URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 69373
[ Назад ]

Исходное сообщение
"Маршрутизация"
Отправлено monitorr , 06-Окт-06 14:44

Подскажите пожалуйста как можно сделать что бы пользователи из 192.168.0.0/24 интерфейс(bge1) могли достучаться к пользователям 10.50.1.0/24 подинтерфейс (bge1)?
rc.conf:
defaultrouter="195.117.17.241"
gateway_enable="YES"
hostname="xx.xxx.com"
ifconfig_bge0="inet 195.117.17.245  netmask 255.255.255.248"
ifconfig_bge1="inet 192.168.0.180 netmask 255.255.255.0"
ifconfig_bge1_alias0="inet 10.50.1.1 netmask 255.255.255.0"
cloned_interfaces="vlan100"
ifconfig_vlan100="inet 172.18.0.1  netmask 255.255.255.0 vlan 100 vlandev
static_routes="xxx"
route_xxx="-net 192.168.9.0/24 10.50.1.254"
gateway_enable="YES"
firewall_enable="YES"
firewall_quiet="YES"
firewall_type="OPEN"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="bge0"
ifconfig:
bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=5b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING>
        inet 195.117.17.245 netmask 0xfffffff8 broadcast 195.117.17.247
        ether 00:15:60:ed:7c:06
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=5b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING>
        inet 192.168.0.180 netmask 0xffffff00 broadcast 192.168.0.255
        inet 10.50.1.1 netmask 0xffffff00 broadcast 10.50.1.255
        ether 00:15:60:ed:7c:07
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
vlan100: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 172.18.0.1 netmask 0xffffff00 broadcast 172.18.0.255
        ether 00:15:60:ed:7c:07
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
        vlan: 100 parent interface: bge1

Содержание

Маршрутизация,Grey, 14:58 , 06-Окт-06
- Маршрутизация,monitorr, 15:13 , 06-Окт-06
  - Маршрутизация,A Clockwork Orange, 15:22 , 06-Окт-06
    - Маршрутизация,monitorr, 15:29 , 06-Окт-06
      - Маршрутизация,Grey, 16:05 , 06-Окт-06
        
        Маршрутизация,monitorr, 16:12 , 06-Окт-06
        Маршрутизация,boykov, 16:28 , 07-Окт-06
        
        Маршрутизация,Grey, 18:05 , 07-Окт-06
Маршрутизация,boykov, 15:12 , 07-Окт-06
Маршрутизация,universite, 15:28 , 07-Окт-06
- Маршрутизация,skyer, 15:44 , 07-Окт-06
- Маршрутизация,boykov, 16:29 , 07-Окт-06
  - Маршрутизация,universite, 02:12 , 08-Окт-06
    - Маршрутизация,boykov, 11:25 , 08-Окт-06
      - Маршрутизация,universite, 17:48 , 08-Окт-06
    - Маршрутизация,Grey, 11:53 , 08-Окт-06

Сообщения в этом обсуждении

"Маршрутизация"
Отправлено Grey , 06-Окт-06 14:58

>Подскажите пожалуйста как можно сделать что бы пользователи из 192.168.0.0/24 интерфейс(bge1) могли
>достучаться к пользователям 10.50.1.0/24 подинтерфейс (bge1)?
в вашем случае вроде не надо ничего особенного делать (если в фаерволе пакеты не режутся)... роутер имеет адреса из обоих сетей, значит знает кто где и gateway_enable="YES" включено....
а что? у вас пинги между этими сетями не ходят?
как настроены хосты в сетях? какие шлюзы прописаны?

"Маршрутизация"
Отправлено monitorr , 06-Окт-06 15:13

>>Подскажите пожалуйста как можно сделать что бы пользователи из 192.168.0.0/24 интерфейс(bge1) могли
>>достучаться к пользователям 10.50.1.0/24 подинтерфейс (bge1)?
>
>в вашем случае вроде не надо ничего особенного делать (если в фаерволе
>пакеты не режутся)... роутер имеет адреса из обоих сетей, значит знает
>кто где и gateway_enable="YES" включено....
>а что? у вас пинги между этими сетями не ходят?
>как настроены хосты в сетях? какие шлюзы прописаны?
пинги не проходят при трасировки пакеты дальше 192.168.0.180 не уходят :(
из 192 сети шлюзовым выступает интерфейс bge1 (192.168.0.180)
из 10 сети шлюзовым выступает подинтерфейс bge1 (10.50.1.1)
в фаерволе нет правил которые могли бы помешать прохождению пакетов
rc.firewall:
#!/bin/sh -

fwcmd="/sbin/ipfw"

####################################
oif="bge0"
onet="29"
omask="255.255.255.248"
oip="195.117.17.245"

iif="bge1"
inet="24"
imask="255.255.255.0"
iip="192.168.0.180"
nip="192.168.0.0"

vif="vlan100"
vnet="24"
vmask="255.255.255.0"
vip="172.18.0.1"
vnip="172.18.0.0"

####################################

pip1="192.168.0.103"

####################################

${fwcmd} -f flush

####################################

${fwcmd} add pass all from any to any via lo0

####################################

${fwcmd} add deny ip from 192.168.0.0/16 to any in via ${oif}
${fwcmd} add deny ip from 172.16.0.0/12 to any in via ${oif}
${fwcmd} add deny ip from 10.0.0.0/8 to any in via ${oif}
####################################

${fwcmd} add divert natd ip from ${pip1} to any out via ${oif}
${fwcmd} add divert natd ip from any to ${oip} in via ${oif}

"Маршрутизация"
Отправлено A Clockwork Orange , 06-Окт-06 15:22

>>>Подскажите пожалуйста как можно сделать что бы пользователи из 192.168.0.0/24 интерфейс(bge1) могли
>>>достучаться к пользователям 10.50.1.0/24 подинтерфейс (bge1)?
>>
>>в вашем случае вроде не надо ничего особенного делать (если в фаерволе
>>пакеты не режутся)... роутер имеет адреса из обоих сетей, значит знает
>>кто где и gateway_enable="YES" включено....
>>а что? у вас пинги между этими сетями не ходят?
>>как настроены хосты в сетях? какие шлюзы прописаны?
>
>пинги не проходят при трасировки пакеты дальше 192.168.0.180 не уходят :(
>из 192 сети шлюзовым выступает интерфейс bge1 (192.168.0.180)
>из 10 сети шлюзовым выступает подинтерфейс bge1 (10.50.1.1)
>в фаерволе нет правил которые могли бы помешать прохождению пакетов
>
>rc.firewall:
>
>#!/bin/sh -
>
>fwcmd="/sbin/ipfw"
>
>####################################
>oif="bge0"
>onet="29"
>omask="255.255.255.248"
>oip="195.117.17.245"
>
>iif="bge1"
>inet="24"
>imask="255.255.255.0"
>iip="192.168.0.180"
>nip="192.168.0.0"
>
>vif="vlan100"
>vnet="24"
>vmask="255.255.255.0"
>vip="172.18.0.1"
>vnip="172.18.0.0"
>
>####################################
>
>pip1="192.168.0.103"
>
>####################################
>
>${fwcmd} -f flush
>
>####################################
>
>${fwcmd} add pass all from any to any via lo0
>
>####################################
>
>${fwcmd} add deny ip from 192.168.0.0/16 to any in via ${oif}
>${fwcmd} add deny ip from 172.16.0.0/12 to any in via ${oif}
>${fwcmd} add deny ip from 10.0.0.0/8 to any in via ${oif}
>
>####################################
>
>${fwcmd} add divert natd ip from ${pip1} to any out via ${oif}
>
>${fwcmd} add divert natd ip from any to ${oip} in via ${oif}
>
судя по файерволу,в нем нет и правил разрешающих прохождение пакетов.

"Маршрутизация"
Отправлено monitorr , 06-Окт-06 15:29

>>>>Подскажите пожалуйста как можно сделать что бы пользователи из 192.168.0.0/24 интерфейс(bge1) могли
>>>>достучаться к пользователям 10.50.1.0/24 подинтерфейс (bge1)?
>>>
>>>в вашем случае вроде не надо ничего особенного делать (если в фаерволе
>>>пакеты не режутся)... роутер имеет адреса из обоих сетей, значит знает
>>>кто где и gateway_enable="YES" включено....
>>>а что? у вас пинги между этими сетями не ходят?
>>>как настроены хосты в сетях? какие шлюзы прописаны?
>>
>>пинги не проходят при трасировки пакеты дальше 192.168.0.180 не уходят :(
>>из 192 сети шлюзовым выступает интерфейс bge1 (192.168.0.180)
>>из 10 сети шлюзовым выступает подинтерфейс bge1 (10.50.1.1)
>>в фаерволе нет правил которые могли бы помешать прохождению пакетов
>>
>>rc.firewall:
>>
>>#!/bin/sh -
>>
>>fwcmd="/sbin/ipfw"
>>
>>####################################
>>oif="bge0"
>>onet="29"
>>omask="255.255.255.248"
>>oip="195.117.17.245"
>>
>>iif="bge1"
>>inet="24"
>>imask="255.255.255.0"
>>iip="192.168.0.180"
>>nip="192.168.0.0"
>>
>>vif="vlan100"
>>vnet="24"
>>vmask="255.255.255.0"
>>vip="172.18.0.1"
>>vnip="172.18.0.0"
>>
>>####################################
>>
>>pip1="192.168.0.103"
>>
>>####################################
>>
>>${fwcmd} -f flush
>>
>>####################################
>>
>>${fwcmd} add pass all from any to any via lo0
>>
>>####################################
>>
>>${fwcmd} add deny ip from 192.168.0.0/16 to any in via ${oif}
>>${fwcmd} add deny ip from 172.16.0.0/12 to any in via ${oif}
>>${fwcmd} add deny ip from 10.0.0.0/8 to any in via ${oif}
>>
>>####################################
>>
>>${fwcmd} add divert natd ip from ${pip1} to any out via ${oif}
>>
>>${fwcmd} add divert natd ip from any to ${oip} in via ${oif}
>>
>
>судя по файерволу,в нем нет и правил разрешающих прохождение пакетов.
${fwcmd} add pass all from any to any - этого будет достаточно ?

"Маршрутизация"
Отправлено Grey , 06-Окт-06 16:05

>>>>>Подскажите пожалуйста как можно сделать что бы пользователи из 192.168.0.0/24 интерфейс(bge1) могли
>>>>>достучаться к пользователям 10.50.1.0/24 подинтерфейс (bge1)?
>>>>
>>>>в вашем случае вроде не надо ничего особенного делать (если в фаерволе
>>>>пакеты не режутся)... роутер имеет адреса из обоих сетей, значит знает
>>>>кто где и gateway_enable="YES" включено....
>>>>а что? у вас пинги между этими сетями не ходят?
>>>>как настроены хосты в сетях? какие шлюзы прописаны?
>>>
>>>пинги не проходят при трасировки пакеты дальше 192.168.0.180 не уходят :(
>>>из 192 сети шлюзовым выступает интерфейс bge1 (192.168.0.180)
>>>из 10 сети шлюзовым выступает подинтерфейс bge1 (10.50.1.1)
>>>в фаерволе нет правил которые могли бы помешать прохождению пакетов
>>>
>>>rc.firewall:
>>>
>>>#!/bin/sh -
>>>
>>>fwcmd="/sbin/ipfw"
>>>
>>>####################################
>>>oif="bge0"
>>>onet="29"
>>>omask="255.255.255.248"
>>>oip="195.117.17.245"
>>>
>>>iif="bge1"
>>>inet="24"
>>>imask="255.255.255.0"
>>>iip="192.168.0.180"
>>>nip="192.168.0.0"
>>>
>>>vif="vlan100"
>>>vnet="24"
>>>vmask="255.255.255.0"
>>>vip="172.18.0.1"
>>>vnip="172.18.0.0"
>>>
>>>####################################
>>>
>>>pip1="192.168.0.103"
>>>
>>>####################################
>>>
>>>${fwcmd} -f flush
>>>
>>>####################################
>>>
>>>${fwcmd} add pass all from any to any via lo0
>>>
>>>####################################
>>>
>>>${fwcmd} add deny ip from 192.168.0.0/16 to any in via ${oif}
>>>${fwcmd} add deny ip from 172.16.0.0/12 to any in via ${oif}
>>>${fwcmd} add deny ip from 10.0.0.0/8 to any in via ${oif}
>>>
>>>####################################
>>>
>>>${fwcmd} add divert natd ip from ${pip1} to any out via ${oif}
>>>
>>>${fwcmd} add divert natd ip from any to ${oip} in via ${oif}
>>>
>>
>>судя по файерволу,в нем нет и правил разрешающих прохождение пакетов.
>
>${fwcmd} add pass all from any to any - этого будет достаточно
>?

для начала выберите в /etc/rc.firewall набр правил OPEN (имею в виду тот набор, который есть при установке оси, а не тот который вы уже под себя правили) и с ним пробуйте ...
/etc/rc.conf
firewall_enable="YES"
firewall_type="OPEN"
правило диверта будет первым .... (если natd включать штатно в rc.conf)
думаю так будет работать ... но это всё фаервол ... а с маршрутизацией всё в порядке изначально ...

"Маршрутизация"
Отправлено monitorr , 06-Окт-06 16:12

>для начала выберите в /etc/rc.firewall набр правил OPEN (имею в виду тот
>набор, который есть при установке оси, а не тот который вы
>уже под себя правили) и с ним пробуйте ...
>/etc/rc.conf
>firewall_enable="YES"
>firewall_type="OPEN"
Все это и так присутствует

>правило диверта будет первым .... (если natd включать штатно в rc.conf)
>думаю так будет работать ... но это всё фаервол ... а с
>маршрутизацией всё в порядке изначально ...
может кто нибудь поможет сформировать правило?

"Маршрутизация"
Отправлено boykov , 07-Окт-06 16:28

>... а с
>маршрутизацией всё в порядке изначально ...
нет. у него статик рут на одну сеть прописан на другую карту. изначально.

"Маршрутизация"
Отправлено Grey , 07-Окт-06 18:05

>>... а с
>>маршрутизацией всё в порядке изначально ...
>нет. у него статик рут на одну сеть прописан на другую карту.
>изначально.
defaultrouter="195.117.17.241"
gateway_enable="YES"
hostname="xx.xxx.com"
ifconfig_bge0="inet 195.117.17.245  netmask 255.255.255.248"
ifconfig_bge1="inet 192.168.0.180 netmask 255.255.255.0"
ifconfig_bge1_alias0="inet 10.50.1.1 netmask 255.255.255.0"
cloned_interfaces="vlan100"
ifconfig_vlan100="inet 172.18.0.1  netmask 255.255.255.0 vlan 100 vlandev
static_routes="xxx"
route_xxx="-net 192.168.9.0/24 10.50.1.254"
gateway_enable="YES"
firewall_enable="YES"
firewall_quiet="YES"
firewall_type="OPEN"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="bge0"
в каком месту тут ошибки с настройкой маршрутизации? :)
ifconfig_bge1="inet 192.168.0.180 netmask 255.255.255.0"
ifconfig_bge1_alias0="inet 10.50.1.1 netmask 255.255.255.0"
static_routes="xxx"
route_xxx="-net 192.168.9.0/24 10.50.1.254"
при чём речь идёт об обмене между сетями 192.168.0.0/24 и 10.......
правда конечно:
static_routes="xxx"
route_xxx="-net 192.168.9.0/24 10.50.1.254"
это бред ... согласен ... но в общем мешать не будет ...
повторюсь: скорее всего проблема в фаерволе... а для этого я упоминал задействовать стандартный набор правил OPEN ... когда пинги пойдёт - дорабатывать этот набор под свои нужды... только перед дороботкой читать, читать, читать до просветления .... читать документацию ...

"Маршрутизация"
Отправлено boykov , 07-Окт-06 15:12

>static_routes="xxx"
>route_xxx="-net 192.168.9.0/24 10.50.1.254"
убрать.

"Маршрутизация"
Отправлено universite , 07-Окт-06 15:28

>Подскажите пожалуйста как можно сделать что бы пользователи из 192.168.0.0/24 интерфейс(bge1) могли
>достучаться к пользователям 10.50.1.0/24 подинтерфейс (bge1)?

>ifconfig_bge1="inet 192.168.0.180 netmask 255.255.255.0"
>ifconfig_bge1_alias0="inet 10.50.1.1 netmask 255.255.255.0"
Это что за фигня - два IP из разных сетей на одном интерфейсе???
Хоть VLAN'ами надо бы отделить.
А netstat -rn - покажет текущую таблицу маршрутизации.

"Маршрутизация"
Отправлено skyer , 07-Окт-06 15:44

>>Подскажите пожалуйста как можно сделать что бы пользователи из 192.168.0.0/24 интерфейс(bge1) могли
>>достучаться к пользователям 10.50.1.0/24 подинтерфейс (bge1)?
>
>
>>ifconfig_bge1="inet 192.168.0.180 netmask 255.255.255.0"
>>ifconfig_bge1_alias0="inet 10.50.1.1 netmask 255.255.255.0"
>
>Это что за фигня - два IP из разных сетей на одном
>интерфейсе???
>Хоть VLAN'ами надо бы отделить.
>А netstat -rn - покажет текущую таблицу маршрутизации.
и без влана будет пахать и пашет без проблем, а влан нуэен если надо прямиком через роутер пробросить без изменения. я меня через 4 шлюза пакеты до IP станции летят без этого не пашет
поставить net.inet.ip.forwarding= 1 в sysctl.conf

"Маршрутизация"
Отправлено boykov , 07-Окт-06 16:29

>Это что за фигня - два IP из разных сетей на одном
>интерфейсе???
>Хоть VLAN'ами надо бы отделить.
>А netstat -rn - покажет текущую таблицу маршрутизации.
И чего такого страшного? абсолютно нормально.

"Маршрутизация"
Отправлено universite , 08-Окт-06 02:12

>>Это что за фигня - два IP из разных сетей на одном
>>интерфейсе???
>>Хоть VLAN'ами надо бы отделить.
>>А netstat -rn - покажет текущую таблицу маршрутизации.
>И чего такого страшного? абсолютно нормально.
Какое, нафиг, нормально???
На этом интерфейсе будет мешанина пакетов из двух разных сетей.
И фряху будет колбасить по поводу пересылки пакетов в нужное место.
Согласно текущим данным, работать будет только первый алиас - 192.168.0.180.
Что собственно и происходит.
Автору - учить правила маршрутизации нескольких сетей.

"Маршрутизация"
Отправлено boykov , 08-Окт-06 11:25

>>>Это что за фигня - два IP из разных сетей на одном
>>>интерфейсе???
>>>Хоть VLAN'ами надо бы отделить.
>>>А netstat -rn - покажет текущую таблицу маршрутизации.
>>И чего такого страшного? абсолютно нормально.
>
>Какое, нафиг, нормально???
>На этом интерфейсе будет мешанина пакетов из двух разных сетей.
>И фряху будет колбасить по поводу пересылки пакетов в нужное место.
не по этой причине.
ns# ifconfig
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=40<>
        inet чxxxxxx.21 netmask 0xfffffff0 broadcast xxxxxxxxxxxxx9.31
        inet zzzzzzzzzz1.21 netmask 0xfffffff0 broadcast zzzzzzzzzzz1.31
        ether 00:05:5d:77:a7:52
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
работает.
Аналогично на линухе
root@kscmain:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:50:FC:37:C7:17
          inet addr:zzzzzzzzzzzz.17  Bcast:zzzzzzzzzzzzzz.31  Mask:255.255.255.240
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:91476808 errors:0 dropped:0 overruns:0 frame:0
          TX packets:108545629 errors:0 dropped:0 overruns:0 carrier:0
          collisions:3905817 txqueuelen:100
          RX bytes:1201880663 (1146.2 Mb)  TX bytes:2551143815 (2432.9 Mb)
          Interrupt:10 Base address:0xd800
eth0:0    Link encap:Ethernet  HWaddr 00:50:FC:37:C7:17
          inet addr:xxxxxxxxxxxx.17  Bcast:xxxxxxxxxxxxxxx.31  Mask:255.255.255.240
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:10 Base address:0xd800
eth0:1    Link encap:Ethernet  HWaddr 00:50:FC:37:C7:17
          inet addr:192.168.92.1  Bcast:212.114.19.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:10 Base address:0xd800
Работает, причем со свистом. Никто не заперещает на одной карте держать несколько сетей.
>Согласно текущим данным, работать будет только первый алиас - 192.168.0.180.
Именно он и не работает...
>Что собственно и происходит.
>Автору - учить правила маршрутизации нескольких сетей.
Звиняйтэ, батку, но RTFM по поводу маршрутизации. И алиасов.
А насчет vlan... Может ему удобней их терминирвоать на свиче, а рутить -- на рутере.

"Маршрутизация"
Отправлено universite , 08-Окт-06 17:48

>>Согласно текущим данным, работать будет только первый алиас - 192.168.0.180.
>Именно он и не работает...
>>Что собственно и происходит.
>>Автору - учить правила маршрутизации нескольких сетей.
>
>Звиняйтэ, батку, но RTFM по поводу маршрутизации. И алиасов.
Звиняйте, таки такий маразм можна прописати на FreeBSD - http://www.freebsd.org/doc/ru_RU.KOI8-R/books/faq/networking...
>А насчет vlan... Может ему удобней их терминирвоать на свиче, а рутить
>-- на рутере.
И это правильно. Согласен, что свитч сумеет разобраться, кто из какой подсети.
Но маленький бродкастовый шторм уложит этот свитч в даун. Поэтому я предпочитаю теггировать все сети, чтоб никто не смог вылезть из своей подсети.

"Маршрутизация"
Отправлено Grey , 08-Окт-06 11:53

>>>Это что за фигня - два IP из разных сетей на одном
>>>интерфейсе???
>>>Хоть VLAN'ами надо бы отделить.
>>>А netstat -rn - покажет текущую таблицу маршрутизации.
>>И чего такого страшного? абсолютно нормально.
>
>Какое, нафиг, нормально???
>На этом интерфейсе будет мешанина пакетов из двух разных сетей.
>И фряху будет колбасить по поводу пересылки пакетов в нужное место.
>Согласно текущим данным, работать будет только первый алиас - 192.168.0.180.
>Что собственно и происходит.
>Автору - учить правила маршрутизации нескольких сетей.
никого колбасить не будет ... и мешанины не будет .... с чего вы взяли?
нормальная ситуация ...
у Автора просто с фаерволом проблема ИМХО .....