Уважаемые гуру, что-то я очень туплю, подскажите, пожалуйста:имеется внутренний интерфейс 192.168.1.1 через него ходит сеть 192.168.1.0/24,
имеется внешний интерфейс 10.1.0.1 он смотрит в сеть 10.1.0.0/16
также в среди устройств на внешнем интерфейсе висят несколько с адресами из 192.168.1.0/29как бы их сделать доступными из внутренней сети 192.168.1.0/24, конфликт ип гарантированно отсутствует.....
если тупо создать алису на внешний интерфейс, и прописать жёстко маршруты, отваливается НАТ(ипфв, нат на внешнем интерфейсе) :(
Пока не понимаю, что к чему, но хотелось бы сделать мост между внутреннем интерфейсом и алисой внешненго, например, возможно ли это в обход НАТа?
> Уважаемые гуру, что-то я очень туплю, подскажите, пожалуйста:
> имеется внутренний интерфейс 192.168.1.1 через него ходит сеть 192.168.1.0/24,
> имеется внешний интерфейс 10.1.0.1 он смотрит в сеть 10.1.0.0/16
> также в среди устройств на внешнем интерфейсе висят несколько с адресами
> из 192.168.1.0/29
> как бы их сделать доступными из внутренней сети 192.168.1.0/24, конфликт ип гарантированно
> отсутствует.....Нахрена среди устройств
> если тупо создать алису на внешний интерфейс, и прописать жёстко маршруты, отваливается
> НАТ(ипфв, нат на внешнем интерфейсе) :(
> Пока не понимаю, что к чему, но хотелось бы сделать мост между
> внутреннем интерфейсом и алисой внешненго, например, возможно ли это в обход
> НАТа?Быстрый и безболезненный для всех ответ: нет, не возможно.
Аффтору:1) Идите читать книжки по устройству сетей.
2) Пользуйтесь общепринятой терминологией, кто такая Алиса - здесь мало кто знает.
3) На пути джедая, когда будете всё-таки запускать 192.168.1.0/29 вам может помочь что-то вроде "choparp rl1 00:30:84:9e:91:d1 192.168.1.1/28"у меня это выглядит так:
#ifconfig rl1
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:30:84:9e:91:d1
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
#ifconfig tap0
tap0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.0.177 netmask 0xfffffff0 broadcast 192.168.0.191
ether 00:bd:fd:30:15:00
Opened by PID 47220
#+ команда
choparp rl1 00:30:84:9e:91:d1 192.168.0.176/284) это никак не мост =) Чтобы это отстроить, надо маленько книжек почитать, и много подумать.
>> также в среди устройств на внешнем интерфейсе висят несколько с адресами
>> из 192.168.1.0/29
>> как бы их сделать доступными из внутренней сети 192.168.1.0/24, конфликт ип гарантированно
>> отсутствует.....
> Нахрена среди устройствИзвините, отвлекся :-)
А мне кажется алиаса достаточно и правила файрвола + маршрутизацию настроить. У меня как раз такая история и все работает, правда без ната.
Было так, есть сервак с реальным и серым ip на внешнем интерфейсе (линукс), второй с серым ип (+недавно взял на него реальный ип) (фрибсд), третий комп с XP с серым ip, провайдер все три серые ип соеденил в один влан, потом что то изменил и XP перестала видеть первый сервер, я прописал маршрут до первого сервера через второй сервер и все работает. без всяких "choparp".
Блин невнимательно прочитал, подсети пересекаются однако.... Забираю свои слова обратно.
> 1) Идите читать книжки по устройству сетей.Да, с обще-сетевыми азами у меня проблемы :(((
> 2) Пользуйтесь общепринятой терминологией, кто такая Алиса - здесь мало кто знает.Ну те, кто сидят на этом форуме, думаю догадываются:)
> 3) На пути джедая, когда будете всё-таки запускать 192.168.1.0/29 вам может помочь
> что-то вроде "choparp rl1 00:30:84:9e:91:d1 192.168.1.1/28"Спасибо, побежал в гугл :)
>[оверквотинг удален]
> #ifconfig tap0
> tap0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
> inet 192.168.0.177 netmask 0xfffffff0
> broadcast 192.168.0.191
> ether 00:bd:fd:30:15:00
> Opened by PID 47220
> #+ команда
> choparp rl1 00:30:84:9e:91:d1 192.168.0.176/28
> 4) это никак не мост =) Чтобы это отстроить, надо маленько книжек
> почитать, и много подумать.Ну для меня мост -- самая простая аналогия... по сути мне бы подошло что-то типа виртуального интерфейса на внешнем интерфейсе и его уже объединить с внутренним в единый мост :) и уже на него вешать ип из 192.168.1.0/29 может терминолгия у меня совсем не правильная, но думаю идея понятна...
> Ну для меня мост -- самая простая аналогия... по сути мне бы
> подошло что-то типа виртуального интерфейса на внешнем интерфейсе и его уже
> объединить с внутренним в единый мост :) и уже на него
> вешать ип из 192.168.1.0/29 может терминолгия у меня совсем не правильная,
> но думаю идея понятна...Это называется proxy-arp и технически является маскировкой/маршрутизацией маленькой подсетки, куска из большой подести.
Когда хост большой сети запрашивает хост из маленькой сети, в ответ ему отдается MAC-адрес маршрутизатора (во фряхе это делается с помощью choparp, в linux - встроено в ядро). Хост большой сети отправляет на него пакет, маршрутизатор его получает и в соответствии с таблицей маршрутизации кидает дальше, на "внешний" интерфейс. Когда от хоста маленькой сети будет идти ответ в сеть большую, он тупо пойдет на дефолтный шлюз..... Эммм, он должен быть на хостах маленькой сети настроен, да. :-) ну а дальше маршрутизатор кинет этот ответный пакет к нужному хосту. получится что будет соединение.
>[оверквотинг удален]
> имеется внешний интерфейс 10.1.0.1 он смотрит в сеть 10.1.0.0/16
> также в среди устройств на внешнем интерфейсе висят несколько с адресами
> из 192.168.1.0/29
> как бы их сделать доступными из внутренней сети 192.168.1.0/24, конфликт ип гарантированно
> отсутствует.....
> если тупо создать алису на внешний интерфейс, и прописать жёстко маршруты, отваливается
> НАТ(ипфв, нат на внешнем интерфейсе) :(
> Пока не понимаю, что к чему, но хотелось бы сделать мост между
> внутреннем интерфейсом и алисой внешненго, например, возможно ли это в обход
> НАТа?Да измените Вы адрес 192.168.1.0/24. Зачем Вам лишняя головная боль?
> Да измените Вы адрес 192.168.1.0/24. Зачем Вам лишняя головная боль?Да это не лишняя головная боль, а удобство :) у меня все свитчи (точнее Точки Доступа) в этом диапазоне, те, что оказались с вешней стороны НАТа (10.1.0.0/16г ) обеспечивают канал до меня, но при текущей конфигурации с ними можно работать только с сервера, отрубив доступ к внутренней сети, мне это очень не удобно, очень бы хотелось иметь доступ к ним из внутренней сети (192.168.1.0/24)....
>[оверквотинг удален]
> имеется внешний интерфейс 10.1.0.1 он смотрит в сеть 10.1.0.0/16
> также в среди устройств на внешнем интерфейсе висят несколько с адресами
> из 192.168.1.0/29
> как бы их сделать доступными из внутренней сети 192.168.1.0/24, конфликт ип гарантированно
> отсутствует.....
> если тупо создать алису на внешний интерфейс, и прописать жёстко маршруты, отваливается
> НАТ(ипфв, нат на внешнем интерфейсе) :(
> Пока не понимаю, что к чему, но хотелось бы сделать мост между
> внутреннем интерфейсом и алисой внешненго, например, возможно ли это в обход
> НАТа?Садитесь - ДВА, за "Network Design". Красивого решения для Вашей головной боли наверное не найдете.
Все же рекомендую Вам пересмотреть свои методы построения сетей.
Варианта вижу два:
1) Перевести устройства за внешним интерфейсом в другую подсеть. Если цепочка устройств, то начать перебивку IP с более "дальних".
2) Все эти mgmt-IP загнать в mgmt-vlan и на тазике сделать bridge между mgmt-vlan и внутренним интерфейсом. Только ваши устройства должны уметь работать с vlan-ами =)
> Садитесь - ДВА, за "Network Design". Красивого решения для Вашей головной боли
> наверное не найдете.
> Все же рекомендую Вам пересмотреть свои методы построения сетей.
> Варианта вижу два:
> 1) Перевести устройства за внешним интерфейсом в другую подсеть. Если цепочка устройств,
> то начать перебивку IP с более "дальних".
> 2) Все эти mgmt-IP загнать в mgmt-vlan и на тазике сделать bridge
> между mgmt-vlan и внутренним интерфейсом. Только ваши устройства должны уметь работать
> с vlan-ами =)в том то и проблема, что эти долбаные ТД не умеют держать vlan-ы, вопрос на засыпку можно ли на фре создать VLAN по IP-маске а не через tag?
> в том то и проблема, что эти долбаные ТД не умеют держать
> vlan-ы, вопрос на засыпку можно ли на фре создать VLAN по
> IP-маске а не через tag?Похоже нашёл, то, что задумал:
http://www.lissyara.su/articles/freebsd/tuning/virtual_switch/
а теперь думаю: а оно мне надо?... :)
увы по arp-proxy нашёл только упоминание, что можно сделать штатными средствами (через arp), но примеров не нашёл, а дополнительно что-то ставить не охота (зачем, если штатный функционал позволяет...)В общем -- гуглю дальше....
>> в том то и проблема, что эти долбаные ТД не умеют держать
>> vlan-ы, вопрос на засыпку можно ли на фре создать VLAN по
>> IP-маске а не через tag?
> Похоже нашёл, то, что задумал:
> http://www.lissyara.su/articles/freebsd/tuning/virtual_switch/
> а теперь думаю: а оно мне надо?... :)Это явно не то, что вам нужно.
> увы по arp-proxy нашёл только упоминание, что можно сделать штатными средствами (через
> arp), но примеров не нашёл, а дополнительно что-то ставить не
> охота (зачем, если штатный функционал позволяет...)Вроде как всё рассказали, как делать.... И то, что штатный функционал не всё позволяет.
> В общем -- гуглю дальше....
Enjoy.