URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 90713
[ Назад ]

Исходное сообщение
"Мосты против Алис"

Отправлено NewUse , 13-Янв-11 03:25 
Уважаемые гуру, что-то я очень туплю, подскажите, пожалуйста:

имеется внутренний интерфейс 192.168.1.1 через него ходит сеть 192.168.1.0/24,
имеется внешний интерфейс 10.1.0.1 он смотрит в сеть 10.1.0.0/16
также в среди устройств на внешнем интерфейсе висят несколько с адресами  из 192.168.1.0/29

как бы их сделать доступными из внутренней сети 192.168.1.0/24, конфликт ип гарантированно отсутствует.....

если тупо создать алису на внешний интерфейс, и прописать жёстко маршруты, отваливается НАТ(ипфв, нат на внешнем интерфейсе) :(

Пока не понимаю, что к чему, но хотелось бы сделать мост между внутреннем интерфейсом и алисой внешненго, например, возможно ли это в обход НАТа?


Содержание

Сообщения в этом обсуждении
"Мосты против Алис"
Отправлено PavelR , 13-Янв-11 06:55 
> Уважаемые гуру, что-то я очень туплю, подскажите, пожалуйста:
> имеется внутренний интерфейс 192.168.1.1 через него ходит сеть 192.168.1.0/24,
> имеется внешний интерфейс 10.1.0.1 он смотрит в сеть 10.1.0.0/16
> также в среди устройств на внешнем интерфейсе висят несколько с адресами  
> из 192.168.1.0/29
> как бы их сделать доступными из внутренней сети 192.168.1.0/24, конфликт ип гарантированно
> отсутствует.....

Нахрена среди устройств

> если тупо создать алису на внешний интерфейс, и прописать жёстко маршруты, отваливается
> НАТ(ипфв, нат на внешнем интерфейсе) :(
> Пока не понимаю, что к чему, но хотелось бы сделать мост между
> внутреннем интерфейсом и алисой внешненго, например, возможно ли это в обход
> НАТа?

Быстрый и безболезненный для всех ответ: нет, не возможно.
Аффтору:

1) Идите читать книжки по устройству сетей.
2) Пользуйтесь общепринятой терминологией, кто такая Алиса - здесь мало кто знает.
3) На пути джедая, когда будете всё-таки запускать 192.168.1.0/29 вам может помочь что-то вроде "choparp rl1 00:30:84:9e:91:d1 192.168.1.1/28"

у меня это выглядит так:

#ifconfig rl1
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:30:84:9e:91:d1
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
#ifconfig tap0
tap0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.0.177 netmask 0xfffffff0 broadcast 192.168.0.191
        ether 00:bd:fd:30:15:00
        Opened by PID 47220
#+ команда
choparp rl1 00:30:84:9e:91:d1 192.168.0.176/28

4) это никак не мост =) Чтобы это отстроить, надо маленько книжек почитать, и много подумать.


"Мосты против Алис"
Отправлено PavelR , 13-Янв-11 06:56 
>> также в среди устройств на внешнем интерфейсе висят несколько с адресами
>> из 192.168.1.0/29
>> как бы их сделать доступными из внутренней сети 192.168.1.0/24, конфликт ип гарантированно
>> отсутствует.....
> Нахрена среди устройств

Извините, отвлекся :-)


"Мосты против Алис"
Отправлено BarS , 13-Янв-11 09:24 
А мне кажется алиаса достаточно и правила файрвола + маршрутизацию настроить. У меня как раз такая история и все работает, правда без ната.
Было так, есть сервак с реальным и серым ip на внешнем интерфейсе (линукс), второй с серым ип (+недавно взял на него реальный ип) (фрибсд), третий комп с XP с серым ip, провайдер все три серые ип соеденил в один влан, потом что то изменил и XP перестала видеть первый сервер, я прописал маршрут до первого сервера через второй сервер и все работает. без всяких "choparp".

"Мосты против Алис"
Отправлено BarS , 13-Янв-11 09:26 
Блин невнимательно прочитал, подсети пересекаются однако.... Забираю свои слова обратно.

"Мосты против Алис"
Отправлено NewUse , 16-Янв-11 05:31 
> 1) Идите читать книжки по устройству сетей.

Да, с обще-сетевыми азами у меня проблемы :(((
> 2) Пользуйтесь общепринятой терминологией, кто такая Алиса - здесь мало кто знает.

Ну те, кто сидят на этом форуме, думаю догадываются:)  

> 3) На пути джедая, когда будете всё-таки запускать 192.168.1.0/29 вам может помочь
> что-то вроде "choparp rl1 00:30:84:9e:91:d1 192.168.1.1/28"

Спасибо, побежал в гугл :)

>[оверквотинг удален]
> #ifconfig tap0
> tap0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>         inet 192.168.0.177 netmask 0xfffffff0
> broadcast 192.168.0.191
>         ether 00:bd:fd:30:15:00
>         Opened by PID 47220
> #+ команда
> choparp rl1 00:30:84:9e:91:d1 192.168.0.176/28
> 4) это никак не мост =) Чтобы это отстроить, надо маленько книжек
> почитать, и много подумать.

Ну для меня мост -- самая простая аналогия... по сути мне бы подошло что-то типа виртуального интерфейса на внешнем интерфейсе и его уже объединить с внутренним в единый мост :) и уже на него вешать ип из 192.168.1.0/29 может терминолгия у меня совсем не правильная, но думаю идея понятна...


"Мосты против Алис"
Отправлено PavelR , 16-Янв-11 10:19 
> Ну для меня мост -- самая простая аналогия... по сути мне бы
> подошло что-то типа виртуального интерфейса на внешнем интерфейсе и его уже
> объединить с внутренним в единый мост :) и уже на него
> вешать ип из 192.168.1.0/29 может терминолгия у меня совсем не правильная,
> но думаю идея понятна...

Это называется proxy-arp и  технически является маскировкой/маршрутизацией маленькой подсетки, куска из большой подести.

Когда хост большой сети запрашивает хост из маленькой сети, в ответ ему отдается MAC-адрес маршрутизатора (во фряхе это делается с помощью choparp, в linux - встроено в ядро). Хост большой сети отправляет на него пакет, маршрутизатор его получает и в соответствии с таблицей маршрутизации кидает дальше, на "внешний" интерфейс. Когда от хоста маленькой сети будет идти ответ в сеть большую, он тупо пойдет на дефолтный шлюз..... Эммм, он должен быть на хостах маленькой сети настроен, да. :-)  ну а дальше маршрутизатор кинет этот ответный пакет к нужному хосту. получится что будет соединение.  



"Мосты против Алис"
Отправлено An , 13-Янв-11 15:41 
>[оверквотинг удален]
> имеется внешний интерфейс 10.1.0.1 он смотрит в сеть 10.1.0.0/16
> также в среди устройств на внешнем интерфейсе висят несколько с адресами  
> из 192.168.1.0/29
> как бы их сделать доступными из внутренней сети 192.168.1.0/24, конфликт ип гарантированно
> отсутствует.....
> если тупо создать алису на внешний интерфейс, и прописать жёстко маршруты, отваливается
> НАТ(ипфв, нат на внешнем интерфейсе) :(
> Пока не понимаю, что к чему, но хотелось бы сделать мост между
> внутреннем интерфейсом и алисой внешненго, например, возможно ли это в обход
> НАТа?

Да измените  Вы адрес 192.168.1.0/24. Зачем Вам лишняя головная боль?


"Мосты против Алис"
Отправлено NewUse , 16-Янв-11 05:22 

> Да измените  Вы адрес 192.168.1.0/24. Зачем Вам лишняя головная боль?

Да это не лишняя головная боль, а удобство :) у меня все свитчи (точнее Точки Доступа) в этом диапазоне, те, что оказались с вешней стороны НАТа (10.1.0.0/16г ) обеспечивают канал до меня, но при текущей конфигурации с ними можно работать только с сервера, отрубив доступ к внутренней сети, мне это очень не удобно, очень бы хотелось иметь доступ к ним из внутренней сети (192.168.1.0/24)....


"Мосты против Алис"
Отправлено bI , 17-Янв-11 15:42 
>[оверквотинг удален]
> имеется внешний интерфейс 10.1.0.1 он смотрит в сеть 10.1.0.0/16
> также в среди устройств на внешнем интерфейсе висят несколько с адресами  
> из 192.168.1.0/29
> как бы их сделать доступными из внутренней сети 192.168.1.0/24, конфликт ип гарантированно
> отсутствует.....
> если тупо создать алису на внешний интерфейс, и прописать жёстко маршруты, отваливается
> НАТ(ипфв, нат на внешнем интерфейсе) :(
> Пока не понимаю, что к чему, но хотелось бы сделать мост между
> внутреннем интерфейсом и алисой внешненго, например, возможно ли это в обход
> НАТа?

Садитесь - ДВА, за "Network Design". Красивого решения для Вашей головной боли наверное не найдете.
Все же рекомендую Вам пересмотреть свои методы построения сетей.
Варианта вижу два:
1) Перевести устройства за внешним интерфейсом в другую подсеть. Если цепочка устройств, то начать перебивку IP с более "дальних".
2) Все эти mgmt-IP загнать в mgmt-vlan и на тазике сделать bridge между mgmt-vlan и внутренним интерфейсом. Только ваши устройства должны уметь работать с vlan-ами =)


"Мосты против Алис"
Отправлено NewUse , 17-Янв-11 16:08 
> Садитесь - ДВА, за "Network Design". Красивого решения для Вашей головной боли
> наверное не найдете.
> Все же рекомендую Вам пересмотреть свои методы построения сетей.
> Варианта вижу два:
> 1) Перевести устройства за внешним интерфейсом в другую подсеть. Если цепочка устройств,
> то начать перебивку IP с более "дальних".
> 2) Все эти mgmt-IP загнать в mgmt-vlan и на тазике сделать bridge
> между mgmt-vlan и внутренним интерфейсом. Только ваши устройства должны уметь работать
> с vlan-ами =)

в том то и проблема, что эти долбаные ТД не умеют держать vlan-ы, вопрос на засыпку можно ли на фре создать VLAN по IP-маске а не через tag?


"Мосты против Алис"
Отправлено NewUse , 18-Янв-11 18:23 
> в том то и проблема, что эти долбаные ТД не умеют держать
> vlan-ы, вопрос на засыпку можно ли на фре создать VLAN по
> IP-маске а не через tag?

Похоже нашёл, то, что задумал:
http://www.lissyara.su/articles/freebsd/tuning/virtual_switch/
а теперь думаю: а оно мне надо?... :)
увы по arp-proxy нашёл только упоминание, что можно сделать штатными средствами (через arp), но примеров не нашёл, а дополнительно что-то ставить  не охота (зачем, если штатный функционал позволяет...)

В общем -- гуглю дальше....


"Мосты против Алис"
Отправлено PavelR , 18-Янв-11 21:23 
>> в том то и проблема, что эти долбаные ТД не умеют держать
>> vlan-ы, вопрос на засыпку можно ли на фре создать VLAN по
>> IP-маске а не через tag?
> Похоже нашёл, то, что задумал:
> http://www.lissyara.su/articles/freebsd/tuning/virtual_switch/
> а теперь думаю: а оно мне надо?... :)

Это явно не то, что вам нужно.

> увы по arp-proxy нашёл только упоминание, что можно сделать штатными средствами (через
> arp), но примеров не нашёл, а дополнительно что-то ставить  не
> охота (зачем, если штатный функционал позволяет...)

Вроде как всё рассказали, как делать....  И то, что штатный функционал не всё позволяет.

> В общем -- гуглю дальше....

Enjoy.