81.25.32.64  255.255.255.192      192.168.1.5       1

      81.25.34.96  255.255.255.240      192.168.1.5       1

Это шутка такая?

Сорри, переодически в виндовый комп основной кабель от шлюза в инет всовываю, забыл роуты стереть, но смысл от этого не меняется. Если стираю роуты (шлюз остается 192.168.1.43) виндовый комп всё равно не видит шлюз инета 1.5.

[Гарри Кашпировский]

А почему он его видеть будет?
IP-forward ядру разрешён?
cat /proc/sys/net/ipv4/ip_forward
Должен отдать единицу.

[NightMan]

Forward включен, роуты на клиенте стерты, шлюзом стоит убунтовая машина. Настройки теже. Не пингуется 192.168.1.5.

[Гарри Кашпировский]

Не понял, это что получается, у тебя домашняя сетка 192.168.1.0/24, с шлюзом на Ubuntu 192.168.1.43, а ты хочешь добраться до 192.168.1.5, так ?