Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: маршрутизация  (Прочитано 2390 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ea2982

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
маршрутизация
« : 04 Апреля 2013, 02:02:27 »
Добрый всем

нужно помощи есть 3 сеть
1. 10.10.0.0/16 шлюз 10.10.3.254
2. 10.20.0.0/16 шлюз 10.20.3.254
3. 10.30.0.0/16 шлюз 10.30.3.254

сеть 1 и 3 не как не связано только через сеть 2
Нужно написать правила для проброса порта RDP из сеть 1 в сеть 3.
В сеть 3 конечный компьютер 10.30.3.200.

маршруты про бывал
делал так
(Нажмите, чтобы показать/скрыть)


Но все равно из сеть 1 пинг на шлюз 10.20.3.254 проходит, а на 10.30.3.254 нет
Из сеть 2 пинг проходит на оба шлюза 10.10.3.254 и 10.30.3.254
Из сеть 3 пинг на шлюз 10.20.3.254 проходит, а на 10.10.3.254 нет

куда копать не знаю?


Если с маршрутизацией разберусь не будет ль проблем когда я настрою iptables на политику по умолчанию в DROP
« Последнее редактирование: 05 Апреля 2013, 00:31:02 от ea2982 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28476
    • Просмотр профиля
Re: маршрутизация
« Ответ #1 : 04 Апреля 2013, 02:42:22 »
Как именно они связаны через сеть 2?...
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ea2982

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: маршрутизация
« Ответ #2 : 04 Апреля 2013, 09:56:03 »
Через ipsec(racoon)

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: маршрутизация
« Ответ #3 : 04 Апреля 2013, 10:15:14 »
ну наверное надо начинать с показа:
sudo ip r на каждом из шлюзов
и sudo iptables-save -c
sudo sysctl net.ipv4.ip_forward
на 2 шлюзе

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28476
    • Просмотр профиля
Re: маршрутизация
« Ответ #4 : 04 Апреля 2013, 18:13:02 »
Через ipsec(racoon)
КАК ИМЕННО?... Рисуйте на бумажке, если словами описать не можете.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ea2982

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: маршрутизация
« Ответ #5 : 05 Апреля 2013, 00:15:53 »
ну наверное надо начинать с показа:
sudo ip r на каждом из шлюзов
и sudo iptables-save -c
sudo sysctl net.ipv4.ip_forward
на 2 шлюзе


ну и задачку вы задали
на шлюзе сеть 1
(Нажмите, чтобы показать/скрыть)

На шлюзе сеть 2
(Нажмите, чтобы показать/скрыть)

на шлюзе сеть 3

(Нажмите, чтобы показать/скрыть)

Пользователь решил продолжить мысль 05 Апреля 2013, 00:17:37:

Если с маршрутизацией разберусь не будет ль проблем когда я настрою iptables на политику по умолчанию в DROP


Можно получить ответ на вопрос уж очень интересно

Пользователь решил продолжить мысль 05 Апреля 2013, 00:30:24:
Через ipsec(racoon)
КАК ИМЕННО?... Рисуйте на бумажке, если словами описать не можете.



Так же файлы настройки выложу сразу

на шлюзе 1
(Нажмите, чтобы показать/скрыть)

шлюз 2
(Нажмите, чтобы показать/скрыть)

шлюз 3

(Нажмите, чтобы показать/скрыть)

вот в принципе все

Пользователь решил продолжить мысль 05 Апреля 2013, 14:36:20:
Молчание в ответ(((

Профи этого форума помогите разобраться с проблемой

(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 05 Апреля 2013, 14:36:21 от ea2982 »

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: маршрутизация
« Ответ #6 : 08 Апреля 2013, 12:02:11 »
не пойму,  я роде ясно написал что нужно показать, в итоге ничего из того что нужно.
Цитировать
Цитата: ea2982 от 04 Апрель 2013, 02:02:27
    Если с маршрутизацией разберусь не будет ль проблем когда я настрою iptables на политику по умолчанию в DROP
Можно получить ответ на вопрос уж очень интересно
чтобы все работало как ты хочешь настройки одной маршрутизации мало.маршрутизация делает свое, а iptables -  свое. как настроишь так и будет работать. нафига щас тут нужны конфиги ракуна? с ним что проблемы? узы соединились? трафик между ними бегает? если да -  тогда  это уже лишняя информация

Оффлайн ea2982

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: маршрутизация
« Ответ #7 : 08 Апреля 2013, 22:12:37 »
не пойму,  я роде ясно написал что нужно показать, в итоге ничего из того что нужно.
Цитировать
Цитата: ea2982 от 04 Апрель 2013, 02:02:27
    Если с маршрутизацией разберусь не будет ль проблем когда я настрою iptables на политику по умолчанию в DROP
Можно получить ответ на вопрос уж очень интересно
чтобы все работало как ты хочешь настройки одной маршрутизации мало.маршрутизация делает свое, а iptables -  свое. как настроишь так и будет работать. нафига щас тут нужны конфиги ракуна? с ним что проблемы? узы соединились? трафик между ними бегает? если да -  тогда  это уже лишняя информация


Трафик между узлами 10.10.0.0/16 и 10.30.0.0/16 в том то и делам что не бегает !

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: маршрутизация
« Ответ #8 : 09 Апреля 2013, 19:40:11 »
Попробую Вам подсказать. Я позволил себе отформатировать выхлопы, для читаемости.
Вот Ваша сеть.
Вот Ваши действия
(Нажмите, чтобы показать/скрыть)
Вот результаты Ваших действий.
на шлюзе сеть 1
(Нажмите, чтобы показать/скрыть)
На шлюзе сеть 2
(Нажмите, чтобы показать/скрыть)
на шлюзе сеть 3
(Нажмите, чтобы показать/скрыть)
Смотрите что получается.
Вы добавляете сети через интерфейсы, смотрящие в WAN, но при этом не объявляете через какие узлы идти пакетам, в итоге шлюзы считают, что сети 10.10/16, 10.20/16, 10.30/16 находятся сразу за WAN, тогда как у Вас эти сети доступны через 172.20/24.
Добавляйте 10.10/16, 10.20/16 и 10.30/16 через 172.20/24.
На шлюзе 1
ip r a 10.20/16 via 172.20.0.220 dev eth0
ip r a 10.30/16 via 172.20.0.220 dev eth0

На шлюзе 2
ip r a 10.10/16 via 172.20.0.210 dev eth0
ip r a 10.30/16 via 172.20.0.230 dev eth0

На шлюзе 3
ip r a 10.10/16 via 172.20.0.220 dev eth0
ip r a 10.20/16 via 172.20.0.220 dev eth0

К сожалению я  не пока не сталкивался с туннелями IPSec, но вероятно стоит поменять WAN-шлюзы в маршрутах на внутренние в соответствии с эскизом сети.
OpenWrt 19.07

Оффлайн ea2982

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: маршрутизация
« Ответ #9 : 10 Апреля 2013, 09:02:09 »
Если сделать так как вы говорить то трафик не шифруется, он просто передается с хоста на хост
в логах racoona пусто, а в tcpdump запись типа что данные шифрованны нету. Setkey -D тоже постой.
т. е. данные передаются в открытом виде, а сеть 172.20/24 это сеть интернета.

А на чем это лучше сделать за место IPsec может на OpenVPN?
« Последнее редактирование: 10 Апреля 2013, 09:12:50 от ea2982 »

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: маршрутизация
« Ответ #10 : 10 Апреля 2013, 10:12:32 »
Цитировать
А на чем это лучше сделать за место IPsec может на OpenVPN?
можно и на openvpn, конечный результат в принципе можно получить один и тот же, но на мой взгляд, openvpn лучше в плане масштабируемости и проще в настройке.
и чего кстати вообще выбор пал на ipsec ? здесь как раз таки лучше использовать Openvpn , топология звезда..
« Последнее редактирование: 10 Апреля 2013, 10:23:22 от xeon_greg »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28476
    • Просмотр профиля
Re: маршрутизация
« Ответ #11 : 10 Апреля 2013, 14:51:22 »
Если сделать так как вы говорить то трафик не шифруется, он просто передается с хоста на хост
в логах racoona пусто, а в tcpdump запись типа что данные шифрованны нету. Setkey -D тоже постой.
т. е. данные передаются в открытом виде, а сеть 172.20/24 это сеть интернета.
А при чём здесь эта сеть?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ea2982

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: маршрутизация
« Ответ #12 : 10 Апреля 2013, 16:26:15 »
Цитировать
А на чем это лучше сделать за место IPsec может на OpenVPN?
можно и на openvpn, конечный результат в принципе можно получить один и тот же, но на мой взгляд, openvpn лучше в плане масштабируемости и проще в настройке.
и чего кстати вообще выбор пал на ipsec ? здесь как раз таки лучше использовать Openvpn , топология звезда..

Если не сложно можно по подробней про настройку OpenVPN? Важно именно хождение трафика между сетями 10.10.0.0/16, 10.20.0.0/16 и 10.30.0.0/16.

Пользователь решил продолжить мысль 10 Апреля 2013, 16:26:49:
Если сделать так как вы говорить то трафик не шифруется, он просто передается с хоста на хост
в логах racoona пусто, а в tcpdump запись типа что данные шифрованны нету. Setkey -D тоже постой.
т. е. данные передаются в открытом виде, а сеть 172.20/24 это сеть интернета.
А при чём здесь эта сеть?
Эта внешняя сеть

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: маршрутизация
« Ответ #13 : 10 Апреля 2013, 16:43:28 »
Если не сложно можно по подробней про настройку OpenVPN? Важно именно хождение трафика между сетями 10.10.0.0/16, 10.20.0.0/16 и 10.30.0.0/16.
В центральном офисе поднимаете сервер в режиме multi-client.
В филиалах — клиенты.
Маршруты в сеть центрального офиса толкаются клиентам через push route в конфиге сервера.
Маршруты в филиалы поднимаются через route в конфиге сервера и iroute в client-config-dir.
Это всё есть в примерах конфигурации openvpn.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28476
    • Просмотр профиля
Re: маршрутизация
« Ответ #14 : 10 Апреля 2013, 17:33:45 »
Если сделать так как вы говорить то трафик не шифруется, он просто передается с хоста на хост
в логах racoona пусто, а в tcpdump запись типа что данные шифрованны нету. Setkey -D тоже постой.
т. е. данные передаются в открытом виде, а сеть 172.20/24 это сеть интернета.
А при чём здесь эта сеть?
Эта внешняя сеть
Внешняя, замечательно, но ПРИ ЧЁМ ТУТ ЭТА СЕТЬ? Через неё ваши пакеты не ходят.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.074 секунд. Запросов: 26.