PDA

Bekijk de volledige versie : Объединить два wl500gP в одной городской сетке



XpoHuk
25-01-2007, 13:00
Вот схемка какая есть


192.168.1.2
PC------------>| ip 10.0.15.34
192.168.1.2 | --> Роутер #1 Asus WL500G P --------------> Интернет
PC------------>|
---------------------------------------------------

192.168.1.2
PC------------>| ip 10.0.15.75
192.168.1.2 | --> Роутер #2 Asus WL500G P --------------> Интернет
PC------------>|


А хочется



192.168.1.2
PC------------>| ip 10.0.15.34
192.168.1.3 | --> Роутер #1 Asus WL500G P --------------> Интернет
PC------------>|
|
192.168.1.4 |
PC------------>| ip 10.0.15.75
192.168.1.5 | --> Роутер #2 Asus WL500G P --------------> Интернет
PC------------>|


Тоесть есть две подсети за роутерами, хочется объединить две сети в одну.
Вопрос: как это сделать?
Заранее спасибо! :)

Dmitry
26-01-2007, 16:07
1) На АСУСах выключаем ДХЦП
2) На компах прописываем статику (в одной квартире указываем шлюз 192.168.1.1, а в другой 192.168.1.2)
3) Соединяем кабелем ЛАН-порты на АСУСах



|------------------------------|
192.168.1.33 | |
PC------->LAN1| 192.168.1.1 | ip 10.0.15.34
192.168.1.34 | Роутер #1 Asus WL500G P |WAN-> Интернет
PC------->LAN2| |
| |
LAN3| |
| |
|--->LAN4| |
| |------------------------------|
|
|
| |------------------------------|
|--->LAN1| |
192.168.1.65 | |
PC------->LAN2| 192.168.1.2 | ip 10.0.15.75
192.168.1.66 | Роутер #2 Asus WL500G P |WAN-> Интернет
| |
PC------->LAN3| |
| |
LAN4| |
|------------------------------|


Далее нужно закрутить безопасность, что-бы юзера из первой квартиры не могли поедать трафик через роутер 2-й и наоборот, а если трафик не волнует, то лучше оставить один контракт

alsaf
27-01-2007, 14:45
3) Соединяем кабелем ЛАН-порты на АСУСах



а если без кабелей? при условии что асусы видят друг друга по wl scanresults...

Dmitry
29-01-2007, 08:34
а если без кабелей? при условии что асусы видят друг друга по wl scanresults...

Может в этом случае лучше отключить 2-й роутер от инета и подключить его аналогично моему подключению к golden_wifi (см. поиск), только подключаться нужно к 1-му роутеру?
Если нужно раздельные выходы в инет, мне кажется через веб-интерфейс не настроить. Нужно экспериментировать, а у меня нет ни второго роутера, ни одного входящего кабеля от провайдера.

XpoHuk
29-01-2007, 16:09
Спасибо за ответ.
Только есть одна загвозка, роутеры не получится соединить на прямую.
Прсото эти две сети объеденяет провод провайдера.. сети находятся в разных домах.
Какой выход можете предложить?
Спасибо

XpoHuk
29-01-2007, 16:46
|------------------------------|
192.168.1.33 | |
PC------->LAN1| 192.168.1.1 | ip 10.0.15.34
192.168.1.34 | Роутер #1 Asus WL500G P |WAN-----------> Интернет
PC------->LAN2| | |
| | |
| | |
| | |
| |
|------------------------------| |
|
|
|------------------------------| |
| | |
192.168.1.65 | | |
PC------->LAN2| 192.168.1.2 | ip 10.0.15.75
192.168.1.66 | Роутер #2 Asus WL500G P |WAN------------> Интернет
| |
PC------->LAN3| |
| |
LAN4| |
|------------------------------|


Хотелось бы получить вот такую схему

MMike
29-01-2007, 19:21
Как вариант: объеденить подсети IPSec'ом. Естественно необходимо изменить план адресации, например на нижнем по схеме роутере поднять 2ю подсеть (192.168.2.0/24). Потом уже писать ACL для iptables по тому кто куда может ходить и что смотреть.

ЗЫ кстати представленная схема будет до жути глючной, в том смысле что либо 192.168.1.0 надо дробить маской ( что при представленном адресном плане будет мягко говоря трудно реализуемо), либо на всех хостах прописывать роутинг для всех хостов из другой "сетки".

XpoHuk
30-01-2007, 11:18
Спасибо.
Не подскажите тогда ссылочки где про все это можно почитать, а то я совсем не вкурсе. :) А так же как настоить эти роутеры чтобы все работало? (тоже мона ссылочку)

Oleg
30-01-2007, 11:21
Как вариант: объеденить подсети IPSec'ом. Естественно необходимо изменить план адресации, например на нижнем по схеме роутере поднять 2ю подсеть (192.168.2.0/24). Потом уже писать ACL для iptables по тому кто куда может ходить и что смотреть.

ЗЫ кстати представленная схема будет до жути глючной, в том смысле что либо 192.168.1.0 надо дробить маской ( что при представленном адресном плане будет мягко говоря трудно реализуемо), либо на всех хостах прописывать роутинг для всех хостов из другой "сетки".
IPSec это слишком круто. :)

Самый простой вариант - сделать ssh+ppp туннель.

XpoHuk
30-01-2007, 11:29
Ребят, а мона на русском :) Ссылочку дайте, как это мона реализовать, пжалуста :)

Dmitry
30-01-2007, 12:37
|------------------------------|
192.168.1.33 | |
PC------->LAN1| 192.168.1.1 | ip 10.0.15.34
192.168.1.34 | Роутер #1 Asus WL500G P |WAN-----------> Интернет
PC------->LAN2| | |
| | |
| | |
| | |
| |
|------------------------------| |
|
|
|------------------------------| |
| | |
192.168.1.65 | | |
PC------->LAN2| 192.168.1.2 | ip 10.0.15.75
192.168.1.66 | Роутер #2 Asus WL500G P |WAN------------> Интернет
| |
PC------->LAN3| |
| |
LAN4| |
|------------------------------|


Хотелось бы получить вот такую схему
Остается предложить использовать OpenVPN в режиме сервера на 1-м роутере и в режиме клиента на 2-м.
Про сервер тут было написано неоднократно, а с OpenVPN-клиентом нужно разбираться.

MMike
30-01-2007, 19:34
Ну IPSec в режиме manual key'ng не сильно сложная штука. А вообще навалом решений, хоть ip-ip, хоть pptp. Но один фиг руками придется поработать знатно. А учитывая что респондент не в курсе с какой стороны к этому вопросу подойти, тут практически неразрешимая делема :(

Spacesoft
18-04-2007, 00:51
Мы делали так: (нарисовал)
LAN интерфейсы обоим поставить разные: 192.168.1.1 одному и 192.168.1.7 второму.
Нa всякий случай маску внутренней подсети (точнее уже надсети :) ) почикать до 255.255.255.248
Мак адреса у Wan нe должны совпадать с маками сетёвок на компах.
DHCP лучше не светить (отрубить), или настроить, чтобы велись только на своих.
Если пров шибко продвинутый за подобные шутки может кусить :)
Если свичи шибко продвинутые (встречааются чаще) - в сеть тоже не выпустят (локальные машины).

Spacesoft
27-04-2007, 18:00
ещё вариант, более правильный в сабжевой ситуации,
надсеть городить не требуется, подключение стандартное.

роутер1 192.168.1.1/255.255.255.248 (wan=10.0.15.34)
комп1-1 192.168.1.2/255.255.255.248
комп1-2 192.168.1.3/255.255.255.248
комп1-3 192.168.1.4/255.255.255.248
комп1-4 192.168.1.5/255.255.255.248
комп1-5 192.168.1.6/255.255.255.248

route add -net 192.168.1.8/29 gw 10.0.15.75

роутер2 192.168.1.8/255.255.255.248 (wan=10.0.15.75)
комп2-1 192.168.1.9/255.255.255.248
комп2-2 192.168.1.10/255.255.255.248
комп2-3 192.168.1.11/255.255.255.248
комп2-4 192.168.1.12/255.255.255.248
комп2-5 192.168.1.13/255.255.255.248

route add -net 192.168.1.0/29 gw 10.0.15.34

обеспечить прохождение/роутинг пакетов с wan в lan

tchaynik
17-06-2007, 16:03
Проблема в следующем:
Есть городская сеть, к которой подключены два wl500gP
Первый: MAN - 10.x.x.2 MASK 255.255.255.0 GW 10.x.x.1 LAN 192.168.1.*
Второй: MAN - 10.x.x.3 MASK 255.255.255.0 GW 10.x.x.1 LAN 192.168.2.*
WAN у обоих это PPTP
Вапрос в том чтобы компы из лана первого видели компы в лане второго и наоборот. (если удасца чтоб видили в сетевом окружении - воще шеколадно будет)
Все адреса - статичные

Mirage-net
18-06-2007, 09:15
Проблема в следующем:
Есть городская сеть, к которой подключены два wl500gP
Первый: MAN - 10.x.x.2 MASK 255.255.255.0 GW 10.x.x.1 LAN 192.168.1.*
Второй: MAN - 10.x.x.3 MASK 255.255.255.0 GW 10.x.x.1 LAN 192.168.2.*
WAN у обоих это PPTP
Вапрос в том чтобы компы из лана первого видели компы в лане второго и наоборот. (если удасца чтоб видили в сетевом окружении - воще шеколадно будет)
Все адреса - статичные

например поднять на них VPN между собой ...

tchaynik
18-06-2007, 16:06
например поднять на них VPN между собой ...

А просто маршрутами никак не разрулить ??
Ведь оба роутера для своих сетей - шлюзы по-умолчанию.
И сетки не пересекаются

DeathMoroz
07-08-2007, 03:45
например поднять на них VPN между собой ...
как это сделать? что из софта должно быть на роутерах?

unit
07-08-2007, 05:53
OpenVPN :)

tchaynik
03-09-2007, 12:20
Капаю по данной теме и все безтолку.
Конкретизирую что есть
wl1:
WAN - pptp,
man - 10.2.203.38 mask 255.255.255.0 gw 10.2.203.1
lan - 192.168.0.1 mask 255.255.255.0
добавил в нем следующий маршрут:
route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.2.203.44
wl2:
WAN - pptp,
man - 10.2.203.44 mask 255.255.255.0 gw 10.2.203.1
lan - 192.168.2.1 mask 255.255.255.0
добавил в нем следующий маршрут:
route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.2.203.38
С первого начал пинговаца второй по внутреннему адресу
([admin@wl1 root] ping 192.168.2.1 работает).
Со второго соотведственно начял пинговаца первый.
([admin@wl2 root] ping 192.168.0.1 работает).
Но вот компы в сетке не пингуются.
Проверяю пингос со второго роутера комп из первой сетки
([admin@wl2 root] ping 192.168.0.2 Не работает).
Понимаю что дето нужно в iptables чегото прописать, но что - я ненаю

Подскажите плз.

Igrsan
04-09-2007, 04:14
Или хотя бы примерную ссылку, где это описывается.

DeathMoroz
04-09-2007, 08:40
может надо фаервол подкрутить?

Reyter
04-09-2007, 09:32
Проверяю пингос со второго роутера комп из первой сетки
([admin@wl2 root] ping 192.168.0.2 Не работает).
Понимаю что дето нужно в iptables чегото прописать, но что - я ненаю

А на самих компах локалок маршруты прописаны?
Т.е. для компов сети 192.168.0.хх необходимо выполнить что-то типа
route add -P 192.168.2.0 255.255.255.0 192.168.0.1
а для компов сети 192.168.2.хх -
route add -P 192.168.0.0 255.255.255.0 192.168.2.1

Иначе ни пинги не будут до них доходить (вернее - приходить ответы на них) ни все остальное...

tchaynik
04-09-2007, 16:28
А на самих компах локалок маршруты прописаны?
Т.е. для компов сети 192.168.0.хх необходимо выполнить что-то типа
route add -P 192.168.2.0 255.255.255.0 192.168.0.1
а для компов сети 192.168.2.хх -
route add -P 192.168.0.0 255.255.255.0 192.168.2.1

Иначе ни пинги не будут до них доходить (вернее - приходить ответы на них) ни все остальное...
На всех компах шлюз по-умолчянию - соотведствующий роутер.
Комп отправляет все пакеты, которые не для его локальной сети на роутер, а вот роутер разбирается что с ним сделать(переслать или замаскарадить) и куда далее зашуровать.

Стопудова нуна подкручивать фаервол, я это нюхом чую, но как, в этом то и вапрос.

Возможно нужно просто разрешить пакеты, вазможно маскарадинг
но нито не другое я незнаю как сделать. Чяйник я в iptables .... :(((

Reyter
04-09-2007, 17:14
Стопудова нуна подкручивать фаервол, я это нюхом чую, но как, в этом то и вапрос.

Возможно нужно просто разрешить пакеты, вазможно маскарадинг
но нито не другое я незнаю как сделать. Чяйник я в iptables .... :(((
Да, это я не подумамши сказал :)
И нужно не разрешать пакеты и не маскарадингом заниматься, а просто все пакеты с адресом назначения нужной сетки роутить, а не пропускать через NAT.
Видимо стОит обратиться за советом к Mam(O)n, он на Iptables собаку съел. :D

tchaynik
05-09-2007, 12:07
Видимо стОит обратиться за советом к Mam(O)n, он на Iptables собаку съел. :D
Попросил его в личке помочь, подождем реакции

Reyter
05-09-2007, 12:50
Попросил его в личке помочь, подождем реакции
Результаты (ежели все получится) желательно запостить сюда. Смешанный режим NAT+роутинг очень даже интересен...

Mam(O)n
05-09-2007, 16:59
Ну с собакой вы конечно загнули, но попробовать помочь могу.

Я думаю у всех выставлен пункт Internet Firewall => WAN & LAN Filter => Packets(WAN to LAN) not specified will be: в положении DROP? Вот тут то и режутся пакеты при входящей маршрутизации. Этот пункт мы трогать небудем а просто попробуем прописать в iptables несколько правил:


Для роутера с ip 192.168.0.1


# Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.0.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.0.1 -j DROP
# Правила нужно прописывать именно в этой последовательности

Для роутера с ip 192.168.2.1


# Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.2.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.2.1 -j DROP
# Правила нужно прописывать именно в этой последовательности


Конечно для лучшей производительности нужно в конец таблицы правила писать, но это мелочи оптимизации.

Еще беда в том что сети за роутером получаются незащищенными из вне. То есть любой прописав по аналогии маршрутизацию попадет во внутреннюю сеть. Лучшее решение здесь VPN. Хотя производительности будет намного меньше.

Эти измышления чисто теоретические, в практике не уверен, но по идее должно помочь.

tchaynik
06-09-2007, 11:23
Ну с собакой вы конечно загнули, но попробовать помочь могу.

Я думаю у всех выставлен пункт Internet Firewall => WAN & LAN Filter => Packets(WAN to LAN) not specified will be: в положении DROP? Вот тут то и режутся пакеты при входящей маршрутизации. Этот пункт мы трогать небудем а просто попробуем прописать в iptables несколько правил:


Для роутера с ip 192.168.0.1


# Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.0.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.0.1 -j DROP
# Правила нужно прописывать именно в этой последовательности

Для роутера с ip 192.168.2.1


# Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.2.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.2.1 -j DROP
# Правила нужно прописывать именно в этой последовательности


Конечно для лучшей производительности нужно в конец таблицы правила писать, но это мелочи оптимизации.

Еще беда в том что сети за роутером получаются незащищенными из вне. То есть любой прописав по аналогии маршрутизацию попадет во внутреннюю сеть. Лучшее решение здесь VPN. Хотя производительности будет намного меньше.

Эти измышления чисто теоретические, в практике не уверен, но по идее должно помочь.

Дело в том, что в сетке, которая снаружи, присудствует защита по макам, и если ктото се поменяю мак или ip то его тутже вырубают из сети на маршрутезаторе. Так что проблемы в том, что ктота поставит се такой же мак как на одном из роутеров, просто нету.

Пока не проверил, но всеравно пасибо за хелп.

Reyter
06-09-2007, 12:03
Попытался разобраться в пределах своих чайниковых познаний в этих правилах. Насколько я понял, то правило, которое у нас "# Разрешаем проходящие пакеты..." - форвардит(роутит) на интерфейс br0 (LAN) пакеты, пришедшие на интерфейс vlan1 (WAN) с адресов заданной сети и с заданного мак-адреса. А как быть с исходящими пакетами из LAN в WAN? Разве для этого не нужно создавать правило типа:

iptables -I FORWARD -i br0 -o vlan1 -d 192.168.2.0/24 -j ACCEPT

?

Mam(O)n
06-09-2007, 16:38
Так что проблемы в том, что ктота поставит се такой же мак как на одном из роутеров, просто нету.
Ну тогда просто замечательно. Просто пропишешь мак соседнего роутера в том правиле и твои сети будут защищены.


А как быть с исходящими пакетами из LAN в WAN? Разве для этого не нужно создавать правило
Нет, ненужно. Разве при настройке маршрутизации для домашних сетей мы какие-нибудь дополнительные правила прописываем? По-умолчанию такие пакеты не режутся. Посмотри iptables -L FORWARD -vn и всё поймешь. Это таблица правил для пакетов, транзитно проходящих роутер.

Reyter
06-09-2007, 18:24
Разве при настройке маршрутизации для домашних сетей мы какие-нибудь дополнительные правила прописываем? По-умолчанию такие пакеты не режутся. Посмотри iptables -L FORWARD -vn и всё поймешь. Это таблица правил для пакетов, транзитно проходящих роутер.
Посмотрел. Ничего не понял :D
Я пытаюсь разобраться вот в чем: как в таком случае роутер узнает, что пакеты идушие, к примеру, на IP 10.10.10.10 нужно пускать через NAT, т.е. подменять IP источника, а вот идущие на IP 192.168.2.2 нужно просто роутить, т.е. предпринимать несколько более другие действия.

Mam(O)n
06-09-2007, 18:35
Посмотрел. Ничего не понял :D
Я пытаюсь разобраться вот в чем: как в таком случае роутер узнает, что пакеты идушие, к примеру, на IP 10.10.10.10 нужно пускать через NAT, т.е. подменять IP источника, а вот идущие на IP 192.168.2.2 нужно просто роутить, т.е. предпринимать несколько более другие действия.

Nat реализован в iptables и чтоб понять, как это работает нужно обратится к документации, которую я здесь пересказывать не буду ибо нет смысла, т.к. объем немалый. Только одно скажу, то, в чем ты пытаешься разобраться, прописано в таблицах iptables (см. iptables -L POSTROUTING -vnt nat)

upd
Кстати меня на мысль навел, ведь всё на выходе натится же... надо подумать(/me убежал в магазин)

Reyter
06-09-2007, 18:59
Кстати меня на мысль навел, ведь всё на выходе натится же...
Дык а я о чем?

Spacesoft
06-09-2007, 19:53
тут (http://wl500g.info/showthread.php?t=9712) была подобная тема...

Mam(O)n
06-09-2007, 20:37
Сам nat не будет мешать обмену трафиком между двумя сетями. Дело в том, что не будут видны реальные ip с которых заходят из другой сети. Тут надо подправить правила маскардинга. Например в post-firewall можно прописать:


# Очищаем все правила в цепочке POSTROUTING
iptables -t nat -F POSTROUTING
# Маскардинг на исходящие пакеты с wan/man интерфейсов при условии что они не предназначены для сети 192.168.0.0/24
iptables -t nat -A POSTROUTING -o $1 -s ! $2 -d ! 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $5 -s ! $6 -d ! 192.168.0.0/24 -j MASQUERADE
# Полезное правило. Догадайтесь, зачем оно ;) ($3=br0)
iptables -t nat -A POSTROUTING -o $3 -s $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -d $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -j MASQUERADE


upd

еще раз перечитал ветку и снова поймал себя на невнимательности:


Насколько я понял, то правило, которое у нас "# Разрешаем проходящие пакеты..." - форвардит(роутит) на интерфейс br0 (LAN) пакеты, пришедшие на интерфейс vlan1 (WAN) с адресов заданной сети и с заданного мак-адреса.

Iptables это firewall/nat, он ничего не роутит. Он только режет/видоизменяет пакеты. Роутингом заведует ядро.

Reyter
06-09-2007, 21:06
Mam(O)n
А я так и не понял, для чего 3-е правило. Что-то не получается представить ситуацию, когда одновременно и источником и назначением будет сам роутер.

Mam(O)n
06-09-2007, 21:17
источником и назначением является не сам роутер а вся подсеть Lan (который не Man). Кстати это правило в прошивке по дефолту

Reyter
07-09-2007, 10:09
источником и назначением является не сам роутер а вся подсеть Lan (который не Man). Кстати это правило в прошивке по дефолту
Хорошо, понятно. Но зачем нам маскарадинг внутри локалки?

Mam(O)n
07-09-2007, 13:04
Хорошо, понятно. Но зачем нам маскарадинг внутри локалки?

Я щас нарвался на объяснение (http://wl500g.info/showthread.php?t=4921) этому явлению от Олега. Странно, но именно так я это и использовал, хотя подразумевал нечто большее :)

Reyter
07-09-2007, 13:18
Ну вот теперь все прояснилось.
Дождемся результатов полевых испытаний правил от tchaynik, и тему можно будет считать полностью раскрытой.

tchaynik
08-09-2007, 10:00
Ну вот теперь все прояснилось.
Дождемся результатов полевых испытаний правил от tchaynik, и тему можно будет считать полностью раскрытой.
Все работает. Большушее спасибо. Пока не придумал как заставить винду видеть компы из другой сетки, но по IP видно.
Более детально отпишусь как время будет.
Я в post-firewall обоих роутеров дописал правила по очистке nat:


# Очищаем все правила в цепочке POSTROUTING
iptables -t nat -F POSTROUTING
# Маскардинг на исходящие пакеты с wan/man интерфейсов при условии что они не предназначены для сети 192.168.0.0/24
iptables -t nat -A POSTROUTING -o $1 -s ! $2 -d ! 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $5 -s ! $6 -d ! 192.168.0.0/24 -j MASQUERADE
# Полезное правило. Догадайтесь, зачем оно ;) ($3=br0)
iptables -t nat -A POSTROUTING -o $3 -s $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -d $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -j MASQUERADE

и потом:


# Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.x.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.x.1 -j DROP
# Правила нужно прописывать именно в этой последовательности

Mam(O)n
08-09-2007, 13:41
Небольшое дополнение:
[QUOTE=tchaynik;62803]


iptables -t nat -A POSTROUTING -o $1 -s ! $2 -d ! 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $5 -s ! $6 -d ! 192.168.0.0/24 -j MASQUERADE

Здесь вместо 192.168.0.0/24 следует прописывать сеть соседнего роутера.
А чтоб венда в сетевом окружении смогла видеть компьютеры друой подсети нужно поднимать wins сервер. Но вроде как можно на другой комп войти по ip (\\x.x.x.x)

pLuto
24-06-2008, 15:27
Коллеги, подскажите, пожалуйста.
Существует задача - замкнуть три раутера 500GP в кольцо через сети общего доступа туннелями (ну и пустить внутри протокол динамической маршрутизации, но это уже как раз не вопрос, использование квагги на 500gp уже отработано).
Возник вопрос, который, конечно, снимется при тестировании - но если кто-нибудь пояснит, буду признателен. Поскольку раутера три, то одному из них в любом случае придется быть сервером на одном линке и клиентом на втором. Как я смог вычитать в описании, и vtun, и openvpn одновременно могут работать только в одном режиме - либо сервер, либо клиент. Как обходится такая проблема? Очевидное решение - пускать две копии приложения с разными конфигами - оно адекватно, не несет в себе подводных камней? На чем лучше решать эту задачу (vtun, openvpn, smth else)?

KOCTET
25-06-2008, 08:36
Поскольку раутера три, то одному из них в любом случае придется быть сервером на одном линке и клиентом на втором. Как я смог вычитать в описании, и vtun, и openvpn одновременно могут работать только в одном режиме - либо сервер, либо клиент. Как обходится такая проблема? Очевидное решение - пускать две копии приложения с разными конфигами - оно адекватно, не несет в себе подводных камней? На чем лучше решать эту задачу (vtun, openvpn, smth else)?
А зачем одному из них нужно быть одновременно сервером и клиентом?
Мне кажется 1 сервер - 2 клиента, клиенты при настройке client-to-client для openvpn видят друг друга и сервер, или я не правильно понял?

pLuto
25-06-2008, 17:05
Это в случае hub-spoke топологии, когда два клиента вяжутся к серверу. В случае выхода сервера из строя сеть валится. Я же хочу реализовать full mesh, так чтобы между клиентами был независимый от сервера туннель.

`chert`
17-07-2008, 21:12
Подскажите, пожалуйста, возможно ли организовать ВПН тоннель, используя два 500 gp, и если да, то как?
Задача следующая: два асуса находятся в локальной сети с IP 10.100.хх.ххх. За каждым из них еще по одной сети с IP 192.168.хх.ххх. Необходимо, чтобы компьютеры сетей за роутерами видели друг друга.
Заранее спасибо.

V_V
22-07-2008, 14:45
поддерживаю просьбу

AndreyPopov
22-07-2008, 16:33
поддерживаю просьбу

да вроде бы как да. для этого можно OpenVPN использовать.

он вроде есть в репозитории ipkg

также он был по умолчанию встроен в прошивку чехов:
http://koppel.cz/cdmawifi/

вплоть до версии 1.68

из 1.69 его убрали и он отдельно лежит
http://koppel.cz/cdmawifi/download/169/

в файле с остальными добавлениями
usb-1.9.2.7-10-USB-1.69.tar.gz

m0p3e
22-07-2008, 16:48
Настроил у себя через OpenVPN.
Конфиг 1:
dev tun1
port 3333
remote {IP}:3333
ifconfig 10.10.0.2 10.10.0.1
secret static.key
route-up "route add -net 192.168.7.0 netmask 255.255.255.0 gw 10.10.0.1"
persist-tun
ping 60

Конфиг 2:
dev tun1
port 3333
remote {IP}:3333
ifconfig 10.10.0.1 10.10.0.2
secret static.key
route-up "route add -net 192.168.6.0 netmask 255.255.255.0 gw 10.10.0.2"
persist-tun
ping 60

Вроде работает. Хотя не всегда корректно поднимается после ребута одного из роутеров.

MAV
04-01-2010, 19:13
Прошивка от http://wl500g.info/showthread.php?t=17136 +
http://wl500g.info/showthread.php?t=21889


Есть городская сеть, к которой подключены два wl500gP

Первый: MAN - 10.251.x.y MASK 255.255.255.0 GW 10.251.x.254 LAN 192.168.1.*
Второй : MAN - 10.251.z.w MASK 255.255.255.0 GW 10.251.z.254 LAN 192.168.2.*
WAN у обоих это PPTP

Заданы роуты на обеих роутерах
Network/HostIP Netmask Gateway Metric Interface
10.0.0.0 255.0.0.0 0.0.0.0 1 MAN

Для первого роутера с LAN 192.168.1.*

# Очищаем все правила в цепочке POSTROUTING
iptables -t nat -F POSTROUTING
# Маскардинг на исходящие пакеты с wan/man интерфейсов при условии что они не предназначены для сети 192.168.1.0/12
iptables -t nat -A POSTROUTING -o $1 -s ! $2 -d ! 192.168.1.0/12 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $5 -s ! $6 -d ! 192.168.1.0/12 -j MASQUERADE
# Полезное правило. Догадайтесь, зачем оно ;) ($3=br0)
iptables -t nat -A POSTROUTING -o $3 -s $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -d $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -j MASQUERADEи потом:

# Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.2.0/12 -m mac --mac-source мак_адрес_роутера_№2 -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.2.1 -j DROP
# Правила нужно прописывать именно в этой последовательности

Для второго роутера с LAN 192.168.2.*

# Очищаем все правила в цепочке POSTROUTING
iptables -t nat -F POSTROUTING
# Маскардинг на исходящие пакеты с wan/man интерфейсов при условии что они не предназначены для сети 192.168.2.0/12
iptables -t nat -A POSTROUTING -o $1 -s ! $2 -d ! 192.168.2.0/12 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $5 -s ! $6 -d ! 192.168.2.0/12 -j MASQUERADE
# Полезное правило. Догадайтесь, зачем оно ;) ($3=br0)
iptables -t nat -A POSTROUTING -o $3 -s $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -d $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -j MASQUERADEи потом:

# Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.1.0/12 -m mac --mac-source мак_адрес_роутера_№1 -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.1.1 -j DROP
# Правила нужно прописывать именно в этой последовательности
все верно я исправил?
Если адреса 10.251.x.y и 10.251.z.w постоянные можно еще навесить защиту чтоб пропускала только с этих адресов?

Power
04-01-2010, 23:10
все верно я исправил?


Нет. Более того, если "x" не равно "z", то есть серьёзные подозрения, что роутеры находятся в разных сегментах (с точки зрения ethernet). Попробуйте на одном из роутеров выполнить команду


arping -I vlan1 IP

где IP - адрес другого роутера. Если ответа не будет, то вся эта затея не пройдёт.

MAV
04-01-2010, 23:27
Нет. Более того, если "x" не равно "z", то есть серьёзные подозрения, что роутеры находятся в разных сегментах (с точки зрения ethernet). Попробуйте на одном из роутеров выполнить команду


arping -I vlan1 IP

где IP - адрес другого роутера. Если ответа не будет, то вся эта затея не пройдёт.


[root@MAV_ASUS root]$ arping -I vlan1 10.251.120.219
ARPING to 10.251.120.219 from 10.251.36.155 via vlan1 тишина. хотя на роутерах стоит не отвечать на пинги
X не равен Z

MAV
05-01-2010, 10:53
если я могу зайти на дальний роутер со стороны wan. это не поможет?
с компьютера дальний роутер пингуется
ping 10.251.120.219 - работает
сегменты и правда разные.
или только openVPN ?

Power
05-01-2010, 12:29
[root@MAV_ASUS root]$ arping -I vlan1 10.251.120.219
ARPING to 10.251.120.219 from 10.251.36.155 via vlan1 тишина. хотя на роутерах стоит не отвечать на пинги
X не равен Z

Значит, этот способ не пройдёт. Грубо говоря, он подходит, если оба роутера подключены к одному свичу.
Обычный пинг тут не показатель, как и что-либо другое на основе протокола IP.
arping - это на самом деле не пинг, он посылает arp-запросы и слушает ответы. Если роутеры не являются соседями по ethernet, то ответов не будет. Но для работы способа, описанного в этой теме, ответы должны быть. Так что да, смотрите в сторону openvpn.

tempik
07-09-2011, 18:35
Такой вопрос: может ли роутер DIR-320 с альтернативной прошивкой от энтузиастом Vampik блокировать локальную сеть? Все компы в сети пингуются и возможно подключать сетевые диски. Ни на одном компе нет доступа к рабочей группе, в сетевом окружении пусто
А что Вы подразумеваете под "нет доступа к рабочей группе" ??? По умолчанию локальные порты роутера вообще не разделены логически и не участвуют (между собой) в фильтрации трафика ...

SoLuTan
07-11-2011, 19:06
Всем здравствовать!
Прошу помощи, т. к. сам разобраться не могу. Поиском пользовался, безуспешно к сожалению.
Есть сейчас две подсети с маршрутизаторами WL500gP и RT-N56U. Задача, объединить их, чтобы пользаки обоих подсеток видели друг друга и могли пользоваться общими ресурсами и инетом.
Первая подсеть на RT-N56U в режиме "IP Sharing" имеет в своем WAN порту хвост провайдера с PPPoE, на LAN сидят клиенты в 192.168.0.1/24.
В один из его LAN портов идет провод из WAN порта второй подсети на WL500gP с прошивкой 1.9.2.7-9, который работает в режиме маршрутизатора (без NAT), т. е. на WAN адрес 192.168.0.10, а по LAN раздается 192.168.1.1/24.
В первой подсетке на RT-N56U сделан статический маршрут 192.168.1.0 255.255.255.0 gw 192.168.0.10 LAN, в результате видны клиенты второй подсети. При этом вторая подсеть может пользоваться интернетом от первой подсети, но не видит ни одного клиента первой.

Никак не могу понять, какие маршруты нужно прописать во второй подсетке на WL500gP, чтобы был доступен и инет и клиенты первой подсети. Особенно меня вводят в заблуждение интерфейсы WAN, LAN, MAN, не знаю, который выбирать для маршрута )) Что я только не пробовал, не получается у меня ничего, максимум доступен сам шлюз 192.168.0.1, до остальных не достучаться. При этом, если зайти по telnet на WL500gP, спокойно пингуются все клиенты обоих подсеток.

Помогите пожалуйста советом! Хочется не сколько просто решения, сколько желание понять суть происходящего ))

tempik
08-11-2011, 17:34
Помогите пожалуйста советом! Хочется не сколько просто решения, сколько желание понять суть происходящего ))
Имеет смысл перевести wl500gP в режим точки доступа и проблема будет решена (все компы будут в одной сети). Для понимания сути происходящего придется изучить "модель OSI", основы TCP/IP и основы маршрутизации ... Инфы в инете море (а ключевые слова я дал)...

olegos007
12-11-2011, 16:48
помогите настроить интернет на втором роутере
имеем asus rt-n16 с прошивкой от энтузиастов с воткнутым в него мегафон модемом, с него можно брать интеренет по проводам и по вай-фай. Интересует как получить интеренет на втором роутере wl500gp подключенном к rt-n16 по проводу из lan порта asus rt-n16 в wan wl500gр, а именно какие настройки надо сделать, ничего не получается

tempik
12-11-2011, 16:50
помогите настроить интернет на втором роутере
имеем asus rt-n16 с прошивкой от энтузиастов с воткнутым в него мегафон модемом, с него можно брать интеренет по проводам и по вай-фай. Интересует как получить интеренет на втором роутере wl500gp подключенном к rt-n16 по проводу из lan порта asus rt-n16 в wan wl500gр, а именно какие настройки надо сделать, ничего не получается
Перевести в "Точку доступа"

olegos007
12-11-2011, 16:54
Перевести в "Точку доступа"

не помогает, уже давно перевел в этот режим

tempik
12-11-2011, 17:02
не помогает, уже давно перевел в этот режим
Тогда логи в студию ... Видимо что-то не так работает ....

ccreep
21-01-2012, 10:33
Всем привет.
Простите за глупый вопрос, но нужна ваша помощь.
Имеется 2 роутера:
(1) Zyxel Keenetic и (2) Asus WL500GP
Lan на (1): 192.168.1.0
Lan на (2): 192.168.2.0

(1) - основной. к Wan-порту подходит интернет от провайдера.
(2) подключен к Lan порту (1) своим Wan портом. Адрес роутера Asus в сети (1) 192.168.1.10
На (1) прописан маршрут до (2):
192.168.2.0 255.255.255.0 192.168.1.10

Конфигурация на (2):
robocfg show

vlan0: 1 2 3 4 5t
vlan1: 0 5t

ifconfig -a

br0 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:388 errors:0 dropped:0 overruns:0 frame:0
TX packets:863 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:69413 (67.7 KiB) TX bytes:367741 (359.1 KiB)

...

vlan1 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet addr:192.168.1.10 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:975 errors:0 dropped:0 overruns:0 frame:0
TX packets:1136 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:203394 (198.6 KiB) TX bytes:359663 (351.2 KiB)


Таблица маршрутов на (2)

192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 vlan1

Проблема: пользователи сети 192.168.2.0 (на роутере (2)) не видят локальной сети 192.168.1.0. Про этом интернет у пользователей этой сети есть. Пользователи 192.168.1.0 видят локальную сеть 192.168.2.0.

Вопрос: Что я сделал не так? Нужно добиться, чтобы 192.168.1.0 была видна пользователям Asus (2).

Помогите, пожалуйста, разобраться! Желательно, подробнее (для новичка).

В режим AP ASUS переводить не хочу, так как в том-то и суть, что подсети должно быть 2.
Можно оставить разбиение на подсети, но при этом, чтобы в сети 192.168.2.0 был и интернет, и доступ в сеть 192.168.1.0?

Krey
24-01-2012, 01:08
А в iptables что?
В Вашей конфигурации по идее должно быть во всех таблицах ACCEPT (и никакого НАТа)
хотя по симптомам не укладывается, Вы точно ничего не перепутали в описании?

PS конфигурацию свича не проверял. надеюсь там все ОК...

ccreep
24-01-2012, 07:07
А в iptables что?
В Вашей конфигурации по идее должно быть во всех таблицах ACCEPT (и никакого НАТа)
хотя по симптомам не укладывается, Вы точно ничего не перепутали в описании?

PS конфигурацию свича не проверял. надеюсь там все ОК...

В описании не перепутал.
NAT отключил через веб-интерфейс.

Данные из filter_rules:


filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A SECURITY -p tcp --syn -m limit --limit 1/s -j RETURN
-A SECURITY -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETUR
-A SECURITY -p udp -m limit --limit 5/s -j RETURN
-A SECURITY -p icmp -m limit --limit 5/s -j RETURN
-A SECURITY -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p igmp -d 224.0.0.0/4 -j ACCEPT
-A INPUT -p udp -d 224.0.0.0/4 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p udp -d 224.0.0.0/4 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -o vlan1 ! -i br0 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequen
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence -
-A logdrop -j DROP
COMMIT


Помогите, пожалуйста, правильно исправить фильтрацию (если я правильно понял, что править нужно именно в этом файле).

Krey
25-01-2012, 15:05
Это же правила с Асуса (2)?

Не понимаю я почему у вас в описании значится
192.168.2.0 (на роутере (2)) не видят локальной сети 192.168.1.0.

Судя по правилам должно быть наоборот, так как нет разрешающего входного\транспортного правила из vlan1 в br0, зато есть запрещающее.

Поскольку Асус во внутренней сети и если защита от DDOS не важна, можно вообще все эти правила поудалять.
Покрайней мере можете в качестве теста выполнить
iptables -F
эта команда удалит вообще все правила, т.е. все будет разрешено.
Если поможет, можно уже в рабочем режиме продумать правила файрволла.

Еще можно посмотреть на счетчики правил, создавая трафик в сторону, где он отрубается.
iptables -L --line-numbers -v
и заметить на каких запрещающих правилах активно растут счетчики.

Однако если у вас действительно (1) видят (2) может быть что то все таки неправильно с конфигурацией свича? У вас Асус wl500GP первой ревизии? Для v2 по идее должно быть "0 1 2 3 5t" и "4 5t".

Или с мостом? В br0 должна добавляться vlan0. vlan1 сама по себе.

ccreep
25-01-2012, 15:37
Это же правила с Асуса (2)?

Не понимаю я почему у вас в описании значится
192.168.2.0 (на роутере (2)) не видят локальной сети 192.168.1.0.

Судя по правилам должно быть наоборот, так как нет разрешающего входного\транспортного правила из vlan1 в br0, зато есть запрещающее.

Поскольку Асус во внутренней сети и если защита от DDOS не важна, можно вообще все эти правила поудалять.
Покрайней мере можете в качестве теста выполнить
iptables -F
эта команда удалит вообще все правила, т.е. все будет разрешено.
Если поможет, можно уже в рабочем режиме продумать правила файрволла.

Еще можно посмотреть на счетчики правил, создавая трафик в сторону, где он отрубается.
iptables -L --line-numbers -v
и заметить на каких запрещающих правилах активно растут счетчики.

Однако если у вас действительно (1) видят (2) может быть что то все таки неправильно с конфигурацией свича? У вас Асус wl500GP первой ревизии? Для v2 по идее должно быть "0 1 2 3 5t" и "4 5t".

Или с мостом? В br0 должна добавляться vlan0. vlan1 сама по себе.

- У меня WL500GPV1
- В данный момент у меня клиенты и одной и другой сети не видят друг друга, но интернет есть везде. Таблица немного другая (не та, что внизу)
- Сейчас на работе, как приеду домой - попробую iptables -F
и со счетчиками.

Спасибо!

Не помогло... :( То есть, убрал все записи из IPTables, но все равно нет доступа
Поле очистки таблиц IP я начинаю пинговать сеть 192.168.2.0 из 192.168.1.0
Наоборот - все также, глухо :(

Таблица маршрутов с Asus'а:

Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 vlan1

Вот результат ifconfig -a:

br0 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:320 errors:0 dropped:0 overruns:0 frame:0
TX packets:440 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:18343 (17.9 KiB) TX bytes:101403 (99.0 KiB)

eth0 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:438 errors:0 dropped:0 overruns:0 frame:0
TX packets:623 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:34246 (33.4 KiB) TX bytes:115565 (112.8 KiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:648
TX packets:0 errors:83 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:12 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:264 errors:0 dropped:0 overruns:0 frame:0
TX packets:264 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:22396 (21.8 KiB) TX bytes:22396 (21.8 KiB)

sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
-00
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

vlan0 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:319 errors:0 dropped:0 overruns:0 frame:0
TX packets:556 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:19561 (19.1 KiB) TX bytes:110615 (108.0 KiB)

vlan1 Link encap:Ethernet HWaddr 00:1B:FC:E2:9A:95
inet addr:192.168.1.10 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21b:fcff:fee2:9a95/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:119 errors:0 dropped:0 overruns:0 frame:0
TX packets:64 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:6801 (6.6 KiB) TX bytes:4732 (4.6 KiB)

результат robocfg show:

Switch: enabled
Port 0: 100FD enabled stp: none vlan: 1 mac: 00:00:00:00:00:00
Port 1: 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 2: DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 3: DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 4: DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 5: 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
VLANs: BCM5325/535x enabled mac_check mac_hash
0: vlan0: 1 2 3 4 5t
1: vlan1: 0 5t
2: vlan2:
3: vlan3:
4: vlan4:
5: vlan5:
6: vlan6:
7: vlan7:
8: vlan8:
9: vlan9:
10: vlan10:
11: vlan11:
12: vlan12:
13: vlan13:
14: vlan14:
15: vlan15:

Krey
26-01-2012, 00:51
>>Поле очистки таблиц IP я начинаю пинговать сеть 192.168.2.0 из 192.168.1.0

Ну хоть какой то прогресс.
Таблицы вы только на Асусе очистили, так? (Надо только на асусе).

192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
удалить

192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
удалить или проставить корректный шлюз (192.168.1.1)

nice_ejik
26-01-2012, 17:18
В выходные предстоит настраивать подобное! Переехал в соседний дом на улице, сегодня купил второй n16! Обе квартиры подключены к qwerty. Надо объедеить обе квартиры в единую сеть! Тк в первой квартире стоит медиа сервер,и ресурсами хочется пользоваться в обоих домах)! Без VPN получится интересно реализовать????

ccreep
26-01-2012, 22:44
>>Поле очистки таблиц IP я начинаю пинговать сеть 192.168.2.0 из 192.168.1.0

Ну хоть какой то прогресс.
Таблицы вы только на Асусе очистили, так? (Надо только на асусе).

192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
удалить

192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
удалить или проставить корректный шлюз (192.168.1.1)

- Да, таблицы очистил только на Асусе. На Zyxel ничего не трогаю.
Поправил таблицу маршрутизации. Частично помогло.
Таблица теперь такая:

Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 vlan1

Теперь с Asus нормально и стабильно пингуется 192.168.1.0
Но вот наоборот - проблема.
То есть, пользователи 192.168.1.0 не могут пинговать 192.168.2.0
При этом не пингуется и сам vlan1 (192.168.1.10)

Если я в табличку добавляю маршрут до 192.168.1.0 через gw 192.168.1.10, то пользователи 192.168.1.0 начинают пинговать 192.168.2.0, но пропадает пинг в обратную сторону :)

Спасибо за помощь, прогресс уже есть! :)

Krey
27-01-2012, 10:00
Без VPN получится интересно реализовать????

Без VPN врядли.

У меня это сделано, но по другому, не так как здесь обычно описывается.
У меня несколько роутеров в одной подсети, а на "главном", к которому все подключаются по VPN, просто режется DHCP трафик.



Но вот наоборот - проблема.


надо вернуть
192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
маршрут к дефолтному шлюзу конечно же должен быть указан.

т.е. в моем сообщении №244202 нужно выполнить только вторую инструкцию:



192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
удалить или проставить корректный шлюз (192.168.1.1)

ccreep
27-01-2012, 17:37
надо вернуть
192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
маршрут к дефолтному шлюзу конечно же должен быть указан.


Продолжаю бороться...
Вернул маршрут выше.

Таблица маршрутов стала такой:

Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 vlan1

Теперь ситуация такая:

192.168.1.0 стабильно пингуется из 192.168.2.0.

А вот 192.168.2.0 не пингуется из 192.168.1.0.
Но иногда пинг проходит:

Обмен пакетами с 192.168.2.15 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.2.15: число байт=32 время=1мс TTL=62
Превышен интервал ожидания для запроса.

vlan1 интерфейс (192.168.1.10) не пингуется из 192.168.1.0
Но br0 (192.168.2.1) нормально пингуется из 192.168.1.0

Если добавить: route add 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.10 dev vlan1, то:
192.168.1.0 пингуют 192.168.2.0
192.168.2.0 НЕ пингуют 192.168.1.0

:)

Я уже не знаю, что и делать со всем этим...
Может нужно метрики прописать?
Есть еще идеи?

TReX
27-01-2012, 17:51
:)

Я уже не знаю, что и делать со всем этим...
Может нужно метрики прописать?
Есть еще идеи?

Метрики используются если есть больше одного маршрута до цели, в вашем случае надо на обоих устройствах прописать прямые и обратные маршруты... Пингу мало знать куда уйти, надо еще и знать как вернуться )

ConstAntz
27-01-2012, 17:55
Вопрос: Что я сделал не так? Нужно добиться, чтобы 192.168.1.0 была видна пользователям Asus (2).


Осталось еще с маской поиграть (255.255.0.0)

TReX
27-01-2012, 18:12
Осталось еще с маской поиграть (255.255.0.0)

За что же так жестоко? две сети класса C, это маска 255.255.254.0 (/23)

Да и протокола маршрутизации нет, чтобы сделать автосуммирование сетей )

ccreep
27-01-2012, 18:19
Господа! Спасибо за участие :)
Только я пока не совсем понял из ваших комментариев, как мне поправить маршруты...

Если не трудно, помогите + желательно с комментариями, так как хочется не только решить проблему, но и разобраться.
Заранее спасибо!

TReX
27-01-2012, 18:23
Господа! Спасибо за участие :)
Только я пока не совсем понял из ваших комментариев, как мне поправить маршруты...

Если не трудно, помогите + желательно с комментариями, так как хочется не только решить проблему, но и разобраться.
Заранее спасибо!

На каждой из железок должен быть маршрут до соседа (сетки на другом роутере ) + дефоултный маршрут, для всего остального трафика

ccreep
27-01-2012, 18:30
На каждой из железок должен быть маршрут до соседа (сетки на другом роутере )

Ну как бы это все есть:

Сеть (1) (192.168.1.0):


...
192.168.2.0 255.255.255.0 192.168.1.10 LAN
...


Сеть (2) (Asus) (192.168.2.0) (тут как раз и нужна маршрутизация br0 <---> vlan1):

Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 192.168.1.10 255.255.255.0 UG 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 vlan1

br0: 192.168.2.0
vlan1: 192.168.1.10
А все равно не работает...
Из сети (2) нет пинга в (1)

ConstAntz
27-01-2012, 18:33
За что же так жестоко?

Надож с чего-то начинать изучать матчасть ;)

ccreep
27-01-2012, 18:35
Надож с чего-то начинать изучать матчасть ;)

Извините, маской проблема может и решается, но в том-то и дело, что это и правда "Жестоко" :)
Я как раз хочу 2 сети класса C объединить, а не переводить их в другой класс ))

TReX
27-01-2012, 19:50
br0: 192.168.2.0
vlan1: 192.168.1.10
А все равно не работает...
Из сети (2) нет пинга в (1)

для начала указываем следующий хоп, а не текущий, т.е. 192.168.1.1 а не 1.10
хотя в вашем случае это не обязательно, на асусе достаточно маршрута по умолчанию, с дефаулт гейтвеем 1.1, а вот Зикселю надо знать что в 2.0 надо лезть не наружу а через 1.10


127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 vlan1

все что нужно для Асуса )
Если Зуксель полный тормоз, то добавляем для Асуса -


192.168.1.0 192.168.1.10 255.255.255.0 UG 0 0 0 vlan1

Krey
27-01-2012, 21:25
vlan1 интерфейс (192.168.1.10) не пингуется из 192.168.1.0


По этому и не работает. Не должно такого быть. Я думаю теперь нужно с зухелем разбираться.

Но перед эти попробуй на кинетике исправить так:
192.168.2.0 255.255.255.0 192.168.2.1 LAN

Если не поможет, то добывай настройки с зухеля: свитч, бридж, файрволл, роутинг. Лучше полностью.

ccreep
28-01-2012, 15:48
Вобщем, мучался-мучался и пришел вот к такой табличке маршрутов на Асусе:

Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.1 192.168.1.10 255.255.255.255 UGH 0 0 0 vlan1
192.168.2.0 192.168.2.1 255.255.255.0 UG 0 0 0 br0
192.168.1.0 192.168.1.10 255.255.255.0 UG 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 vlan1

Из сети 192.168.1.0 (Зиксель) сеть 192.168.2.0 пингуется без проблем (0% потерь).
Пингуется:
192.168.2.1 (br0)
192.168.1.10 (vlan1)
ну и все клиенты

Из сети 192.168.2.0 (Усус) сеть 192.168.1.0 иногда пингуется, а иногда - нет...

По поводу настройки Zyxel - не хочу его вообще трогать. Да и незачем. Он нормально работает.
На нем прописан маршрут до 192.168.2.0
Вся маршрутизация ведь между br0 <---> vlan1 в Асусе

Теперь такой факт.
Если в табличке выше поправить маршрут:

192.168.1.0 192.168.1.10 255.255.255.0 UG 0 0 0 vlan1

на


192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0 0 vlan1

То с асуса начинает все работать.
Но начинаются проблемы в сети Зикселя...
Пропадает пинг на:
192.168.1.10
и на клиенты сети асуса
Остается стабильным только пинг на 192.168.2.1 (br0)

С самих роутеров пингуется все устройства из любой сети при любом раскладе из двух вариантов выше...

Krey
28-01-2012, 16:18
По поводу настройки Zyxel - не хочу его вообще трогать. Да и незачем. Он нормально работает.


В маршрутизации участвует два роутера!
Когда вы настраиваете сеть так что асус маршрутизирует трафик в сеть зукселя и пинги проходят и сети (2) в сеть (1) то со стороны асуса все работает нормально! Дальше проблемы надо решать на зикселе.

ccreep
30-01-2012, 07:54
В маршрутизации участвует два роутера!
Когда вы настраиваете сеть так что асус маршрутизирует трафик в сеть зукселя и пинги проходят и сети (2) в сеть (1) то со стороны асуса все работает нормально! Дальше проблемы надо решать на зикселе.

Пинги проходят как раз из сети (1) в сеть (2)
(1) - Зиксель
(2) - Асус

В любом случае, Спасибо за поддержку! :)
Попробую, конечно, что-то поковырять на Зикселе...
Есть одна мысль:
Маршрут до 192.168.1.0 (собственной сети на Зикселе) : указан gw 0.0.0.0
Попробую явно задать 192.168.1.1 (а то может маршрут берется по дефолту из PPPOE Wan).

Но на Зикселе стоит прошивка для "домохозяек", особо ничего не поменяешь...