Page 2 of 6 FirstFirst 1234 ... LastLast
Results 16 to 30 of 85

Thread: Объединить два wl500gP в одной городской сетке

  1. 18-06-2007, 08:15 #16
    Mirage-net
    Mirage-net is offline Senior Member
    Join Date
    Aug 2006
    Posts
    221
    Quote Originally Posted by tchaynik View Post
    Проблема в следующем:
    Есть городская сеть, к которой подключены два wl500gP
    Первый: MAN - 10.x.x.2 MASK 255.255.255.0 GW 10.x.x.1 LAN 192.168.1.*
    Второй: MAN - 10.x.x.3 MASK 255.255.255.0 GW 10.x.x.1 LAN 192.168.2.*
    WAN у обоих это PPTP
    Вапрос в том чтобы компы из лана первого видели компы в лане второго и наоборот. (если удасца чтоб видили в сетевом окружении - воще шеколадно будет)
    Все адреса - статичные
    например поднять на них VPN между собой ...
    Reply With Quote Reply With Quote
  2. 18-06-2007, 15:06 #17
    tchaynik
    tchaynik is offline Senior Member
    Send a message via ICQ to tchaynik
    Join Date
    Oct 2006
    Posts
    117
    Quote Originally Posted by Mirage-net View Post
    например поднять на них VPN между собой ...
    А просто маршрутами никак не разрулить ??
    Ведь оба роутера для своих сетей - шлюзы по-умолчанию.
    И сетки не пересекаются
    Reply With Quote Reply With Quote
  3. 07-08-2007, 02:45 #18
    DeathMoroz
    DeathMoroz is offline Junior Member
    Join Date
    Aug 2007
    Posts
    13
    Quote Originally Posted by Mirage-net View Post
    например поднять на них VPN между собой ...
    как это сделать? что из софта должно быть на роутерах?
    Reply With Quote Reply With Quote
  4. 07-08-2007, 04:53 #19
    unit
    unit is offline Junior Member
    Join Date
    Mar 2007
    Posts
    20
    OpenVPN
    Reply With Quote Reply With Quote
  5. 03-09-2007, 11:20 #20
    tchaynik
    tchaynik is offline Senior Member
    Send a message via ICQ to tchaynik
    Join Date
    Oct 2006
    Posts
    117

    помогите.

    Капаю по данной теме и все безтолку.
    Конкретизирую что есть
    wl1:
    WAN - pptp,
    man - 10.2.203.38 mask 255.255.255.0 gw 10.2.203.1
    lan - 192.168.0.1 mask 255.255.255.0
    добавил в нем следующий маршрут:
    Code:
     route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.2.203.44
    wl2:
    WAN - pptp,
    man - 10.2.203.44 mask 255.255.255.0 gw 10.2.203.1
    lan - 192.168.2.1 mask 255.255.255.0
    добавил в нем следующий маршрут:
    Code:
    route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.2.203.38
    С первого начал пинговаца второй по внутреннему адресу
    ([admin@wl1 root] ping 192.168.2.1 работает).
    Со второго соотведственно начял пинговаца первый.
    ([admin@wl2 root] ping 192.168.0.1 работает).
    Но вот компы в сетке не пингуются.
    Проверяю пингос со второго роутера комп из первой сетки
    ([admin@wl2 root] ping 192.168.0.2 Не работает).
    Понимаю что дето нужно в iptables чегото прописать, но что - я ненаю

    Подскажите плз.
    Reply With Quote Reply With Quote
  6. 04-09-2007, 03:14 #21
    Igrsan
    Igrsan is offline Registered User
    Join Date
    Sep 2007
    Posts
    4
    Или хотя бы примерную ссылку, где это описывается.
    Reply With Quote Reply With Quote
  7. 04-09-2007, 07:40 #22
    DeathMoroz
    DeathMoroz is offline Junior Member
    Join Date
    Aug 2007
    Posts
    13
    может надо фаервол подкрутить?
    Reply With Quote Reply With Quote
  8. 04-09-2007, 08:32 #23
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Quote Originally Posted by tchaynik View Post
    Проверяю пингос со второго роутера комп из первой сетки
    ([admin@wl2 root] ping 192.168.0.2 Не работает).
    Понимаю что дето нужно в iptables чегото прописать, но что - я ненаю
    А на самих компах локалок маршруты прописаны?
    Т.е. для компов сети 192.168.0.хх необходимо выполнить что-то типа
    route add -P 192.168.2.0 255.255.255.0 192.168.0.1
    а для компов сети 192.168.2.хх -
    route add -P 192.168.0.0 255.255.255.0 192.168.2.1

    Иначе ни пинги не будут до них доходить (вернее - приходить ответы на них) ни все остальное...
    Reply With Quote Reply With Quote
  9. 04-09-2007, 15:28 #24
    tchaynik
    tchaynik is offline Senior Member
    Send a message via ICQ to tchaynik
    Join Date
    Oct 2006
    Posts
    117
    Quote Originally Posted by Reyter View Post
    А на самих компах локалок маршруты прописаны?
    Т.е. для компов сети 192.168.0.хх необходимо выполнить что-то типа
    route add -P 192.168.2.0 255.255.255.0 192.168.0.1
    а для компов сети 192.168.2.хх -
    route add -P 192.168.0.0 255.255.255.0 192.168.2.1

    Иначе ни пинги не будут до них доходить (вернее - приходить ответы на них) ни все остальное...
    На всех компах шлюз по-умолчянию - соотведствующий роутер.
    Комп отправляет все пакеты, которые не для его локальной сети на роутер, а вот роутер разбирается что с ним сделать(переслать или замаскарадить) и куда далее зашуровать.

    Стопудова нуна подкручивать фаервол, я это нюхом чую, но как, в этом то и вапрос.

    Возможно нужно просто разрешить пакеты, вазможно маскарадинг
    но нито не другое я незнаю как сделать. Чяйник я в iptables .... ((
    Reply With Quote Reply With Quote
  10. 04-09-2007, 16:14 #25
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Quote Originally Posted by tchaynik View Post
    Стопудова нуна подкручивать фаервол, я это нюхом чую, но как, в этом то и вапрос.

    Возможно нужно просто разрешить пакеты, вазможно маскарадинг
    но нито не другое я незнаю как сделать. Чяйник я в iptables .... ((
    Да, это я не подумамши сказал
    И нужно не разрешать пакеты и не маскарадингом заниматься, а просто все пакеты с адресом назначения нужной сетки роутить, а не пропускать через NAT.
    Видимо стОит обратиться за советом к Mam(O)n, он на Iptables собаку съел.
    Reply With Quote Reply With Quote
  11. 05-09-2007, 11:07 #26
    tchaynik
    tchaynik is offline Senior Member
    Send a message via ICQ to tchaynik
    Join Date
    Oct 2006
    Posts
    117
    Quote Originally Posted by Reyter View Post
    Видимо стОит обратиться за советом к Mam(O)n, он на Iptables собаку съел.
    Попросил его в личке помочь, подождем реакции
    Reply With Quote Reply With Quote
  12. 05-09-2007, 11:50 #27
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Quote Originally Posted by tchaynik View Post
    Попросил его в личке помочь, подождем реакции
    Результаты (ежели все получится) желательно запостить сюда. Смешанный режим NAT+роутинг очень даже интересен...
    Reply With Quote Reply With Quote
  13. 05-09-2007, 15:59 #28
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Ну с собакой вы конечно загнули, но попробовать помочь могу.

    Я думаю у всех выставлен пункт Internet Firewall => WAN & LAN Filter => Packets(WAN to LAN) not specified will be: в положении DROP? Вот тут то и режутся пакеты при входящей маршрутизации. Этот пункт мы трогать небудем а просто попробуем прописать в iptables несколько правил:

    1. Для роутера с ip 192.168.0.1
      Code:
      # Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.0.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.0.1 -j DROP
# Правила нужно прописывать именно в этой последовательности
    2. Для роутера с ip 192.168.2.1
      Code:
      # Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.2.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.2.1 -j DROP
# Правила нужно прописывать именно в этой последовательности

    Конечно для лучшей производительности нужно в конец таблицы правила писать, но это мелочи оптимизации.

    Еще беда в том что сети за роутером получаются незащищенными из вне. То есть любой прописав по аналогии маршрутизацию попадет во внутреннюю сеть. Лучшее решение здесь VPN. Хотя производительности будет намного меньше.

    Эти измышления чисто теоретические, в практике не уверен, но по идее должно помочь.
    Reply With Quote Reply With Quote
  14. 06-09-2007, 10:23 #29
    tchaynik
    tchaynik is offline Senior Member
    Send a message via ICQ to tchaynik
    Join Date
    Oct 2006
    Posts
    117
    Quote Originally Posted by Mam(O)n View Post
    Ну с собакой вы конечно загнули, но попробовать помочь могу.

    Я думаю у всех выставлен пункт Internet Firewall => WAN & LAN Filter => Packets(WAN to LAN) not specified will be: в положении DROP? Вот тут то и режутся пакеты при входящей маршрутизации. Этот пункт мы трогать небудем а просто попробуем прописать в iptables несколько правил:

    1. Для роутера с ip 192.168.0.1
      Code:
      # Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.0.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.0.1 -j DROP
# Правила нужно прописывать именно в этой последовательности
    2. Для роутера с ip 192.168.2.1
      Code:
      # Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.2.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.2.1 -j DROP
# Правила нужно прописывать именно в этой последовательности

    Конечно для лучшей производительности нужно в конец таблицы правила писать, но это мелочи оптимизации.

    Еще беда в том что сети за роутером получаются незащищенными из вне. То есть любой прописав по аналогии маршрутизацию попадет во внутреннюю сеть. Лучшее решение здесь VPN. Хотя производительности будет намного меньше.

    Эти измышления чисто теоретические, в практике не уверен, но по идее должно помочь.
    Дело в том, что в сетке, которая снаружи, присудствует защита по макам, и если ктото се поменяю мак или ip то его тутже вырубают из сети на маршрутезаторе. Так что проблемы в том, что ктота поставит се такой же мак как на одном из роутеров, просто нету.

    Пока не проверил, но всеравно пасибо за хелп.
    Reply With Quote Reply With Quote
  15. 06-09-2007, 11:03 #30
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Попытался разобраться в пределах своих чайниковых познаний в этих правилах. Насколько я понял, то правило, которое у нас "# Разрешаем проходящие пакеты..." - форвардит(роутит) на интерфейс br0 (LAN) пакеты, пришедшие на интерфейс vlan1 (WAN) с адресов заданной сети и с заданного мак-адреса. А как быть с исходящими пакетами из LAN в WAN? Разве для этого не нужно создавать правило типа:
    Code:
    iptables -I FORWARD -i br0 -o vlan1 -d 192.168.2.0/24 -j ACCEPT
    ?
    Reply With Quote Reply With Quote
Page 2 of 6 FirstFirst 1234 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. ПК - WL500gP - ASDL_ROUTER, без NAT
    By Silkmann in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 5
    Last Post: 20-05-2007, 10:37

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules