Page 3 of 6 FirstFirst 12345 ... LastLast
Results 31 to 45 of 85

Thread: Объединить два wl500gP в одной городской сетке

  1. 06-09-2007, 15:38 #31
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Quote Originally Posted by tchaynik View Post
    Так что проблемы в том, что ктота поставит се такой же мак как на одном из роутеров, просто нету.
    Ну тогда просто замечательно. Просто пропишешь мак соседнего роутера в том правиле и твои сети будут защищены.

    Quote Originally Posted by Reyter View Post
    А как быть с исходящими пакетами из LAN в WAN? Разве для этого не нужно создавать правило
    Нет, ненужно. Разве при настройке маршрутизации для домашних сетей мы какие-нибудь дополнительные правила прописываем? По-умолчанию такие пакеты не режутся. Посмотри iptables -L FORWARD -vn и всё поймешь. Это таблица правил для пакетов, транзитно проходящих роутер.
    Reply With Quote Reply With Quote
  2. 06-09-2007, 17:24 #32
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Quote Originally Posted by Mam(O)n View Post
    Разве при настройке маршрутизации для домашних сетей мы какие-нибудь дополнительные правила прописываем? По-умолчанию такие пакеты не режутся. Посмотри iptables -L FORWARD -vn и всё поймешь. Это таблица правил для пакетов, транзитно проходящих роутер.
    Посмотрел. Ничего не понял
    Я пытаюсь разобраться вот в чем: как в таком случае роутер узнает, что пакеты идушие, к примеру, на IP 10.10.10.10 нужно пускать через NAT, т.е. подменять IP источника, а вот идущие на IP 192.168.2.2 нужно просто роутить, т.е. предпринимать несколько более другие действия.
    Reply With Quote Reply With Quote
  3. 06-09-2007, 17:35 #33
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Quote Originally Posted by Reyter View Post
    Посмотрел. Ничего не понял
    Я пытаюсь разобраться вот в чем: как в таком случае роутер узнает, что пакеты идушие, к примеру, на IP 10.10.10.10 нужно пускать через NAT, т.е. подменять IP источника, а вот идущие на IP 192.168.2.2 нужно просто роутить, т.е. предпринимать несколько более другие действия.
    Nat реализован в iptables и чтоб понять, как это работает нужно обратится к документации, которую я здесь пересказывать не буду ибо нет смысла, т.к. объем немалый. Только одно скажу, то, в чем ты пытаешься разобраться, прописано в таблицах iptables (см. iptables -L POSTROUTING -vnt nat)

    upd
    Кстати меня на мысль навел, ведь всё на выходе натится же... надо подумать(/me убежал в магазин)
    Last edited by Mam(O)n; 06-09-2007 at 17:44.
    Reply With Quote Reply With Quote
  4. 06-09-2007, 17:59 #34
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Quote Originally Posted by Mam(O)n View Post
    Кстати меня на мысль навел, ведь всё на выходе натится же...
    Дык а я о чем?
    Reply With Quote Reply With Quote
  5. 06-09-2007, 18:53 #35
    Spacesoft
    Spacesoft is offline Senior Member
    Send a message via ICQ to Spacesoft
    Join Date
    Apr 2007
    Posts
    181
    тут была подобная тема...
    Last edited by Omega; 21-01-2012 at 11:23. Reason: fixed
    Reply With Quote Reply With Quote
  6. 06-09-2007, 19:37 #36
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788

    Red face /me вернулся из магаза довольный ;)

    Сам nat не будет мешать обмену трафиком между двумя сетями. Дело в том, что не будут видны реальные ip с которых заходят из другой сети. Тут надо подправить правила маскардинга. Например в post-firewall можно прописать:
    Code:
    # Очищаем все правила в цепочке POSTROUTING
iptables -t nat -F POSTROUTING
# Маскардинг на исходящие пакеты с wan/man интерфейсов при условии что они не предназначены для сети 192.168.0.0/24
iptables -t nat -A POSTROUTING -o $1 -s ! $2 -d ! 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $5 -s ! $6 -d ! 192.168.0.0/24 -j MASQUERADE
# Полезное правило. Догадайтесь, зачем оно ;) ($3=br0) 
iptables -t nat -A POSTROUTING -o $3 -s $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -d $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -j MASQUERADE
    upd

    еще раз перечитал ветку и снова поймал себя на невнимательности:

    Quote Originally Posted by Reyter View Post
    Насколько я понял, то правило, которое у нас "# Разрешаем проходящие пакеты..." - форвардит(роутит) на интерфейс br0 (LAN) пакеты, пришедшие на интерфейс vlan1 (WAN) с адресов заданной сети и с заданного мак-адреса.
    Iptables это firewall/nat, он ничего не роутит. Он только режет/видоизменяет пакеты. Роутингом заведует ядро.
    Last edited by Mam(O)n; 06-09-2007 at 19:49. Reason: upd
    Reply With Quote Reply With Quote
  7. 06-09-2007, 20:06 #37
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Mam(O)n
    А я так и не понял, для чего 3-е правило. Что-то не получается представить ситуацию, когда одновременно и источником и назначением будет сам роутер.
    Reply With Quote Reply With Quote
  8. 06-09-2007, 20:17 #38
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    источником и назначением является не сам роутер а вся подсеть Lan (который не Man). Кстати это правило в прошивке по дефолту
    Reply With Quote Reply With Quote
  9. 07-09-2007, 09:09 #39
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Quote Originally Posted by Mam(O)n View Post
    источником и назначением является не сам роутер а вся подсеть Lan (который не Man). Кстати это правило в прошивке по дефолту
    Хорошо, понятно. Но зачем нам маскарадинг внутри локалки?
    Reply With Quote Reply With Quote
  10. 07-09-2007, 12:04 #40
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Quote Originally Posted by Reyter View Post
    Хорошо, понятно. Но зачем нам маскарадинг внутри локалки?
    Я щас нарвался на объяснение этому явлению от Олега. Странно, но именно так я это и использовал, хотя подразумевал нечто большее
    Reply With Quote Reply With Quote
  11. 07-09-2007, 12:18 #41
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Ну вот теперь все прояснилось.
    Дождемся результатов полевых испытаний правил от tchaynik, и тему можно будет считать полностью раскрытой.
    Reply With Quote Reply With Quote
  12. 08-09-2007, 09:00 #42
    tchaynik
    tchaynik is offline Senior Member
    Send a message via ICQ to tchaynik
    Join Date
    Oct 2006
    Posts
    117
    Quote Originally Posted by Reyter View Post
    Ну вот теперь все прояснилось.
    Дождемся результатов полевых испытаний правил от tchaynik, и тему можно будет считать полностью раскрытой.
    Все работает. Большушее спасибо. Пока не придумал как заставить винду видеть компы из другой сетки, но по IP видно.
    Более детально отпишусь как время будет.
    Я в post-firewall обоих роутеров дописал правила по очистке nat:
    Code:
    # Очищаем все правила в цепочке POSTROUTING
iptables -t nat -F POSTROUTING
# Маскардинг на исходящие пакеты с wan/man интерфейсов при условии что они не предназначены для сети 192.168.0.0/24
iptables -t nat -A POSTROUTING -o $1 -s ! $2 -d ! 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $5 -s ! $6 -d ! 192.168.0.0/24 -j MASQUERADE
# Полезное правило. Догадайтесь, зачем оно ;) ($3=br0) 
iptables -t nat -A POSTROUTING -o $3 -s $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -d $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -j MASQUERADE
    и потом:
    Code:
    # Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.x.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.x.1 -j DROP
# Правила нужно прописывать именно в этой последовательности
    Last edited by tchaynik; 08-09-2007 at 09:03.
    Reply With Quote Reply With Quote
  13. 08-09-2007, 12:41 #43
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Небольшое дополнение:
    [QUOTE=tchaynik;62803]
    Code:
    iptables -t nat -A POSTROUTING -o $1 -s ! $2 -d ! 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $5 -s ! $6 -d ! 192.168.0.0/24 -j MASQUERADE
    Здесь вместо 192.168.0.0/24 следует прописывать сеть соседнего роутера.
    А чтоб венда в сетевом окружении смогла видеть компьютеры друой подсети нужно поднимать wins сервер. Но вроде как можно на другой комп войти по ip (\\x.x.x.x)
    Reply With Quote Reply With Quote
  14. 24-06-2008, 14:27 #44
    pLuto
    pLuto is offline Member
    Join Date
    Oct 2004
    Posts
    32

    Выбор VPN-решения - одновременно и сервер, и клиент?

    Коллеги, подскажите, пожалуйста.
    Существует задача - замкнуть три раутера 500GP в кольцо через сети общего доступа туннелями (ну и пустить внутри протокол динамической маршрутизации, но это уже как раз не вопрос, использование квагги на 500gp уже отработано).
    Возник вопрос, который, конечно, снимется при тестировании - но если кто-нибудь пояснит, буду признателен. Поскольку раутера три, то одному из них в любом случае придется быть сервером на одном линке и клиентом на втором. Как я смог вычитать в описании, и vtun, и openvpn одновременно могут работать только в одном режиме - либо сервер, либо клиент. Как обходится такая проблема? Очевидное решение - пускать две копии приложения с разными конфигами - оно адекватно, не несет в себе подводных камней? На чем лучше решать эту задачу (vtun, openvpn, smth else)?
    Reply With Quote Reply With Quote
  15. 25-06-2008, 07:36 #45
    KOCTET
    KOCTET is offline Senior Member
    Join Date
    Oct 2006
    Location
    St. Petersburg
    Posts
    126
    Quote Originally Posted by pLuto View Post
    Поскольку раутера три, то одному из них в любом случае придется быть сервером на одном линке и клиентом на втором. Как я смог вычитать в описании, и vtun, и openvpn одновременно могут работать только в одном режиме - либо сервер, либо клиент. Как обходится такая проблема? Очевидное решение - пускать две копии приложения с разными конфигами - оно адекватно, не несет в себе подводных камней? На чем лучше решать эту задачу (vtun, openvpn, smth else)?
    А зачем одному из них нужно быть одновременно сервером и клиентом?
    Мне кажется 1 сервер - 2 клиента, клиенты при настройке client-to-client для openvpn видят друг друга и сервер, или я не правильно понял?
    Reply With Quote Reply With Quote
Page 3 of 6 FirstFirst 12345 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. ПК - WL500gP - ASDL_ROUTER, без NAT
    By Silkmann in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 5
    Last Post: 20-05-2007, 10:37

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules