LINUX.ORG.RU
ФорумAdmin

Роутинг между двумя локалками без NAT?

 ,


0

1

Задача вроде простая как дверь, но что-то туплю.

Есть сервер с двумя интерфейсами, каждый из которых смотрит в свою локалку, нужно сделать доступ хостов каждой локалки к их коллегам в другой подсети, не пропысывая на хостах никаких новых маршрутов.

Сервер является шлюзом по-умолчанию для всех хостов обеих сетей (в каждой под соответствующим адресом 192.168.x.1). Читаю форумы и создалось впечатление, что достаточно включить net.ipv4.ip_forward, создать два FORWARD-правила в iptables и все должно магически запинговаься, но нифига.

Пока решил вопрос POSTROUTING-правилами, но не покидает ощущение, что можно как-то иначе.


Вроде бы iptables вообще не при чем. Главное чтобы шлюз знал маршрут в ту другую сеть. А раз он сам в ней, то и так должно работать.

aleksey808
()

В 8 и 9 строчках ошибка.

t184256 ★★★★★
()
Ответ на: комментарий от TomBOY

192.168.x.x - немаршрутизируемая сеть

То что магистральные маршрутизаторы не работают с частными диапазонами не означает ещё что другие с ними работать не могут. Обычная сеть - маршрутизируется как и все остальные.

Mike_RM
()
Ответ на: комментарий от Mike_RM

Сервер является шлюзом по-умолчанию

Уже это показатель того, что там днище сетка из говна и палок. Х.з. что там не может работать с частными диапазонами

TomBOY ★★
()

достаточно включить net.ipv4.ip_forward

Да

создать два FORWARD-правила в iptables

А вот что у вас в правилах мы не знаем. Выше написали показывайте выхлопы + ip a если нет ifconfig

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от TomBOY

И? Из чего вывод что «немаршрутизируемая сеть» ? Именно так «немаршрутизируемая сеть». Вполне себе «маршрутизируемая» как и любая другая. Вот у меня они (серые сети) спокойно «маршрутиризируются» на тысячи километров. ЧЯДНТ? Или по другому угадайте почему оно работает?
Или по другому, вот обращаетесь к прову представленному как в ДС2 так и во Владике, и говорите у меня в ДС2 есть сети 192.168.[1-3].0/24 а во Владике 192.168.[4-10].0/24 мне их надо обьединить. Второй клиент обратиться точно с такой же просьбой (те же самые сети). И все будет работать, как у вас так и у клиента2, и пересекаться эти сети между вами и клиентом2 не будут. Так же угадайте почему?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

До кучи традиционное. А не виндовые ли машинки? Они своими fw и другими антивирями блокировать могут(и будут в базовой настройке).

anc ★★★★★
()
Ответ на: комментарий от TomBOY

Почему так сразу? Этот сервер еще и шлюз в инет по совместительству, просто к сабжу это отношения не имеет.

quwy
() автор топика
Ответ на: комментарий от Mike_RM

192.168.100.0/24 dev eth0 proto kernel scope link src 192.168.100.1
192.168.100.0/24 dev eth0 proto kernel scope link src 192.168.100.1 metric 100
192.168.101.0/24 dev wlan0 proto kernel scope link src 192.168.101.1

0: from all lookup local
32766: from all lookup main
32767: from all lookup default

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.100.1 netmask 255.255.255.0 broadcast 192.168.100.255
inet6 fe80::42:2ff:fef0:1387 prefixlen 64 scopeid 0x20<link>
ether 02:42:02:f0:13:87 txqueuelen 1000 (Ethernet)
RX packets 3173814 bytes 3774308046 (3.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2433373 bytes 1136985015 (1.1 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 37

wlan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.101.1 netmask 255.255.255.0 broadcast 192.168.101.255
ether 0c:8c:24:1e:44:1d txqueuelen 1000 (Ethernet)
RX packets 1496077 bytes 139141404 (139.1 MB)
RX errors 0 dropped 30034 overruns 0 frame 0
TX packets 2577502 bytes 3850387800 (3.8 GB)
TX errors 0 dropped 8 overruns 0 carrier 0 collisions 0

*filter
:INPUT ACCEPT [136186:16079709]
:FORWARD ACCEPT [943593:1251548548]
:OUTPUT ACCEPT [112502:18137323]
-A FORWARD -i eth0 -o wlan0 -j ACCEPT
-A FORWARD -i wlan0 -o eth0 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [80930:5665327]
:INPUT ACCEPT [17242:1482469]
:OUTPUT ACCEPT [2239:220138]
:POSTROUTING ACCEPT [2:89]
-A POSTROUTING -d 192.168.100.0/24 -j SNAT --to-source 192.168.100.1
-A POSTROUTING -d 192.168.101.0/24 -j SNAT --to-source 192.168.101.1
COMMIT

quwy
() автор топика
Ответ на: комментарий от quwy

Даже если исключить тот факт что вы показали не полный ip ro и неясный момент с дублированием записей 192.168.100.0/24 на eth0. Вроде все верно.
Смотрите tcpdump на интерфейсах.
И повторю: Роутинг между двумя локалками без NAT? (комментарий)

anc ★★★★★
()
Ответ на: комментарий от quwy

Этот сервер еще и шлюз в инет по совместительству

Тебя просили показать полный выхлоп, а не вот эту хрень. Где интерфейс который смотрит в интернет?

no-such-file ★★★★★
()
Ответ на: комментарий от quwy

Для работы гонять из eth0 в wlan0 и обратно справится дешманский роутер за 1000 руб.
А делать так всё равно, что заботливо минировать сеть, т.к. сервер становится точкой отказа со множеством точек, т.к. работая над одной ты заставляешь остальные функции ждать, когда всё починится.

TomBOY ★★
()
Ответ на: комментарий от anc

У многих по домам стоят роутеры, которые размечены на частную адресацию внутри дома и на стороне прова, а не подключены в интернет.
А что в тех роутерах?
Та-дам! NAT, который в двух строчках нам продемонстрировал топик стартер.

-A POSTROUTING -d 192.168.100.0/24 -j SNAT --to-source 192.168.100.1
-A POSTROUTING -d 192.168.101.0/24 -j SNAT --to-source 192.168.101.1

TomBOY ★★
()
Ответ на: комментарий от TomBOY

Это одноплатник размером как спичечный коробок с двумя езернетами и одним вайфаем на борту, чем не роутер? Зато мозгов дофига и полноценный дистр с апт-гетом.

quwy
() автор топика
Ответ на: комментарий от no-such-file

Он был временно отключен, чтобы не мешался.

quwy
() автор топика
Ответ на: комментарий от quwy

Отключите SNAT. Запустите ping с устройства из одной сети в другую. На роутере сделайте поочерёдно:

tcpdump -p icmp -i eth0
tcpdump -p icmp -i wlan0
Покажите результаты tcpdump.

Mike_RM
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.