Маршрутизация. Что и как(mini-HOWTO).

[Гарри Кашпировский]

SNAT не даст прозрачного роутинга между подсетями.

Это понятно, он не для роутига был указан.
А прозрачную маршрутизацию даст net.ipv4.ip_forward = 1 в конфиге sysctl + сама таблица маршрутов на сервере и роутинг с клиненских ПК подсети 1.0/24 на подсеть 0.0/24

Код: (На Ubuntu-сервере) [Выделить]

~$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0         *               255.255.255.0 U     0      0        0 eth0
192.168.0.0         *               255.255.255.0 U     0      0        0 eth1
0.0.0.0         192.168.1.5         0.0.0.0       UG    0      0        0 eth0

Код: (в клиентах подсети 0.0/24) [Выделить]

~$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0         *               255.255.255.0 U     0      0        0 eth0
0.0.0.0         192.168.0.1         0.0.0.0       UG    0      0        0 eth0

Код: (в клиентах подсети 1.0/24) [Выделить]

~$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0         *               255.255.255.0 U     0      0        0 eth0
192.168.0.0     192.168.1.43        255.255.255.0 U     0      0        0 eth0
0.0.0.0         192.168.1.5         0.0.0.0       UG    0      0        0 eth0Вообще да, похоже на голубую мечту, если модемы трогать нельзя, а их трогать нужно, ибо то что получаеться - костыль.

[NightMan]

Одгого не могу понять, почему на той же ХРшке когда включены две сетевые и объединены в мост с обоих компов шлюз прекрасно виден 

[AnrDaemon]

Ключевое слово - мост. Мост это ОДНА сетевая, а не две.
Пользователь решил продолжить мысль 09 Августа 2010, 22:34:57:

Но судя по ответам ТС, весь топик - бредовые мечтания, заниматься сетью никто не будет и всё, что мы тут обсуждаем - сотрясение воздуха.

Из-за таких мыслей никто ничего и не делает =\

Так решитесь уже и начните делать. Тогда и результаты появятся. Или мне вас учить, как управление сетями строится? Что такое инициативная группа? И "как завоёвывать друзей и оказывать влияние на людей"?

[NightMan]

Для того, чтобы начать что-то делать, нужно знать, что что-то получиться, а для этого нужны знания, именно поэтому я этой фигнёй и страдаю дома на единице с двумя компами и тремя сетвухами =\

Код: [Выделить]

Ключевое слово - мост. Мост это ОДНА сетевая, а не две.
Как это одна? Прямо сейчас в винде ХР вставил две сетевые, выбрал их обе, правой кнопкой - Подключение типа мост. И оба компа видят сеть и инет. Или имеется ввиду, что в режиме мост комп имеет только один адрес?

(Нажмите, чтобы показать/скрыть)

Код: (На Ubuntu-сервере)

~$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0         *               255.255.255.0 U     0      0        0 eth0
192.168.0.0         *               255.255.255.0 U     0      0        0 eth1
0.0.0.0         192.168.1.5         0.0.0.0       UG    0      0        0 eth0

Код: (в клиентах подсети 0.0/24)

~$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0         *               255.255.255.0 U     0      0        0 eth0
0.0.0.0         192.168.0.1         0.0.0.0       UG    0      0        0 eth0

Код: (в клиентах подсети 1.0/24)

~$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0         *               255.255.255.0 U     0      0        0 eth0
192.168.0.0     192.168.1.43        255.255.255.0 U     0      0        0 eth0
0.0.0.0         192.168.1.5         0.0.0.0       UG    0      0        0 eth0

Вот это тоже, кстате, не сработало, клиент всё равно не видит...мудохаюсь в iptables, ничего не выходит...

Вот последняя конфигурация:

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  192.168.0.0/24       192.168.1.0/24      
ACCEPT     all  --  192.168.1.0/24       192.168.0.0/24      

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

Пробывал также разрешить все подклчюения INPUT&OUTPUT, не помогло, нужно, наверна, POSTROUTING настраивать, только не смог пока ничего найти по SNAT.  

[AnrDaemon]

Для того, чтобы начать что-то делать, нужно знать, что что-то получиться, а для этого нужны знания, именно поэтому я этой фигнёй и страдаю дома на единице с двумя компами и тремя сетвухами =\

Вот, уже некоторый прогресс намечается. Объясняю теорию. (Дальше адресация будет использоваться от фонаря, в предположении, что в каждом сегменте сети не более 250 компов)

Отдельную сеть для объединения шлюзов тащить необходимо, иначе у вас так и будет "сеть на глючащих свичах".
В каждом шлюзе должно быть не менее двух сетевых.
Для модемов, у которых только один LAN порт, нужно либо ставить дополнительный хаб, либо три сетевых. Две (ту, что смотрит в сеть шлюзов и ту, что смотрит в модем) объединить в бридж. Если модем подключается не через сеть (USB/PCI/whatever), этот шаг пропускаем, двух достаточно.

На всех модемах отключается DHCP и DNS, включается блокировка неизвестных MAC адресов.

Примерный вид сети должен быть

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

   Modem1          Modem2          Modem3
192.168.0.11 -- 192.168.0.21 -- 192.168.0.31
     |               |               |     
192.168.0.10    192.168.0.20    192.168.0.30
   Gate1           Gate2           Gate3
192.168.1.1/24       |         192.168.3.1/24
               192.168.2.1/24

Подобная адресация позволяет быстро определить источник трафика, подключать больше одного модема к шлюзу, перенаправлять трафик при умирании собственного модема и так далее.
Советую озаботиться средствами мониторинга сети и прошерстить модемы на этот предмет. Многие поддерживают SNMP.

[Гарри Кашпировский]

(Нажмите, чтобы показать/скрыть)

Код: (На Ubuntu-сервере) [Выделить]

~$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0         *               255.255.255.0 U     0      0        0 eth0
192.168.0.0         *               255.255.255.0 U     0      0        0 eth1
0.0.0.0         192.168.1.5         0.0.0.0       UG    0      0        0 eth0

Код: (в клиентах подсети 0.0/24) [Выделить]

~$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0         *               255.255.255.0 U     0      0        0 eth0
0.0.0.0         192.168.0.1         0.0.0.0       UG    0      0        0 eth0

Код: (в клиентах подсети 1.0/24) [Выделить]

~$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0         *               255.255.255.0 U     0      0        0 eth0
192.168.0.0     192.168.1.43        255.255.255.0 U     0      0        0 eth0
0.0.0.0         192.168.1.5         0.0.0.0       UG    0      0        0 eth0

Вот это тоже, кстате, не сработало, клиент всё равно не видит...мудохаюсь в iptables, ничего не выходит...

Не поленился и проверил. Всё работает.

[Ilmir888]

Всем привет! вот я никак не могу прописать мартшруты, дело в том, что у меня соединение через VPN и мне надо сидеть одновременно как на внешних сайтах, так и на локальных сайтах своего провайдера, для этого в виндусе нужно прописывать маршрут route.exe add -p 10.0.0.0 mask 255.0.0.0 10.105.0.1 (и оля я сижу одновременно как на внешке, так на локале), а вот в убунте я пробывал так: sudo route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.105.0.1 eth0, но после нескольких секунд локальные сайты перестают открываться при включенном впн, помогите плиз...
Заранее благодарен!!!

[assistent]

Всем привет! вот я никак не могу прописать мартшруты, дело в том, что у меня соединение через VPN и мне надо сидеть одновременно как на внешних сайтах, так и на локальных сайтах своего провайдера, для этого в виндусе нужно прописывать маршрут route.exe add -p 10.0.0.0 mask 255.0.0.0 10.105.0.1 (и оля я сижу одновременно как на внешке, так на локале), а вот в убунте я пробывал так: sudo route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.105.0.1 eth0, но после нескольких секунд локальные сайты перестают открываться при включенном впн, помогите плиз...
Заранее благодарен!!!

вы бы свою таблицу маршрутов показали

[Ilmir888]

а таблицу показать при включенном ВПН или без?

[Гарри Кашпировский]

Оба варианта.

[Ilmir888]

Вот таблицы:
Без подключения VPN:

Код: [Выделить]

ilmir@ilmir:~$ netstat -n -r
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
10.0.0.1        10.105.0.1      255.255.255.255 UGH       0 0          0 eth0
10.105.0.0      0.0.0.0         255.255.224.0   U         0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
10.0.0.0        10.105.0.1      255.0.0.0       UG        0 0          0 eth0
0.0.0.0         10.105.0.1      0.0.0.0         UG        0 0          0 eth0
ilmir@ilmir:~$
С подключением VPN:

Код: [Выделить]

ilmir@ilmir:~$ netstat -n -r
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
10.0.0.1        10.105.0.1      255.255.255.255 UGH       0 0          0 eth0
10.0.0.3        10.105.0.1      255.255.255.255 UGH       0 0          0 eth0
94.232.191.253  0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
10.105.0.0      0.0.0.0         255.255.224.0   U         0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
10.0.0.0        10.105.0.1      255.0.0.0       UG        0 0          0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U         0 0          0 ppp0
ilmir@ilmir:~$

[assistent]

Вроде нормально маршруты прописаны, у меня в принципе то же самое, вот только у меня еще без одной строчки
94.232.191.253   10.105.0.1         255.255.255.255  UH       0 0         0  eth0
ни работают ни внешка, ни локалка. поэтому для меня странно, как это у вас впн работает без нее
ну да если работает, то ничего трогать не надо.

а насчет прописания локального маршрута, то вы вроде все правильно сделали.

P.S.: может трассировку посмотреть, куда у вас локальные пакеты направляются?

[funit09]

Уважаемые знатоки, помогите разобраться с маршрутизацией для VLC (требуется для просмотра IpTV). В локальной сети провайдера дана команда маршрутизации для Win, а мне надо её применить в Linux Mint 9 (Ubuntu 10.04). Собственно, вот она:

route change 224.0.0.0 mask  240.0.0.0  172.29.238.211 metric 50

Что надо в данной команде изменить? Очень уж хочется наслаждаться интернет-тв не перезагружаясь (linuxmint стоит из под win7).

[Mam(O)n]

Если переводить команду дословно, то

Код: [Выделить]

sudo ip route change 224.0.0.0/4 via 172.22.22.2
НО! Эта команда меняет существующий маршрут в эту сеть. А такого маршрута в убунте нет, так что надо так:

Код: [Выделить]

sudo ip route add 224.0.0.0/4 via 172.22.22.2
Пользователь решил продолжить мысль 28 Августа 2010, 10:54:57:И да, этот маршрут будет жить до перезагрузки интерфейса. Для его персистентности нужно делать скрипт в /etc/network/if-up.d

[funit09]

Mam(O)n, пишет

RTNETLINK answers: No such process

Подставляю свой IP вместо 172.22.22.2 - тоже самое