LINUX.ORG.RU
ФорумAdmin

обьединение двух подсетей

 


0

1

Приветствую. Прошу помочь разобраться начинающему. Имеется сервер (ubuntu 16.04) смотрящий в две подсети 192.168.1.0/24 и 192.168.2.0/24, enp33 с адресом 192.168.1.246, enp34 с адресом 192.168.2.1. форвардинг включен, ничего не дропается (пока).Сервер получает интернет из подсети 192.168.1.0 и выступает в роли шлюза для 192.168.2.0. С помощью «masquerade» из сети 192.168.2.0 прекрасно видно все ПК 192.168.1.0 подсетки. Задача заключается в том чтобы был доступ по IP из подсети 192.168.1.0 к клиентским ПК из подсети 192.168.2.0. Всю голову сломал уже, пробовал маскарадом сделать доступ по аналогии но почему-то безрезультатно. 

*nat
:PREROUTING ACCEPT [4:609]
:INPUT ACCEPT [2:486]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
COMMIT
# Completed on Mon Jun 25 06:16:04 2018
# Generated by iptables-save v1.6.0 on Mon Jun 25 06:16:04 2018
*filter
:INPUT ACCEPT [386:40315]
:FORWARD ACCEPT [25:1432]
:OUTPUT ACCEPT [329:38255]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto ens33
iface ens33 inet static
address 192.168.1.246
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 192.168.1.1

#local
auto ens34
iface ens34 inet static
address 192.168.2.1
netmask 255.255.255.0

не применились изменения А-записи для домена
Учет положения данных на сменных носителях.

1 2

пробовал маскарадом сделать доступ по аналогии

че-т незаметно

Сервер ... выступает в роли шлюза для 192.168.2.0

Асимметрию видишь?

Хосты из 192.168.1.0/24 в курсе, что именно он шлюзует в 192.168.2.0/24? Скинь таблицу маршрутизации с одного из них?

t184256 ★★★★★
()
Ответ на: комментарий от veeryskier

Конечно необходимо, иначе пакет для 192.168.2.0/24 уйдет наружу по дефолтному маршруту.

Там вроде такой же route add, как и на линуксе.

t184256 ★★★★★
()

всем большое спасибо. вопрос решен , на виндовой машине прописал в командной строке 

route ADD -p 192.168.2.0 MASK 255.255.255.0 192.168.1.146 METRIC 1

veeryskier
() автор топика
Ответ на: комментарий от system-root

это не наружу! просто локалку разделили на ту которая будет за проксей 192.168.2.0/24 и ту которая останется без изменений. Остальное все реализовал со squid"ом, но возникла такая потребность иметь доступ в эту «новую локалку»

veeryskier
() автор топика
Ответ на: комментарий от system-root

shall not

inter-enterprise links

на уровне гайдлайна и здравого смысла да, но сетап ТСа точно протекал наружу.

t184256 ★★★★★
()
Ответ на: комментарий от system-root

Это указание тебе, что следует сделать 

iptables -A FORWARD -d 192.168.0.0/16 -o wan0 -j REJECT --reject-with icmp-net-unreachable

а не то, что железка сама будет что-то ограничивать. Может у тебя шлюз стоящий за WAN интерфейсом знает как до 192.168.135.0/24 добраться, и тебе оно надо?

mogwai ★★★★★
()
Последнее исправление: mogwai (всего исправлений: 1)

поторопился сказав что все решилось, из 192.168.1.х пинг идет до 192.168.2.1, а дальше почемуто не видит.

veeryskier
() автор топика
Ответ на: комментарий от system-root

раз разросся уже до двух сетей, начинай думать про OSPF, шоб сразу по взрослому.

Зачем? Дефолт по OSPF на клиентов получать что ли? Это, как бы, перебор. :-)

AS ★★★★★
()

enp33 с адресом 192.168.1.246, enp34 с адресом 192.168.2.1

У хостов в 192.168.1.0/24 шлюзом должне быть 192.168.1.246, а у 192.168.2.0/24 - 192.168.2.1. И ничего больше не нужно. Дефолт прописывать руками, либо раздавать по DHCP вместе с IP.

Кстати, я бы однообразные IP выдал на сервер, либо x.1, либо x.254 - как-то проще помнить.

AS ★★★★★
()

gateway 192.168.1.1

Или там ещё роутер в мир в одной из сетей? Но, в принципе, это не особо что-то меняет. Хотя, в теории, уже может оправдать OSPF между роутерами. Но всё равно, пока чрезмерно.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от system-root

на маршрутизаторах же.

Я что-то сразу не заметил, что их там два в одной из сетей. Но статикой всё равно дешевле обойтись пока - всего-то две сети.

AS ★★★★★
()
Ответ на: комментарий от t184256

из 192.168.2.0/24 наружу ходят прекрасно там маскарад отрабатывает!

veeryskier
() автор топика
Ответ на: комментарий от system-root

У меня например трейс на адреса 192.168.* и 10.* спокойно проходит за пределы провайдера и умирает где-то на пиринге. Некоторые адреса даже на пинги отвечают.

Deleted
()

может в /etc/network/interfaces нужно что то дописать типо up route add -net... ? попробавал прописывать но сетевая в ошибку уходит, возможно дело в синтаксисе у меня

veeryskier
() автор топика
Ответ на: комментарий от t184256

смущает что после прописывания на вин машину из 192.168.1.0 

route ADD -p 192.168.2.0 MASK 255.255.255.0 192.168.1.146 METRIC 1

эта машина смогла пинговать 192.168.2.1, значит она уже попала в локалку, или нет?

veeryskier
() автор топика
Ответ на: комментарий от veeryskier

попала в локалку

нет такого понятия.

если 192.168.2.1 - действительно твой 192.168.1.146 и отвечает, то надо смотреть, 1) пропускает ли он пакеты, адресованные остальной 192.168.2.0/24 внутрь 2) пропускает ли ответы наружу и 3) почему нет.

t184256 ★★★★★
()
Ответ на: комментарий от veeryskier

только адрес у него /etc/sysctl.conf

Это конфиг. А реально это воздействует на /proc/sys/net/ipv4/ip_forward. Если всё сработало, то тут должна быть единичка.

AS ★★★★★
()

Тут только одно, выучить как работает маршрутизация раз и на всегда.

ZeroNight
()

Во-первых, это не подсети, а сети. Почитай что такое подсети и в чем их отличие о сетей.

В общем, что бы сеть 1.0 и 2.0 видели друг друга на шлюзе сети 1.0 нужно проложить маршрут до сети 2.0 через ip адрес 1.246, так же в iprables разрешить forward пакетов с адресом источника из сети 1.0 и адресом назначения в сети 2.0 и аналогичное обратное правило.

kostik87 ★★★★★
()
Ответ на: комментарий от ZeroNight

Есть классы сетей, a,b,c.

192.168.1.0/24 и 192.168.2.0/24 - это сети класса C.

С маской сети 255.255.255.0. Маска определяет какая часть адреса является адресом сети, а какая - хоста.

И вот если сеть класса C с маской 24, т.е. 255.255.255.0, в которой может быть 254 адреса хоста, разрезать на подсети, т.е. выделить меньшие диапазоны адресов с маской, к примеру /25 (255.255.255.128) или /26 (255.255.255.192) или /27 (255.255.255.224), то это уже и будут подсети. В /25 126 адресов хостов, /26 - 62, /27 - 30, /28 - 14.

Вот это уже подсети.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Во-первых, это не подсети, а сети. Почитай что такое подсети и в чем их отличие о сетей.

В варианте с масками, фактически, без разницы.

AS ★★★★★
()
Ответ на: комментарий от kostik87

Есть классы сетей, a,b,c.

Понятие «класс» пропадает тогда, когда начинает применяться маска. Разве что по старинке, для понимания количества адресов на уровне подкорки. Не более того.

192.168.1.0/24 и 192.168.2.0/24

Это две подсети в сети 192.168.0.0/22 ;-)

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от kostik87

почитаю. прописал на шлюзе 1.0 путь в таблице маршрутизации. в таблице filter запрещающих правил пока нет!

veeryskier
() автор топика
Ответ на: комментарий от kostik87

/24 - это сеть класса C по стандарту,

Нет. https://ru.wikipedia.org/wiki/Классовая_адресация

/24 ты можешь сделать в 10.0.0.0/8, но это не будет сеть класса С. Говорю же, понятие «класс» теряет смысл при использовании маски.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от veeryskier

попробовал его выключить и проверить - результат тот же (превышен интервал ...).

В Windows сейчас icmp echo закрыт по-умолчанию, кстати. Кажется...

AS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
не применились изменения А-записи для домена
Admin
Учет положения данных на сменных носителях.