URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 76257
[ Назад ]

Исходное сообщение
"Проблема с объединненим двух сетей"
Отправлено VAR , 16-Сен-07 20:43

Есть две домашних сети построенных на обычных свитча. В каждой сети около 100-140 компьюетеров.
Нужно их объединить и дать возможность обеим сетя видеть друг друга, при этом еще требуется блокировать пользователей на связке мак+ип.
FreeBSD, две сетевых
сеть1 = 192.168.13.0/24
сеть2 = 192.168.12.0/24
Ядро компилировал с опциями
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
на пользовательских машинах(windows) прописал роуты и даже задавал основной шлюз машину с FreeBSD
роут 1ая сеть(13.0)
route add 192.168.12.0 mask 255.255.255.0 192.168.13.11
роуты 2ая сеть(12.0)
route add 192.168.13.0 mask 255.255.255.0 192.168.12.11
с данными конфигами могу из сети 13.х попадать в 12.х без проблем, копировать файлы,radmin и прочее. а из 12.х в 13.х - ничего :(
из 12.х могу только лишь пинговать 192.168.13.11(FREEBSD)
Я почти новичек в FREEBSD, не знаю что уже смотреть и крутить :( От всего прочитанного голова уже не соображает :)
Что тут нужно исправить\дописать или может дайте готовый конфиг под такой вариант?
/etc/rc.conf
firewall_enable="YES"
firewall_type="open"
gateway_enable="YES"
natd_enble="YES"
natd_interface="vr0"
hostname="chasniki.net"
ifconfig_vr0="inet 192.168.13.11  netmask 255.255.255.0"
ifconfig_rl0="inet 192.168.12.11  netmask 255.255.255.0"
defaultrouter="192.168.13.1"
keymap="ru.koi8-r"
#linux_enable="YES"
moused_type="auto"
#nfs_server_enable="YES"
#rpcbind_enable="YES"
sshd_enable="YES"
usbd_enable="YES"
ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 allow ip from any to any

netstat -rn
Routing tables
Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.13.1       UGS         0        0    vr0
127.0.0.1          127.0.0.1          UH          0       24    lo0
192.168.12         link#2             UC          0        0    rl0
192.168.12.100     00:50:bf:20:7e:3d  UHLW        1      328    rl0    896
192.168.13         link#1             UC          0        0    vr0
192.168.13.1       link#1             UHLW        2        0    vr0
192.168.13.227     00:a0:c5:b3:ae:76  UHLW        1      798    vr0   1195

Содержание

Проблема с объединненим двух сетей,mixa, 22:02 , 16-Сен-07
- Проблема с объединненим двух сетей,VAR, 01:07 , 17-Сен-07
Проблема с объединненим двух сетей,Tomuro, 02:03 , 17-Сен-07
- Проблема с объединненим двух сетей,helloworld, 10:12 , 17-Сен-07
  - Проблема с объединненим двух сетей,бусик, 10:28 , 17-Сен-07
    - Проблема с объединненим двух сетей,VAR, 12:11 , 17-Сен-07
      - Проблема с объединненим двух сетей,бусик, 13:40 , 17-Сен-07
Проблема с объединненим двух сетей,Энди, 16:14 , 17-Сен-07
- Проблема с объединненим двух сетей,mixa, 17:10 , 17-Сен-07

Сообщения в этом обсуждении

"Проблема с объединненим двух сетей"
Отправлено mixa , 16-Сен-07 22:02

>natd_enble="YES"
>natd_interface="vr0"
Так ведь нат поднят! (А он нужен?)
Либо закаменть эти две строчки (выруби его нафиг)
>ipfw list
>00100 allow ip from any to any via lo0
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
>65000 allow ip from any to any
>65535 allow ip from any to any
Либо правь правила фаервола с учетом ната
чтобы типа этого
00050 divert 8668 ip from any to any via vr0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 allow ip from any to any

"Проблема с объединненим двух сетей"
Отправлено VAR , 17-Сен-07 01:07

>>natd_enble="YES"
>>natd_interface="vr0"
>
>Так ведь нат поднят! (А он нужен?)
>Либо закаменть эти две строчки (выруби его нафиг)
закоментировал - ничего :( из 13 в 12 хожу, наоборот нет :( без изменений
>[оверквотинг удален]
>
>Либо правь правила фаервола с учетом ната
>чтобы типа этого
>
>00050 divert 8668 ip from any to any via vr0
>00100 allow ip from any to any via lo0
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
>65000 allow ip from any to any
>65535 allow ip from any to any
добавил 50е правило с включеным натом - тогда нет 12ой сети :( с маршрутизатора не пингует 12.х

"Проблема с объединненим двух сетей"
Отправлено Tomuro , 17-Сен-07 02:03

>[оверквотинг удален]
>         0
>      0    vr0
>
>192.168.13.1       link#1
>        UHLW
>     2
>  0    vr0
>192.168.13.227     00:a0:c5:b3:ae:76  UHLW
>   1      798
>  vr0   1195
а не легче просто маску поменять ? например на 255,255,254,0

"Проблема с объединненим двух сетей"
Отправлено helloworld , 17-Сен-07 10:12

имхо это не решение, это надо затрахать 200-280 пользователей со сменой маски, нервов не хватит =ъ

"Проблема с объединненим двух сетей"
Отправлено бусик , 17-Сен-07 10:28

>имхо это не решение, это надо затрахать 200-280 пользователей со сменой маски,
>нервов не хватит =ъ
знаете, нервов как раз должно хватить. т.к. если пользователи еще и играть хотят друг с другом, им необходимо быть именно в одной подсети. игры посылают броадкасты в подсеть, а не в другие сети.

"Проблема с объединненим двух сетей"
Отправлено VAR , 17-Сен-07 12:11

>>имхо это не решение, это надо затрахать 200-280 пользователей со сменой маски,
>>нервов не хватит =ъ
>
>знаете, нервов как раз должно хватить. т.к. если пользователи еще и играть
>хотят друг с другом, им необходимо быть именно в одной подсети.
>игры посылают броадкасты в подсеть, а не в другие сети.
Маску поменять не большая проблема. но сеть тогда глючит, причину не знаю. решили поставить маршрутизатор.
почему-то из-за боардкастов ложатся одни свитч(зуксель на 16п) и один модема в этом же свитче. модем как-бы отрубается от сети - на пинги не отвечает, индикация на модеме показывает что все нормально. прятать модем за комп невозможно - нет места под комп физически, перенести модем тоже невозможно.
Может другое решение подскажите как объединить сети? Если боардкасты не будут ходить, то эта даже будет к лучшему, пользователи не умрут

"Проблема с объединненим двух сетей"
Отправлено бусик , 17-Сен-07 13:40

>[оверквотинг удален]
>Маску поменять не большая проблема. но сеть тогда глючит, причину не знаю.
>решили поставить маршрутизатор.
>почему-то из-за боардкастов ложатся одни свитч(зуксель на 16п) и один модема в
>этом же свитче. модем как-бы отрубается от сети - на пинги
>не отвечает, индикация на модеме показывает что все нормально. прятать модем
>за комп невозможно - нет места под комп физически, перенести модем
>тоже невозможно.
>
>Может другое решение подскажите как объединить сети? Если боардкасты не будут ходить,
>то эта даже будет к лучшему, пользователи не умрут
в таком случае, если вы все же решили пустить их через роутер - нужно всё поднимать постепенно.
так будет проще определить.
первым делом отключите НАТ
второе - из под рута ipfw disable firewall
потом только роуты, трейсить пакеты и т.д.
мало того - пакет может быть и достигает цели, если на той стороне не будет прописан шлюз по умолчанию, работать соответственно ничего не будет. тоесть для обьединения сетей - вам необходимо на каждом хосте прописать шлюз. но лучше использовать статический маршрут. под виндой это выглядит как "route add 192.168.13.0 mask 255.255.255.0 192.168.12.1 -p" . синтакс команды может быть чуть чуть другим. если есть какая-то линуха-фря в том диапазоне, используйте telnet на порт к ней, и tcpdump для отлова, пришел пакет или нет.

"Проблема с объединненим двух сетей"
Отправлено Энди , 17-Сен-07 16:14

>Есть две домашних сети построенных на обычных свитча. В каждой сети около
>100-140 компьюетеров.
>Нужно их объединить и дать возможность обеим сетя видеть друг друга, при
>этом еще требуется блокировать пользователей на связке мак+ип.
обьединение достаточно просто. прописываются маршруты на клиентских машинах. на роутере поднимается статиком arp-таблица. пишется файрвольные правила типа
ipfw add N allow all from table\(12\) to table\(13\)
ipfw add N allow all from table\(13\) to table\(12\)
где 12 и 13 - соответствующие клиенты из соответствующих сетей. нат у тебя ни причем - не вижу диверта в файрволе (хотя нафига его тогда в rc.conf описывать? может ты чего-то не договариваешь? )
для проверки повесь с одной из клиентских машин пинг в другую сеть. на роутере последовательно слушаешь дампом нужные интерфейсы и смотришь прохождение пакетов. и еще - если этот роутер служит только для обьединения двух сетей - ему нафиг не нужен дефолт. ну разве что для апгрейда софта и операционки.

"Проблема с объединненим двух сетей"
Отправлено mixa , 17-Сен-07 17:10

>и еще - если этот роутер служит только для обьединения двух
>сетей - ему нафиг не нужен дефолт. ну разве что для
>апгрейда софта и операционки.
Точно.
Попробуй для проверки дефолтгетвей убрать, нат убрать, никаких static_routes ведь в rc.conf прописано gateway_enable="YES", этого в данном случае достаточно, да и вообще для теста ipfw flush
На клиентских тачках прописать шлюзы, ессно для каждой из сетей свои и попингать чего-нить из соседней сетки, а потом уж ip к макакам вязать