PDA

Bekijk de volledige versie : Вопрос про route


Antosha
28-04-2008, 13:42
Приветствую!

Мне необходимо сделать маршрутизацию внутри сети (выбор IP Config - Route > LAN) вроде даёт такую возможность.

1. роутер смотрит WAN портом в сторону провайдера (роутинги на бесплатные адреса настроены и пашут)
2. Со стороны LAN портов есть 2 шлюза, смотрят в разные сети (разные адреса в сети).

Вопрос:
как сделать так, что бы основным шлюзом был роутер, который внутри сети + настройка роутинга на второй шлюз в сети (определённые адреса)

Помогите, пожалуйста :o
Spacesoft
28-04-2008, 15:47
Что за шлюзы со стороны LAN портов?
Можно ли этим двум 'шлюзам' присвоить адреса скажем 192.168.1.252 , 192.168.1.253 ?
Antosha
28-04-2008, 17:05
192.168.1.1 - ADSL модем
192.168.1.2 - Ethernet Провайдер
192.168.1.3 - Ethernet Провайдер 2

P.S.
я настроил, с роутера всё пашет/пингуется, а вот с компа, ничего :(

Статически прописал маршруты:
route del -net 0.0.0.0 netmask 0.0.0.0 dev vlan1
route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.1.2

Всё равно через этот роутер ничего не идёт :(

работают только (WAN порт):
route add -net 77.91.231.151 netmask 255.255.255.255 gw 10.123.0.254
route add -net 88.212.196.77 netmask 255.255.255.255 gw 10.123.0.254
route add -net 89.111.182.137 netmask 255.255.255.255 gw 10.123.0.254
route add -net 88.212.196.78 netmask 255.255.255.255 gw 10.123.0.254
route add -net 89.108.91.56 netmask 255.255.255.255 gw 10.123.0.254
Antosha
29-04-2008, 08:04
Чёт фигня какая-то.
поработал он ночь как я настроил, теперь всё пашет и пингуется.
я в непонятках :confused:
Antosha
01-05-2008, 15:00
Начал разбираться по полной.

Похоже роутер в сетевых маршрутах (LAN) делает только перенаправление, а как его заставить быть шлюзом (как наподобие WAN, т.е. что бы трафик шёл через него, а не перебрасывался)?
Spacesoft
01-05-2008, 16:35
Проще эти "ещё два шлюза" соединить ихними LAN-портами с LAN портами асуса, а маршруты прописать на компе (компах).
Antosha
01-05-2008, 17:51
Проще эти "ещё два шлюза" соединить ихними LAN-портами с LAN портами асуса, а маршруты прописать на компе (компах).

Ну когда компы разнесены в четырёх домах, каждый из которых в 50-150 метрах от моего :)

И с разных концов, так называемой сети, есть определённый провайдер, надо собрать это всё в кучу, а прописывать на каждом компе роутинг не выход.
Поэтому статический роутинг желательно сделать на одном устройстве.

Да и вообще, не зря же такая "возможность" сделана.
Spacesoft
01-05-2008, 18:25
Ну когда компы разнесены в четырёх домах, каждый из которых в 50-150 метрах от моего :)

И с разных концов, так называемой сети, есть определённый провайдер, надо собрать это всё в кучу, а прописывать на каждом компе роутинг не выход.
Поэтому статический роутинг желательно сделать на одном устройстве.

Да и вообще, не зря же такая "возможность" сделана.Что-то вообще ничего не понимаю, сейчас разве всё не в "одной куче" ?
Можно Lan порт асуса соединить с Lan портом "adsl модема", а lan порт этого модема с Lan портом "Ethernet Провайдер 2" ибо 4 LAN порта суть обычный свич.
Делать на асусе ещё 2 WAN порта не вижу необходимости при наличии уже готовых шлюзов.
Antosha
01-05-2008, 19:53
Что-то вообще ничего не понимаю, сейчас разве всё не в "одной куче" ?
Можно Lan порт асуса соединить с Lan портом "adsl модема", а lan порт этого модема с Lan портом "Ethernet Провайдер 2" ибо 4 LAN порта суть обычный свич.
Делать на асусе ещё 2 WAN порта не вижу необходимости при наличии уже готовых шлюзов.

Шлюзы расположены в LAN, только в разных концах сети.
К роутеру подключена эта сеть только через один LAN порт, а WAN порт уходит на другого провайдера, у которого настроены маршрутами бесплатные ресурсы :)
Spacesoft
01-05-2008, 20:20
Осталось написать батник, который подсети раскидает по 3 шлюзам.
Antosha
02-05-2008, 09:41
Моему роутеру разрешено всё с других роутеров, поэтому необходимо что бы все ходили через него.
Так же мой роутер играет роль резервного канала (через другого опреатора) до роутера D-Link

P.S.
я бы не заморачивался, если бы не ограничения идиотстких D-Link по количеству правил маршрутизации и разрешений.

Вот как организована сеть
изменить топологию нельзя
Spacesoft
02-05-2008, 12:26
Из схемы к сожалению мало чего понятно.

Моему роутеру разрешено всё с других роутеров,
поэтому необходимо что бы все ходили через него.
Так же мой роутер играет роль резервного канала (через другого опреатора) до роутера D-LinkРоутер смотрит Wan-ом в интернет, компы, подключенные к LAN и по Wi-Fi сейчас по сути воткнуты в один из свичей, так как можно роутеру что-то разрешить - он на данный момент просто шлюз в инет и некую сетку.
Spacesoft
02-05-2008, 12:57
В общем если "роутеру всё разрешено" можно попробовать превратить адреса компов в адрес роутера.

iptables -t nat -s IP_компа -d подсеть_назначения -j MASQUERADE
или
iptables -t nat -s IP_компа -d подсеть_назначения -j SNAT --to-source IP_роутера

Соответственно подсеть назначения должна быть добавлена в маршруты (через какой шлюз ходить)
Antosha
02-05-2008, 13:52
Из схемы к сожалению мало чего понятно.
Роутер смотрит Wan-ом в интернет, компы, подключенные к LAN и по Wi-Fi сейчас по сути воткнуты в один из свичей, так как можно роутеру что-то разрешить - он на данный момент просто шлюз в инет и некую сетку.

Нет, роутер смотрин WAN в другого провайдера, инет низя оттуда (роутингом разрешены только бесплатные диапазоны).
Нужно чтобы он был роутером в LAN, т.е. весь трафик (инет и другие сети прописаны роутингом), кроме LAN адресов должен проходить через него.



В общем если "роутеру всё разрешено" можно попробовать превратить адреса компов в адрес роутера.

iptables -t nat -s IP_компа -d подсеть_назначения -j MASQUERADE
или
iptables -t nat -s IP_компа -d подсеть_назначения -j SNAT --to-source IP_роутера

Соответственно подсеть назначения должна быть добавлена в маршруты (через какой шлюз ходить)

Ну да, для других сетей (за D-Link'ами), кроме своей он должен выступать роутером :)
AndreyPopov
02-05-2008, 16:16
Шлюзы расположены в LAN, только в разных концах сети.
К роутеру подключена эта сеть только через один LAN порт, а WAN порт уходит на другого провайдера, у которого настроены маршрутами бесплатные ресурсы :)

если у вас прошивка от Олега, то изучите внимательно вот этот пункт в инструкции по настройке:
http://wl500g.info/showpost.php?p=29772&postcount=6
Antosha
02-05-2008, 17:11
если у вас прошивка от Олега, то изучите внимательно вот этот пункт в инструкции по настройке:
http://wl500g.info/showpost.php?p=29772&postcount=6

Вы предлагаете физически изменить LAN на WAN?

Если да, то кто оплатит новый канал связи?
Spacesoft
02-05-2008, 17:47
Шлюз, который с инетом - вписать как Gateway, остальные подсети раскидать посредством route и iptables (как писал выше). Всё должно на одном интерфейсе разрулиться, на vlan-ы делить тут излишне.
Antosha
02-05-2008, 20:20
Шлюз, который с инетом - вписать как Gateway, остальные подсети раскидать посредством route и iptables (как писал выше). Всё должно на одном интерфейсе разрулиться, на vlan-ы делить тут излишне.

Это самое и сделано, только инет раздаётся внутри LAN, роутингом прописан адрес шлюза как основной.
AndreyPopov
02-05-2008, 20:29
Вы предлагаете физически изменить LAN на WAN?

Если да, то кто оплатит новый канал связи?

при чем тут новый канал связи?

вы хотите, чтобы у вас:

"девочки" шли направо
"мальчики" шли налево
"инвалиды" прямо

внутри ОДНОЙ подсети маршрутизация не работает - маршрутизация работает между РАЗНЫМИ подсетями.
тем более есть НЕМАРШРУТИЗИРУЕМЫЕ адреса из приватных диапазонов, т.е. дальше одной подсети (hop'а) эти адреса НЕДЕЙСТВИТЕЛЬНЫ.

и я вам предлагаю сделать второй (или третий) виртуальный WAN.

тогда вам будет легче раскидать маршруты. считайте ваш D-link роутер как второго провайдера.
Spacesoft
02-05-2008, 21:02
внутри ОДНОЙ подсети маршрутизация не работаетВполне можно сделать и в одной подсети. Как - писал выше (route+iptables SNAT)...
AndreyPopov
02-05-2008, 21:10
Вполне можно сделать и в одной подсети. Как - писал выше (route+iptables SNAT)...


можно, но тогда на КАЖДОМ клиенте надо вручную прописывать таблицу маршрутизации.
Antosha
02-05-2008, 21:20
Сейчас покажу по-другому :)

Сейчас вот так всё работает (первая картинка (http://wl500g.info/attachment.php?attachmentid=2945&stc=1&d=1209759418)):
каждый юзер прописывает роутинг до определённой подсети через свой шлюз D-Link


А надо вот так (вторая картинка (http://wl500g.info/attachment.php?attachmentid=2946&stc=1&d=1209759425)):
что бы юзеры шли только через Asus, указав его единственным шлюзом и DNS в сети, на котором будут прописаны все необходимые маршруты (получается что адреса юзеров будут заменяться на адрес роутера)

P.S.
Делается для прозрачности соединения, в случае повреждения связи до D-Link
Spacesoft
02-05-2008, 21:25
можно, но тогда на КАЖДОМ клиенте надо вручную прописывать таблицу маршрутизации.
Зачем? Шлюза (асуса) достаточно, другие клиенты из этой подсети нас не интересуют - у них свои шлюзы.
Antosha
02-05-2008, 21:27
можно, но тогда на КАЖДОМ клиенте надо вручную прописывать таблицу маршрутизации.

Вот от этого бреда мне и надо избавиться :)
Что бы шлюз для них был только один - мой роутер.
Spacesoft
02-05-2008, 21:53
Как-то так:

route del default
route del default
route add default gw 192.168.1.2 dev br0

route add 77.91.231.151 gw 10.123.0.254 dev vlan1
route add 88.212.196.77 gw 10.123.0.254 dev vlan1
route add 89.111.182.137 gw 10.123.0.254 dev vlan1
route add 88.212.196.78 gw 10.123.0.254 dev vlan1
route add 89.108.91.56 gw 10.123.0.254 dev vlan1

route add -net 172.*** netmask 255.255.*.* gw 192.168.1.2
route add -net 10.*** netmask 255.255.*.* gw 192.168.1.3

iptables -t nat -I POSTROUTING -s 192.168.1.10 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.11 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.12 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.13 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.14 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.15 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.16 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.17 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.18 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.19 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.20 -j MASQUERADE
Вариант:

iptables -t nat -I POSTROUTING -s 192.168.1.10 -j SNAT --to-source 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.11 -j SNAT --to-source 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.12 -j SNAT --to-source 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.13 -j SNAT --to-source 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.14 -j SNAT --to-source 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.15 -j SNAT --to-source 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.16 -j SNAT --to-source 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.17 -j SNAT --to-source 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.18 -j SNAT --to-source 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.19 -j SNAT --to-source 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.20 -j SNAT --to-source 192.168.1.5
Antosha
03-05-2008, 12:30
Спасибо за помощь, после ремонта попробую :)
Antosha
19-06-2008, 19:33
Такие правила проверить не удалось, но есть теперь другая дума.
Как сделать так, что бы дать в лан доступ ко всему, что может получить роутер?

При поднятии VPN делаю специфический маршрут, роутер его может спокойно пинговать, лазить по ftp, а вот юзеры из LAN не могут получить доступ.

Какое, примерно, правило нужно добавить в iptables что бы дать доступ до этого адреса или ко всему что может получить роутер?