LINUX.ORG.RU
ФорумAdmin

Подскажите вариант объединения удаленных подсетей

 


0

1

Уважаемые коллеги, привет!
Сейчас размышляю над решением задачки по объединению подсетей через WAN. Дано:

1) Машины gateway1 и gateway2 имеют белые статические ip-адреса.

2) Для подсетей subnet0, subnet1 доступ к gateway1 закрыт и дальше router1 они ничего не видят (интернетом и почтой пользуются через прокси и smtp, к-рые работают на машине router1). Остальная свобода (включая ICMP наружу) подрезана iptables'ами

3) Подсеть subnet2 тоже не ходит в интернет напрямую, а исключительно через прокси, работающий на машине gateway2. И здесь iptables'ами все подрезано.

Стоит задача обеспечить доступ из subnet2 к smtp-серверу, работающему на машине router1 и серверу баз данных, работающему в подсети subnet0

Организую туннель (openvpn) между gateway1 и gateway2, настраиваю роутинг/iptables'ы и все работает. С этим вопросов нет.


|----------| |----------| |-----------|
| | | | | |
| gateway2 |~~~~~~[ internet ]~~~~~~~| gateway1 |===[ LAN ]===| router1 |
| | | | | |
|----+-----| |----------| |--+-----+--|
| | |
--------------- --------------- |
( subnet2 ) ( subnet0 ) |
(192.168.2.255) (192.168.0.255) |
|
---------------
( subnet1 )
(192.168.1.255)


Но вскоре понадобится вообще объединить сети так, чтобы, к примеру, машины из subnet2 получали ip-адреса от dhcpd, работающего на машине router1 (сейчас он раздает ip только на subnet0 и subnet1). И прочая-прочая широковещательщина.

Это задача для бриджа. Однако, что-то меня заклинило с тем, что бридж-то нужен между gateway2 и router1, а между ними еще этот gateway1 встрял... Подскажи, пожалуйста, Всезнающий All, как бриджи организовать наиболее прямым / наименее кривым способом?

доступ к gateway1 закрыт и дальше router1 они ничего не видят

Какой в этом сакральный смысл? или gateway1 или router1 явно лишние в этой схеме.

vxzvxz ★★★
()
Ответ на: комментарий от vxzvxz

gateway1 является шлюзом не только для router1 и его подсетей.

braindef
() автор топика

Вкрайнем случае для широковещательных запросов можно сделать dhcp репитер... Но вопрос: а нужно ли? Ведь при нарушении связности у тебя всё поотваливается нафиг. Что есть прочая-прочая широковещательнина? WINS тоже я думаю можно запилить какой-нить.

DALDON ★★★★★
()

Что за LAN между router1 и gw1? Что в нём? зачем его отгораживать с помощью router1?

zgen ★★★★★
()
Ответ на: комментарий от zgen

Просто в gw1 приходит не один router1, а несколько роутеров (у каждого свои подсетки). И не между всеми ими разрешен forwarding. И правила прохождения «за бугор» для разных этих роутеров разные. Поэтому понадобилось отгородить.

braindef
() автор топика
Ответ на: комментарий от braindef

По VPN TFTP? Но зачем? В конфиге dhcp можно указать и локальный tftp сервер. Если у тебя будет L2 openvpn, у тебя будет большой трафик, и большой оверхед...

P.S. я не очень вник в твой вопрос, но предполагаю, что тебе возможно нужно нечто похожее на proxy arp... - То есть как вариант можешь соеденить сети по L3 и гнать proxy arp.

DALDON ★★★★★
()
Ответ на: комментарий от braindef

Если ничего не хочешь менять - поднимай туннель между router1 и gateway2, какая тебе разница, есть между тобой gw1 или еще какой gwX или нет.

На gw2 сервер на router1 клиенты или клиент.

zgen ★★★★★
()

Приветствую!

У меня были такие же заморочки, инкапсулировать в ipsec L2 очень ресурсозатратно для железа.

смотрите в сторону openswann и аналогов, делаете тунель ipsec site-to-site, вроде ah нужно использовать, уже не помню.

ради чего нужно гонять L2 трафик по шифрованному каналу? Это будет гигансткая загрузка: каждый хост который будет заходить в сеть будет флудить, это все будет раскидываться по широковещалке, пакеты будут получать заголовки L2, потом заголовки L3, потом доп.заголовки L3 с эмулированием L2, потом будет разбор этого.

r1sh
()
Ответ на: комментарий от r1sh

Коллеги, спасибо! В общем, действительно: две проблемы возникнут точно при бриджевании: конский оверхед/трафик и конские ресурсозатраты по железу.

Таки придется ставить внутрь subnet2 выделенную машину (dhcpd,tftpd и т.п.), и на нее заливать через туннель образы для bootstrap'а. Получается, наличие лишней небольшой машины в subnet2 - это прямее, чем L2/L3.

braindef
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.