форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Братцы помогайте - проблема с vtun и с маршрутизацией :("
Сообщение от Peter (??) on 24-Мрт-05, 23:18  (MSK)
Доброго всем вечера, признаюсь честно, в голове уже каша :( В чем суть проблемы, соединить две площадки (офисы) посредством защищенного соединения по частной сети, предоставленной провайдером, с таким условием что одна из площадок уже имеет выход в интернет через другого провайдера. В головном офисе стоит на данный момент сеть вида IP-public провайдера - FW with DMZ (inside interface 192.168.120.1)- 192.168.120/24 (внутренняя сеть, в которой стоит сервер куда собственно и надо дать доступ удаленному офису) и для данной сети по умолчания является гейт 192.168.120.1 На данный момент собрал такую модель  в голове, дабы съэмулировать работу удаленного офиса, такого типа: две машинки, обеспечивающие защищенное соединение (одна сервер - другая клиент, на борту каждой из машин - две сетевые карты, внешние интерфейсы соеденены кроссовером между собой) получается - 192.168.120.251 (inside VTUN server) - 192.168.12.2 (outside VTUN server) - 192.168.12.1 (outside VTUN client) - 10.10.5.1 (inside VTUN client) - 10.10.5.0/24 - (сеть удаленного офиса), поставил для VTUN сервера в rc.conf значение defaultrouter 192.168.12.1 и для VTUN клиента соотв. defaultrouter 192.168.12.2 ибо они смотрят внешними интервейсами друг на друга, позже они заменятся адресами выданными провайдером. Так вот, при поднятом VTUN при попытке пинговать сервер из сети 10.10.5.0/24 все выше описанное работает только при условии если на сервере выставить  дефаулт гетвей 192.168.120.251, т.е. адрес внутреннего интерфейса сервера VTUN :( а это не приемлемо, ибо изначально у сети 192.168.120.0/24 гетевейем является  192.168.120.1 и при таких настройках ничего не работает, т.е. машины из удаленной сети не видят сетку 192.168.120.0/24. Т.е. получается или-или. Посоветуйте как надо настроить маршрутизацию что бы сеть 10.10.5.0/24 видела сеть 192.168.120.0/24 и в тоже время и первая и вторая площадки (сети) могли польовать интернет предоставляемый другим провайдером через гейт 192.168.120.1. Может быть сеть 192.168.120.0/24 следует поделить пополам, только не очень представляю что и где должно быть прописано  :( Или же такая ситуация неразрешима по сути (т.е. я не с того конца завожу сеть)? P.S. В идеале видимо было бы лучше сделать защищенный канал прозрачным, не знаю может ли это сделать VTUN - пока освоил только его, не без помощи саратников по оружию, т.е. как бы просто условно говоря длинный прямой кабель соединяющий два офиса. Спасибо всем, принявшим участие в решении проблемы. Пётр.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
Сообщение от Archont on 25-Мрт-05, 08:10  (MSK)
В вашей конфигурации сети не понял ровным счетом ничего. На самом деле проблема решается довольно просто. Надо соединить две сети 192.168.1.0/24 и 192.168.2.0/24 Первая выходит в паблик через шлюз 192.168.1.254 с паблик адресом 195.195.195.195 и адресом шлюза 195.195.195.1 На шлюзе должно быть # ifconfig eth0 195.195.195.195 eth1 192.168.1.254 lo 127.0.0.1 tun0 inet addr:10.1.0.1  P-t-P:10.1.0.2 # route -n Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 10.1.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0 195.195.195.0     0.0.0.0         255.255.255.128 U     0      0        0 eth0 192.168.1.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1 192.168.2.0    10.1.0.2        255.255.255.0   UG    0      0        0 tun0 127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo 0.0.0.0         195.195.195.1     0.0.0.0         UG    0      0        0 eth0 На машинах в сети 192.168.1.0/24 должно быть что-то типа # route -n Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 192.168.1.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1 192.168.2.0    192.168.1.254 255.255.255.0   UG    0      0        0 eth1 127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo 0.0.0.0         192.168.1.254 0.0.0.0         UG    0      0        0 eth1 В сети 192.168.2.0/24 с внешним адресом 196.196.196.196 настраиваете все симметрично. Это работающая конфигурация, только через OpenVPN. Но конкретная реализация VPN в данном случае несущественна.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от elkipalki on 25-Мрт-05, 08:38  (MSK)
	правда каша :)) на фрях такое мастырил через vtun = хорошая штука, лёгкая, быстрая, надёжная. а что до того: где какая сетка - по барабану.. ты дольше постил сюда, чем разрулил бы конфиги: на каждом шлюзе и сервака и клиента, при падении одного узла автоматом поднимается альтернативная конфа.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "2 elkipalki"
	Сообщение от Peter (??) on 25-Мрт-05, 10:15  (MSK)
	>правда каша :)) >на фрях такое мастырил через vtun = хорошая штука, лёгкая, быстрая, надёжная. > >а что до того: где какая сетка - по барабану.. ты дольше >постил сюда, чем разрулил бы конфиги: -- Да это понятно, я же говорю в случае с одним гетевеем все понятно, т.е. у меня работает схема: {192.168.120.0/24 наша сеть} - {VPN тунель VTUN} - {удаленная сеть 10.10.5.0/24} - все работает без проблем, но это при условии если указать гейтвей для машин из 120-ой сети адрес внутреннего интерфейса VTUN сервера. Кароче говоря через и-нет я смогу настроить безопасное соединение :) Вот как быть с моей схемой? Как в том мультфильме, "- в кого угодно могу превратиться, только в себя обратно не могу :(" (c) Падал прошлогодний снег. P.S. Могу запостить сюда свои конфиги если нужно. Пётр.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Peter (??) on 25-Мрт-05, 10:08  (MSK)
	>В вашей конфигурации сети не понял ровным счетом ничего. >На самом деле проблема решается довольно просто. На самом деле не все так просто: поясню, смысл в том, есть уже сетка 192.168.120.0/24 она роутится через шлюз 192.168.120.1, так вот к ней необходимо присоединить еще одну сеть НО!! не через шлюз 192.168.120.1, т.е. наша машины из нашей сети 192.168.120.0/24 должны видеть сеть за пределами шлюза 192.168.120.1 и за пределами _другого_ шлюза значение которого я не могу определить/прописать т.е. на другом конце VPN тунеля. т.е. топология такая: {и-нет 1-ый провайдер} - FW - {наша сеть 192.168.120/24} - {VPN тунель через сеть 2-го провайдера} - {сеть удаленного офиса}, т.е. получается что машины в сети должны иметь 2 гетевейя, а это у меня не получается сделать :( Вот я и спрашиваю как можно реализовать данную топологию ? Кто и для кого будет шлюзом, что-бы машинки 120-ой сети могли ходить как в и-нет так и в сеть удаленного офиса ? И компы из сети удаленного офиса также могли пользовать и-нет первого провайдера. P.S. на работе ночевать неудобна :) Пётр.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Archont on 25-Мрт-05, 11:59  (MSK)
	>т.е. топология такая: > >{и-нет 1-ый провайдер} - FW - {наша сеть 192.168.120/24} - {VPN тунель >через сеть 2-го провайдера} - {сеть удаленного офиса}, т.е. получается Теперь немного понятнее, но именно немного. Опишите точно, как 192.168.120.0/24 подключается к обоим провайдерам, и как удаленный офис подключен ко 2-му провайдеру.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Peter (??) on 25-Мрт-05, 12:48  (MSK)
	сейчас все функционирует вот так: Public IP первого провайдера висит на внешнем интерфейсе FW --- на внутреннем интерфейсе FW висит айпишник 192.168.120.1 ---- наша сеть 192.168.120.0/24 Теперь - второй провайдер протянул нам канал через свою частную сеть, сейчас реально, нужно удаленную сеть присоединить к уже имеющейся т.е. 192.168.120.0/24. Туманно начинаю понимать, что нашу сеть надо разделить на две части и вторую часть через этот канал отдать удаленному офису, а затем правильно настроить маршрутизацию. На текущий момент я сделал так: {public IP первого провайдера = ouside if - FW - inside if =192.168.120.1} ------{ 192.168.120.0/24 c гейтом 192.168.120.1} --- { 192.168.120.251 = inside VTUN сервера -- 192.168.12.1 = outside VTUN сервера} --- {частная сеть второго провайдера} ---- {192.168.12.2 = outside VTUND client-a --- 10.5.5.1 = inside VTUN client-a} --- {сеть удаленного офиса 10.10.5.0/24 с гейтом 10.10.5.1}, то есть пинг идет в 120-ю сеть из 10.10.5.0/24, если на пингуемой машине настроить гейтвей 192.168.120.251, т.е. повернуть ее в сторону второго провайдера :( Отвечая на Ваш вопрос, могу сказать, что это и есть проблема не знаю как увязать 120-ю сеть с двумя провами одновременно. Т.е. насколько я понимаю необх. склеить две сетки и сделать из них одну. А удаленный офис использует канал второго провайдера только как транспорт и не более того, то есть у второго провайдера настроен в данный момент роутинг между точками А и Б, точка А находится на нашей стороне и имеет адрес 192.168.24.XXX - адрес ADSL модема, точка Б на стороне удаленного офиса и имеет адрес 192.168.48.XXX - также адрес ADSL модема. Соответственно моя задача поставить за этими модемами две машины на BSD, поднять на них тунель и соединить две сети между собой, дать возможность пользователям удаленного офиса пользовать ресурсы 120-ой сети и интернет _первого_ провайдера. В самом начале всей котовасии провайдер номер два обещал нам сделать так: типа у нас будут два конца Ethernet на одной и на другой стороне и мы просто на одном конце вставим в свич на стороне 120-ой сети а другой на стороне удаленного офиса в их свич и машины на стороне удаленного офиса просот будут частью сети 120-ой и будет нам ЩаСтье, а оно так и не наступило :( Уффф. ну не знаю как еще можно объяснить :( Если есть желание я бы на словах пообщался, в Асе или по телефону - я В Москве нахожусь, хотя это и не важно. С Уважением, Пётр.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Peter (??) on 25-Мрт-05, 13:05  (MSK)
	Даже наверное вернее было сделать так: Одна подсеть в голове 192.168.120.0/255.255.255.128 Вторая подсеть в удаленном офисе 192.168.120.128/255.255.255.128 И между ними настроить мост посредством VPN тунеля, реализованном на двух машинах BSD. Вот так наверное должно работать, только как это сделать ума не приложу. Пётр.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Archont on 25-Мрт-05, 13:58  (MSK)
	Если я вас понял правильно, 2-й провайдер не предоставляет паблик-интенет, и вас интересует выход в паблик для удал.оф. через головной офис и первого провайдера. Для реализации этого совсем необязательно "склеивать" разнесенные территириально сети в одну. Вам просто нужно на шлюзе в сеть первого провайдера указать дефолт-роут на шлюз провайдера, а на всех остальных хостах - дефолт-роут на 192.168.120.1 Кроме того, вам нужно на всех хостах 192.168.120.0 указать маршрут к сети удаленного офиса через 192.168.120.251,  а на нём самОм - через 192.168.12.1 В удаленном офисе еще проще, дефолт-роут - понятно (надеюсь понятно?). "Соединить" же сети вам врядли удастся, т.к. даже если одна будет 192.168.120.0/28, то вторую придется делать 192.168.128/28, т.е. они так или иначе останутся РАЗНЫМИ сетями.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Archont on 25-Мрт-05, 14:06  (MSK)
	>"Соединить" же сети вам врядли удастся, т.к. даже если одна будет 192.168.120.0/28, >то вторую придется делать 192.168.128/28, т.е. они так или иначе останутся >РАЗНЫМИ сетями. Виноват, ошибся. Читать следует соответственно 192.168.120.0/25 и 192.168.120.128/25. Но сути это не меняет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Peter (??) on 25-Мрт-05, 17:27  (MSK)
	>Если я вас понял правильно, 2-й провайдер не предоставляет паблик-интенет, и вас >интересует выход в паблик для удал.оф. через головной офис и первого >провайдера. Совершенно верно, но это вторично, в основном интересует доступ пользователей с удаленного офиса к ресурсам сети 192.168.120.0/24 >Для реализации этого совсем необязательно "склеивать" разнесенные территириально сети в одну. >Вам просто нужно на шлюзе в сеть первого провайдера указать дефолт-роут на шлюз провайдера, а на всех остальных хостах - дефолт-роут на 192.168.120.1 --- Можно тут поподробнее, в качестве FW в сеть первого провайдера стоит BSD c тремя сетевыми картами. > >Кроме того, вам нужно на всех хостах 192.168.120.0 указать маршрут к >сети удаленного офиса через 192.168.120.251, ----Это я указал, только это не помогает, ведь первым идет дефаулт гетвей 192.168.120.1, и обратно пакеты уходят на него, а не на 192.168.120.251 >а на нём самОм - через >192.168.12.1 >В удаленном офисе еще проще, дефолт-роут - понятно (надеюсь понятно?). > не очень понятно, сейчас стоит так 10.10.5.5 (адрес машины) для нее проставлен гейтвей 10.10.5.1. >"Соединить" же сети вам врядли удастся, т.к. даже если одна будет 192.168.120.0/28, >то вторую придется делать 192.168.128/28, т.е. они так или иначе останутся >РАЗНЫМИ сетями. Это ясно - но мне казалось если я делаю такую операцию, то я их "разделяю" - посудите сами: - на машине в 120-ой сети получается надо прописывать для одной и той же сети 2- гейтвея - ессно работает - первый. т.е. у нас получается два маршрута: допустим машина в 120-ой сети имеет ip address 192.168.120.20 и к ней прописываем два гейтвея, 192.168.120.1 и 192.168.120.251 - если я правильно Вапс понял, так вот срабатывает первый, второй - лесом :( Пётр.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Archont on 26-Мрт-05, 11:07  (MSK)
	>>Вам просто нужно на шлюзе в сеть первого провайдера указать дефолт-роут на шлюз провайдера, а на всех остальных хостах - дефолт-роут на 192.168.120.1 > >--- Можно тут поподробнее, в качестве FW в сеть первого провайдера стоит >BSD c тремя сетевыми картами. Из того, что вы писали раньше, этого не видно вовсе: "На текущий момент я сделал так: {public IP первого провайдера = ouside if - FW - inside if =192.168.120.1}" И зачем же на нем 3-и интерфейса, если не секрет? 3-й интерфейс реально нужен, или вы пытаетесь "упростить" настройки? >>Кроме того, вам нужно на всех хостах 192.168.120.0 указать маршрут к >сети удаленного офиса через 192.168.120.251, >----Это я указал, только это не помогает, ведь первым идет дефаулт гетвей >192.168.120.1, и обратно пакеты уходят на него, а не на 192.168.120.251 Это просто означает, что вы неправильно указали роут на удаленный офис. Посмотрите таблицу маршрутизации в моем примере конфигурации более внимательно. Если маршрут на сеть 192.168.150.0/24 идет через eth1, например, а дефолт указывает на eth0, то ответы на запросы из сети 192.168.150.0 никак не пойдут по дефолтному маршруту. >>а на нём самОм - через >>192.168.12.1 >>В удаленном офисе еще проще, дефолт-роут - понятно (надеюсь понятно?). >> >не очень понятно, сейчас стоит так 10.10.5.5 (адрес машины) для нее проставлен >гейтвей 10.10.5.1. Имелось ввиду, что для хоста с иннтерфейсами 192.168.120.251 и 192.168.12.1 маршрут к сети удаленного офиса должен идти через 192.168.12.1 А интерфейс 10.10.5.5 и т.д. вообще не нужно указывать искуственно, необходимые записи для них в таблице будут созданы при поднятии соответствующих интерфейсов. И к дефолт-роутам и прочим дополнительным роутам это не имеет никакого отношения. Драйвер tun/tap сам знает, что пакеты с соответствующего eth адресованные к соответствующему udp или tcp порту следует направлять именно через tun интерфейс, и они уйдут туда, куда надо. Надеюсь, после такого подробного комментария станет понятнее. Дайте же себе труд посмотреть пример таблицы маршрутизации, который я вам привел! >>"Соединить" же сети вам врядли удастся, т.к. даже если одна будет 192.168.120.0/28, >>то вторую придется делать 192.168.128/28, т.е. они так или иначе останутся >>РАЗНЫМИ сетями. > >Это ясно - но мне казалось если я делаю такую операцию, то >я их "разделяю" - посудите сами: - на машине в 120-ой >сети получается надо прописывать для одной и той же сети 2- >гейтвея - ессно работает - первый. >т.е. у нас получается два маршрута: допустим машина в 120-ой сети имеет >ip address 192.168.120.20 и к ней прописываем два гейтвея, 192.168.120.1 и >192.168.120.251 - если я правильно Вапс понял, так вот срабатывает первый, >второй - лесом :( Даже если у вас будет две подсети, на самом деле у вас не будет "одной и той же сети" с 2-мя гейтвеями. У вас будет 2-е сети два гейтвея. При условии, что вы верно описали сети и маски для них. >Пётр. Игорь.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Peter (??) on 26-Мрт-05, 15:13  (MSK)
	Хорошо, как я понял на роутере 120 -й сети, нужно принудительно добавить роутинг на сеть 10.10.5.0/24, что бы все пакеты адресованные этой сети шли через 120.251 ? - так ??! Пётр.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Peter (??) on 26-Мрт-05, 15:33  (MSK)
	Я внимательно изучил Ваши конфиги, тот пример что преведен Вами - работает без проблем, но дело в том, я еще раз это подчеркну, что у меня у 120-ой сети получается два гетевея один 120.1 и второй 120.251 соответственно первый смотрит в одну сеть, а второй в другую ( сеть удаленного офиса), так вот я и хочу понять что я должен добавить в таблице роутинга и где, что бы пакеты адресованые 10-ой сети шли через 120.251, а не через 120.1, вот. Пётр.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Archont on 26-Мрт-05, 16:24  (MSK)
	>Я внимательно изучил Ваши конфиги, тот пример что преведен Вами - работает >без проблем, но дело в том, я еще раз это подчеркну, >что у меня у 120-ой сети получается два гетевея один 120.1 >и второй 120.251 соответственно первый смотрит в одну сеть, а второй >в другую ( сеть удаленного офиса), так вот я и хочу >понять что я должен добавить в таблице роутинга и где, что >бы пакеты адресованые 10-ой сети шли через 120.251, а не через >120.1, вот. > >Пётр. На шлюзе к первому провайдеру ставите дефолт-роут на шлюз провайдера, роут на 120-ю сеть - через .120.1 (только сейчас дошло, зачем еще один интерфейс), роут на 10-ю сеть через .120.251 (принудительно? если хотите, можно и так сказать). В 120-й сети на остальных хостах дефолт на шлюз, т.е. на .120.1, а он сам разберётся, что куда отправлять.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Peter (??) on 26-Мрт-05, 16:34  (MSK)
	(только сейчас дошло, зачем еще один интерфейс) --- Представляете сколько я клавиш успел перед эти нажать в своих постах :)) Я Вам благодарен, что не оставляете мой тред без внимания. Вы мне не подскажите каким образом добавляется роутинг, понимаю что командой route - ссылкой на конкретные примеры не поделитесь ? и еще пытаюсь посмотреть таблицу роутинга route -n (как в Вашем примере), но ничего не отображается, говорит мало параметров, - у меня Free BSD 5.3 стоит на обоих машинках. Пётр.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Archont on 27-Мрт-05, 09:32  (MSK)
	>(только сейчас дошло, зачем еще один интерфейс) >--- Представляете сколько я клавиш успел перед эти нажать в своих постах >:)) > >Я Вам благодарен, что не оставляете мой тред без внимания. Вы мне >не подскажите каким образом добавляется роутинг, понимаю что командой route - >ссылкой на конкретные примеры не поделитесь ? и еще пытаюсь посмотреть >таблицу роутинга route -n (как в Вашем примере), но ничего не >отображается, говорит мало параметров, - у меня Free BSD 5.3 стоит >на обоих машинках. > >Пётр. Я фри не знаю. Под линукс так: route add -net 10.5.5.0 netmask 255.255.255.0 gw 192.168.120.1 добавит роут к сети 10.5.5.0 через гейт 192.168.120.1. Почитайте man route для фри.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Братцы помогайте - проблема с vtun и с маршрутизацией :("
	Сообщение от Peter (??) on 27-Мрт-05, 17:09  (MSK)
	>Я фри не знаю. >Под линукс так: >route add -net 10.5.5.0 netmask 255.255.255.0 gw 192.168.120.1 >добавит роут к сети 10.5.5.0 через гейт 192.168.120.1. > >Почитайте man route для фри. - читал man route - много думал ;) Сделал через type ether; все работает - пигуется сеть 120-я, только не хочет почему то ходить ipx? в 120-ой сети стоит сервер Новелёвый сервал под NW 5.1 дык из 10-ой сетки его не видно :( Что-то еще надо указывать в конфигах для поддержки протокола ipx ? Netbios кстати также не ходит :( Пётр.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.