LINUX.ORG.RU

обьединение двух подсетей

 


0

1

Приветствую. Прошу помочь разобраться начинающему. Имеется сервер (ubuntu 16.04) смотрящий в две подсети 192.168.1.0/24 и 192.168.2.0/24, enp33 с адресом 192.168.1.246, enp34 с адресом 192.168.2.1. форвардинг включен, ничего не дропается (пока).Сервер получает интернет из подсети 192.168.1.0 и выступает в роли шлюза для 192.168.2.0. С помощью «masquerade» из сети 192.168.2.0 прекрасно видно все ПК 192.168.1.0 подсетки. Задача заключается в том чтобы был доступ по IP из подсети 192.168.1.0 к клиентским ПК из подсети 192.168.2.0. Всю голову сломал уже, пробовал маскарадом сделать доступ по аналогии но почему-то безрезультатно.

*nat
:PREROUTING ACCEPT [4:609]
:INPUT ACCEPT [2:486]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
COMMIT
# Completed on Mon Jun 25 06:16:04 2018
# Generated by iptables-save v1.6.0 on Mon Jun 25 06:16:04 2018
*filter
:INPUT ACCEPT [386:40315]
:FORWARD ACCEPT [25:1432]
:OUTPUT ACCEPT [329:38255]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto ens33
iface ens33 inet static
address 192.168.1.246
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 192.168.1.1

#local
auto ens34
iface ens34 inet static
address 192.168.2.1
netmask 255.255.255.0

пробовал маскарадом сделать доступ по аналогии

че-т незаметно

Сервер ... выступает в роли шлюза для 192.168.2.0

Асимметрию видишь?

Хосты из 192.168.1.0/24 в курсе, что именно он шлюзует в 192.168.2.0/24? Скинь таблицу маршрутизации с одного из них?

t184256 ★★★★★ ()
Ответ на: комментарий от system-root

это не наружу! просто локалку разделили на ту которая будет за проксей 192.168.2.0/24 и ту которая останется без изменений. Остальное все реализовал со squid"ом, но возникла такая потребность иметь доступ в эту «новую локалку»

veeryskier ()
Ответ на: комментарий от system-root

Это указание тебе, что следует сделать

iptables -A FORWARD -d 192.168.0.0/16 -o wan0 -j REJECT --reject-with icmp-net-unreachable

а не то, что железка сама будет что-то ограничивать. Может у тебя шлюз стоящий за WAN интерфейсом знает как до 192.168.135.0/24 добраться, и тебе оно надо?

mogwai ★★★ ()
Последнее исправление: mogwai (всего исправлений: 1)
Ответ на: комментарий от system-root

раз разросся уже до двух сетей, начинай думать про OSPF, шоб сразу по взрослому.

Зачем? Дефолт по OSPF на клиентов получать что ли? Это, как бы, перебор. :-)

AS ★★★★★ ()

enp33 с адресом 192.168.1.246, enp34 с адресом 192.168.2.1

У хостов в 192.168.1.0/24 шлюзом должне быть 192.168.1.246, а у 192.168.2.0/24 - 192.168.2.1. И ничего больше не нужно. Дефолт прописывать руками, либо раздавать по DHCP вместе с IP.

Кстати, я бы однообразные IP выдал на сервер, либо x.1, либо x.254 - как-то проще помнить.

AS ★★★★★ ()

gateway 192.168.1.1

Или там ещё роутер в мир в одной из сетей? Но, в принципе, это не особо что-то меняет. Хотя, в теории, уже может оправдать OSPF между роутерами. Но всё равно, пока чрезмерно.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от system-root

на маршрутизаторах же.

Я что-то сразу не заметил, что их там два в одной из сетей. Но статикой всё равно дешевле обойтись пока - всего-то две сети.

AS ★★★★★ ()
Ответ на: комментарий от system-root

У меня например трейс на адреса 192.168.* и 10.* спокойно проходит за пределы провайдера и умирает где-то на пиринге. Некоторые адреса даже на пинги отвечают.

bdfy ★★★★ ()

может в /etc/network/interfaces нужно что то дописать типо up route add -net... ? попробавал прописывать но сетевая в ошибку уходит, возможно дело в синтаксисе у меня

veeryskier ()
Ответ на: комментарий от t184256

смущает что после прописывания на вин машину из 192.168.1.0

route ADD -p 192.168.2.0 MASK 255.255.255.0 192.168.1.146 METRIC 1 

эта машина смогла пинговать 192.168.2.1, значит она уже попала в локалку, или нет?

veeryskier ()
Ответ на: комментарий от veeryskier

попала в локалку

нет такого понятия.

если 192.168.2.1 - действительно твой 192.168.1.146 и отвечает, то надо смотреть, 1) пропускает ли он пакеты, адресованные остальной 192.168.2.0/24 внутрь 2) пропускает ли ответы наружу и 3) почему нет.

t184256 ★★★★★ ()
Ответ на: комментарий от veeryskier

только адрес у него /etc/sysctl.conf

Это конфиг. А реально это воздействует на /proc/sys/net/ipv4/ip_forward. Если всё сработало, то тут должна быть единичка.

AS ★★★★★ ()

Во-первых, это не подсети, а сети. Почитай что такое подсети и в чем их отличие о сетей.

В общем, что бы сеть 1.0 и 2.0 видели друг друга на шлюзе сети 1.0 нужно проложить маршрут до сети 2.0 через ip адрес 1.246, так же в iprables разрешить forward пакетов с адресом источника из сети 1.0 и адресом назначения в сети 2.0 и аналогичное обратное правило.

kostik87 ★★★★★ ()
Ответ на: комментарий от ZeroNight

Есть классы сетей, a,b,c.

192.168.1.0/24 и 192.168.2.0/24 - это сети класса C.

С маской сети 255.255.255.0. Маска определяет какая часть адреса является адресом сети, а какая - хоста.

И вот если сеть класса C с маской 24, т.е. 255.255.255.0, в которой может быть 254 адреса хоста, разрезать на подсети, т.е. выделить меньшие диапазоны адресов с маской, к примеру /25 (255.255.255.128) или /26 (255.255.255.192) или /27 (255.255.255.224), то это уже и будут подсети. В /25 126 адресов хостов, /26 - 62, /27 - 30, /28 - 14.

Вот это уже подсети.

kostik87 ★★★★★ ()
Ответ на: комментарий от kostik87

Есть классы сетей, a,b,c.

Понятие «класс» пропадает тогда, когда начинает применяться маска. Разве что по старинке, для понимания количества адресов на уровне подкорки. Не более того.

192.168.1.0/24 и 192.168.2.0/24

Это две подсети в сети 192.168.0.0/22 ;-)

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от kostik87

/24 - это сеть класса C по стандарту,

Нет. https://ru.wikipedia.org/wiki/Классовая_адресация

/24 ты можешь сделать в 10.0.0.0/8, но это не будет сеть класса С. Говорю же, понятие «класс» теряет смысл при использовании маски.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от veeryskier

попробовал его выключить и проверить - результат тот же (превышен интервал ...).

В Windows сейчас icmp echo закрыт по-умолчанию, кстати. Кажется...

AS ★★★★★ ()