Подскажите вариант объединения удаленных подсетей

0

1

Уважаемые коллеги, привет!
Сейчас размышляю над решением задачки по объединению подсетей через WAN. Дано:

1) Машины gateway1 и gateway2 имеют белые статические ip-адреса.

2) Для подсетей subnet0, subnet1 доступ к gateway1 закрыт и дальше router1 они ничего не видят (интернетом и почтой пользуются через прокси и smtp, к-рые работают на машине router1). Остальная свобода (включая ICMP наружу) подрезана iptables'ами

3) Подсеть subnet2 тоже не ходит в интернет напрямую, а исключительно через прокси, работающий на машине gateway2. И здесь iptables'ами все подрезано.

Стоит задача обеспечить доступ из subnet2 к smtp-серверу, работающему на машине router1 и серверу баз данных, работающему в подсети subnet0

Организую туннель (openvpn) между gateway1 и gateway2, настраиваю роутинг/iptables'ы и все работает. С этим вопросов нет.


|----------|                         |----------|             |-----------|
|          |                         |          |             |           |
| gateway2 |~~~~~~[ internet ]~~~~~~~| gateway1 |===[ LAN ]===|  router1  |
|          |                         |          |             |           |
|----+-----|                         |----------|             |--+-----+--|
     |                                                           |     |
---------------                                      ---------------   |
( subnet2     )                                      ( subnet0     )   |
(192.168.2.255)                                      (192.168.0.255)   |
                                                                       |
                                                            ---------------
                                                            ( subnet1     )
                                                            (192.168.1.255)

Но вскоре понадобится вообще объединить сети так, чтобы, к примеру, машины из subnet2 получали ip-адреса от dhcpd, работающего на машине router1 (сейчас он раздает ip только на subnet0 и subnet1). И прочая-прочая широковещательщина.

Это задача для бриджа. Однако, что-то меня заклинило с тем, что бридж-то нужен между gateway2 и router1, а между ними еще этот gateway1 встрял... Подскажи, пожалуйста, Всезнающий All, как бриджи организовать наиболее прямым / наименее кривым способом?

Ссылка

←	Привычно-понятное CDR

Оптимизация MySQL на CentOS 6

→

доступ к gateway1 закрыт и дальше router1 они ничего не видят

Какой в этом сакральный смысл? или gateway1 или router1 явно лишние в этой схеме.

vxzvxz ★★★
(13.08.13 13:19:18 MSK)

Ответ на: комментарий от vxzvxz 13.08.13 13:19:18 MSK

gateway1 является шлюзом не только для router1 и его подсетей.

braindef ★
(13.08.13 13:51:13 MSK) автор топика

Ссылка

Вкрайнем случае для широковещательных запросов можно сделать dhcp репитер... Но вопрос: а нужно ли? Ведь при нарушении связности у тебя всё поотваливается нафиг. Что есть прочая-прочая широковещательнина? WINS тоже я думаю можно запилить какой-нить.

DALDON ★★★★★
(13.08.13 14:50:55 MSK)

Ответ на: комментарий от DALDON 13.08.13 14:50:55 MSK

Да, dhcp-репитер - это понятно.
Широковещательщина - BOOTP (с последующим TFTP)

braindef ★
(13.08.13 15:11:20 MSK) автор топика

Что за LAN между router1 и gw1? Что в нём? зачем его отгораживать с помощью router1?

~~zgen~~ ★★★★★
(13.08.13 15:52:09 MSK)

Ответ на: комментарий от zgen 13.08.13 15:52:09 MSK

Просто в gw1 приходит не один router1, а несколько роутеров (у каждого свои подсетки). И не между всеми ими разрешен forwarding. И правила прохождения «за бугор» для разных этих роутеров разные. Поэтому понадобилось отгородить.

braindef ★
(13.08.13 16:34:24 MSK) автор топика

Ответ на: комментарий от braindef 13.08.13 15:11:20 MSK

По VPN TFTP? Но зачем? В конфиге dhcp можно указать и локальный tftp сервер. Если у тебя будет L2 openvpn, у тебя будет большой трафик, и большой оверхед...

P.S. я не очень вник в твой вопрос, но предполагаю, что тебе возможно нужно нечто похожее на proxy arp... - То есть как вариант можешь соеденить сети по L3 и гнать proxy arp.

DALDON ★★★★★
(13.08.13 16:51:02 MSK)

Ссылка

Ответ на: комментарий от braindef 13.08.13 16:34:24 MSK

Если ничего не хочешь менять - поднимай туннель между router1 и gateway2, какая тебе разница, есть между тобой gw1 или еще какой gwX или нет.

На gw2 сервер на router1 клиенты или клиент.

~~zgen~~ ★★★★★
(13.08.13 17:08:43 MSK)

Ссылка

Приветствую!

У меня были такие же заморочки, инкапсулировать в ipsec L2 очень ресурсозатратно для железа.

смотрите в сторону openswann и аналогов, делаете тунель ipsec site-to-site, вроде ah нужно использовать, уже не помню.

ради чего нужно гонять L2 трафик по шифрованному каналу? Это будет гигансткая загрузка: каждый хост который будет заходить в сеть будет флудить, это все будет раскидываться по широковещалке, пакеты будут получать заголовки L2, потом заголовки L3, потом доп.заголовки L3 с эмулированием L2, потом будет разбор этого.

r1sh
(13.08.13 20:46:22 MSK)

Ответ на: комментарий от r1sh 13.08.13 20:46:22 MSK

Коллеги, спасибо! В общем, действительно: две проблемы возникнут точно при бриджевании: конский оверхед/трафик и конские ресурсозатраты по железу.

Таки придется ставить внутрь subnet2 выделенную машину (dhcpd,tftpd и т.п.), и на нее заливать через туннель образы для bootstrap'а. Получается, наличие лишней небольшой машины в subnet2 - это прямее, чем L2/L3.

braindef ★
(14.08.13 09:22:07 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Привычно-понятное CDR

Admin

Оптимизация MySQL на CentOS 6

→

Похожие темы