Соединить часть компов из разных подсетей.

0

3

Всем здравствуйте! Подсобите советом, пожалуйста. Две подсети 192.168.0.0 и 192.168.10.0 как их соединить так, чтобы 2 компа из одной видели 2 компа из другой, а другие не подозревали о существовании другой подсети? Как это проще сделать? Сети в одном здании. Есть dir-300 c dd-wrt, шлюз в .10.1 это zeroshell. 0.1 - dir100.

Ссылка

←	Debian + 2 провайдера на шлюзе, запутался в маршрутизации

exim: block local user.

→

другие не подозревали о существовании другой подсети

Делить vlan'ами. Как это сделать следует смотреть из документации к роутерам. Клиенты должны знать только о своих шлюзах (10.1 и 0.1), а вот шлюзы уже будут обмениваться пакетами между подсетями.

anonymous
(24.02.16 13:21:25 MSK)

VPN?

svr4 ☆
(24.02.16 13:21:38 MSK)

Ответ на: комментарий от anonymous 24.02.16 13:21:25 MSK

т.е на шлюзах тоже надо маршруты указывать?

NAShc
(24.02.16 14:42:00 MSK) автор топика

Ссылка

Ответ на: комментарий от svr4 24.02.16 13:21:38 MSK

так это еще vpn настраивать, а поверх потом все равно vlan'ы и iptables? Я же вместо vpn могу физически соединить две сети.

NAShc
(24.02.16 14:44:42 MSK) автор топика

Ссылка

Ответ на: комментарий от svr4 24.02.16 13:21:38 MSK

Из пушек да по воробьям. Выше правильно ответили - объединить виланами.

man_of_motley ★★
(24.02.16 16:59:43 MSK)

Ссылка

Как вам уже написали, компьютеры и не должны знать о существовании другой сети, весь трафик они должны отправлять в шлюз, а тот должен отправлять его другому шлюзу. Поэтому сначла нужна связь между шлюзами, как вы её будете делать решать вам. Может в здании уже есть локальная сеть или шлюзы подключены к одному провадеру, может проще кабель протянуть...

После этого указываете на шлюзах маршруты в другую подсеть через другой шлюз и на обоих шлюзах (или на одном) разрешаете прохождения трафика от нужных компов к нужным. Если у вас пользователи не могут сами поменять ip-адреса и они не меняются, то этого достаточно. А если там царит свобода, то брать «умный» свич, делать vlan'ы и, фактически, предоставляя доступ в другую сеть не компьютеру, а порту коммутатора. А если там и кабеле перетыкают, то делать для нужных компов VPN.

И что подразумевается под:

видели 2 компа

Пинговать они будут, а в сетевом окружении не появятся, особенно если там домен (AD).

mky ★★★★★
(26.02.16 12:04:27 MSK)

Ответ на: комментарий от mky 26.02.16 12:04:27 MSK

видели = доступ к базе 1С и доступ к серверу СКУД.

«умный» свич

DIR-300 с dd-wrt достаточно умный?

root@DD-WRT:~# nvram show | grep vlan.*port
vlan0ports=1 2 3 4 5*
vlan1ports=0 5
size: 19942 bytes (45594 left)

root@DD-WRT:~# nvram set vlan0ports="1 2 5*"
root@DD-WRT:~# nvram set vlan3ports="3 5"
root@DD-WRT:~# nvram set vlan4ports="4 5"
root@DD-WRT:~# nvram set vlan3hwname=et0
root@DD-WRT:~# nvram set vlan4hwname=et0


root@DD-WRT:~# nvram show | grep vlan.*port
vlan4ports=4 5
vlan0ports=1 2 5*
vlan3ports=3 5
vlan1ports=0 5
size: 20005 bytes (45531 left)

root@DD-WRT:~# nvram show | grep vlan.*hw
vlan3hwname=et0
vlan1hwname=et0
vlan4hwname=et0
size: 20005 bytes (45531 left)
vlan0hwname=et0

а что делать дальше не знаю

NAShc
(26.02.16 15:05:21 MSK) автор топика

Ответ на: комментарий от NAShc 26.02.16 15:05:21 MSK

У вас компы, что-ли напрямую в маршрутизаторы подключены?

И ответьте на вопрос, как у вас организована связь между коммутаторами этими самыми DIR-300 и DIR-100.

mky ★★★★★
(26.02.16 17:04:56 MSK)

Ответ на: комментарий от mky 26.02.16 17:04:56 MSK

DIR-300 просто хочу подцепить между ними http://i.imgur.com/heUVNhg.png

Компы через свитчи.

NAShc
(28.02.16 18:26:03 MSK) автор топика

Ответ на: комментарий от NAShc 28.02.16 18:26:03 MSK

Честно говоря, не понятно, зачем понадобился DIR-300 посредине. И pc-n, получается, что это pc-3, ведь у DIR-100 всего 5 портов, один провайдеру, один в DIR-300, на локальную сеть всего 3 порта остаётся.

Что касается VLAN'ов, то с помощью них, вы, фактически, разбиваете сеть 192.168.10.0/24 на две части, в одной «хорошие», в другой остальные компы. При этом между этими подсетями броадкасты не ходят, если это важно.

mky ★★★★★
(28.02.16 23:36:37 MSK)

Ответ на: комментарий от mky 28.02.16 23:36:37 MSK

pc-n это несколько компов через свитч. dir 300 должен маршрутизировать трафик, как мне думалось. Да, важно, надо чтоб компы оставались в своих сетях. Т.е вланы не вариант вообще?

После этого указываете на шлюзах маршруты в другую подсеть через другой шлюз и на обоих шлюзах (или на одном) разрешаете прохождения трафика от нужных компов к нужным.

Прямой провод между шлюзами в данном случае не нужен?

NAShc
(29.02.16 08:05:29 MSK) автор топика

Ответ на: комментарий от NAShc 29.02.16 08:05:29 MSK

pc-n это несколько компов через свитч

То есть два компа, которым нужно дать доступ подключены напрямую в DIR-100, а остальные, которым доступ не нужен, через простой не управляемый свич?

Прямой провод между шлюзами в данном случае не нужен?

Вобще желателен. Но может вы решили делать связь между шлюзами через VPN через Интернет...

Не знаю, как могут помочь VLAN'ы, чтобы без изменения сети, может man_of_motley, если его кастануть, что скажет.

Не знаю, может ли это DIR-100, но я бы для нужных компов привязал к MAC-адрес к IP-адресу, (защиться от случайного изменения) и маршрутизировал, фильровал по IP.

mky ★★★★★
(29.02.16 15:06:22 MSK)

Ответ на: комментарий от mky 29.02.16 15:06:22 MSK

Схему я неправильно нарисовал, вообще в dir100 один провод заходит, через неуправляемые свитчи 8 или 10 штук компов. Другая подсеть тоже куча неуправляемых свитчей и zeroshell. Я так понял, вланы для этого использовать если и возможно, то очень сложно.

А DD-WRT в DIR300 сможет отфильтровать пакеты все кроме заданных?

Т.е втыкаем один конец в dir100 в обычный порт, другой в dir300. От свитча ,который в другой подсети, тоже подключаем к dir300. И разрешаем проходить в обе стороны пакетам только c заданными ip(например 192.168.10.10, 192.168.10.11 и 192.168.0.20 и 192.168.0.22). А на сетевых интерфейсах в компах добавляем второй ip из другой подсети.

NAShc
(01.03.16 18:56:56 MSK) автор топика

Ответ на: комментарий от NAShc 01.03.16 18:56:56 MSK

DD-WRT сможет отфильтровать. Но, если zeroshell нормальный, то и он сможет фильтровать, (если он будет по пути трафика). Я просто так и не понял, что и куда вы хотите подключить. Так как желание назначать вторые ip-адреса компам наводит на мысли, что вы хотите подключать DIR-300 к неуправляемым свичам, а не к DIR-100?

mky ★★★★★
(01.03.16 22:26:15 MSK)

Ответ на: комментарий от mky 01.03.16 22:26:15 MSK

Но, если zeroshell нормальный

Тогда придется ставить в него еще две сетевухи.

Я просто так и не понял, что и куда вы хотите подключить

Я себе так представляю: Если я просто соединю два свитча из разных сетей, то все компы в одной получат доступ к другой. а надо организовать связь отдельным компам из разных сетей.

dir300 станет маршрутизатором между двумя сетями, и он порубит весь лишний трафик. Если я не ошибаюсь это можно сделать с iptables. Но эти правила я еще ниасилил. И поэтому как составить эти правила и как вписать их в роутер я незнаю.

NAShc
(02.03.16 12:51:05 MSK) автор топика

Ответ на: комментарий от NAShc 02.03.16 12:51:05 MSK

Если просто соединить свичи разных сетей, то доступ получат только те компы, у которых будет по два адреса на интерфейсе — в одной и в другой сети. Иначе они попросту не узнают о другой компьютерах в другой сети. Потому что «прямо» на ethernet интерфейсе компьютер ищет только те компьютеры, которые в одной с ним подсети, а за всеми остальными пойдёт через маршрутизатор.

Если вы ставите DIR-300 именно как маршрутизатор, то вам на компах, которым нужен доступ, нужно прописывать не дополнительный ip-адрес, а маршрут в другую сеть через DIR-300. А на нём уже разрешать прохождение этих пакетов.

Если же вы хотите два ip-адреса на компе, то на DIR-300 нужно делать bridge (мост) из сетевых интерфейсов, подключенных к свичам. И фильтровать пакеты, идущие через bridge.

ИМХО, первый вариант правильнее, тогда проще не запутатся в адресах и меньше нагрузка на DIR-300, через него фактически будут идти только нужные пакеты.

mky ★★★★★
(02.03.16 18:11:07 MSK)