URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94409
[ Назад ]

Исходное сообщение
"Связь между Vlan-ами"

Отправлено Рихард , 25-Фев-13 19:14 
Всем привет.
Ситуация такая: есть два vlana, реализованные на коммутаторе dlink посредством 802.1Q. Маршрутизатор на OS FreeBSD 9.1, родительский интерфейс соединен с транковым портом. В качестве файервола используется PF.
Нужно сделать так, чтобs машины из одного Vlan-a могли заходить на машины другого.
Проблема в том что не могу понять механизм как это реализовать. Маршрутизация включена.
Я представляю себе это так:
Мне сначала надо добавить статический маршрут из одной подсети(vlan-a) в другую, а затем написать соответствующее правило в pf. Я правильно все понимаю?

Содержание

Сообщения в этом обсуждении
"Связь между Vlan-ами"
Отправлено Аноним , 25-Фев-13 20:05 
маршрутизация, так понял. Как-то так:

ifconfig vlan5 create vlan 5 vlandev xl0
ifconfig vlan100 create vlan 100 vlandev xl0

ifconfig vlan5 inet 192.168.5.1 netmask 255.255.255.0
ifconfig vlan100 inet 192.168.100.1 netmask 255.255.255.0

включить маршрутизацию, в сетях указать шлюзом bsd.


"Связь между Vlan-ами"
Отправлено Рихард , 25-Фев-13 20:12 
Vlan-ы я уже создал и они благополучно функционируют, маршрутизацию включил! Мне теперь надо как раз с маршрутизацией разобраться, как правильно связь организовать из одного vlan-a в другой.


"Связь между Vlan-ами"
Отправлено Miha , 25-Фев-13 21:32 
> Vlan-ы я уже создал и они благополучно функционируют, маршрутизацию включил! Мне теперь
> надо как раз с маршрутизацией разобраться, как правильно связь организовать из
> одного vlan-a в другой.

А что если в мост эти вланы обьединить. Отключить фильтрацию на мемберах. Фильтровать только на самом bridge0.
У меня так организовано, только не вланы, а физ. интерфейсы.


"Связь между Vlan-ами"
Отправлено bill , 25-Фев-13 22:56 
> Vlan-ы я уже создал и они благополучно функционируют, маршрутизацию включил! Мне теперь
> надо как раз с маршрутизацией разобраться, как правильно связь организовать из
> одного vlan-a в другой.

Ничего не надо организовывать. Если шлюзом на машинах установлен ip маршрутизатора, оно само "организуется".


"Связь между Vlan-ами"
Отправлено Рихард , 26-Фев-13 08:08 
> Ничего не надо организовывать. Если шлюзом на машинах установлен ip маршрутизатора, оно
> само "организуется".

Это как так? На маршрутизаторе(FreeBSD) созданы интерфейсы(vlаn-ы), и на каждой машине в vlan-e в качестве шлюза указывается именно интерфейс его vlan-a. Но это никак не дает право этой машине видеть машины из другого vlan-а. Тут именно вопрос маршрутизации.



"Связь между Vlan-ами"
Отправлено EugeneS , 26-Фев-13 09:26 
>> Ничего не надо организовывать. Если шлюзом на машинах установлен ip маршрутизатора, оно
>> само "организуется".
> это никак не дает право этой машине видеть машины из другого
> vlan-а.

А что Вы понимаете под словами "видеть" "заходить" . Если на уровне IP, то "все само организуется" , если же вы желаете видеть виндовые шары, то Вам наверное таки нужен мост (bridge)


"Связь между Vlan-ами"
Отправлено Рихард , 26-Фев-13 09:31 
> А что Вы понимаете под словами "видеть" "заходить" . Если на уровне
> IP, то "все само организуется" , если же вы желаете видеть
> виндовые шары, то Вам наверное таки нужен мост (bridge)

И шары и принтеры и прочая святотень. То есть обычным прописыванием статического маршрута и правилом в файерволе(PF) тут не обойтись?


"Связь между Vlan-ами"
Отправлено EugeneS , 26-Фев-13 09:56 
>> А что Вы понимаете под словами "видеть" "заходить" . Если на уровне
>> IP, то "все само организуется" , если же вы желаете видеть
>> виндовые шары, то Вам наверное таки нужен мост (bridge)
> И шары и принтеры и прочая святотень. То есть обычным прописыванием статического
> маршрута и правилом в файерволе(PF) тут не обойтись?

Не силен в виндовых сетях, но на сколько я понимаю, компы должны быть в одном широковещательном домене (кажется так это называется), как минимум для того чтобы проходили арп запросы-ответы


"Связь между Vlan-ами"
Отправлено Рихард , 26-Фев-13 12:29 
Не добавляется статический маршрут.
В таблице уже есть два маршрута для вланов:

Destination:       Gateway:   Netif

10.0.111.0/24      link#13    vlan11
10.0.111.1         link#13    lo0
10.0.166.0/24      link#14    vlan16
10.0.166.1         link#14    lo0

пытаюсь добавить маршрут чтобы машины из vlan-а vlan166 знали через какой шлюз ходить в
vlan111:

route add 10.0.166.0/24 10.0.111.1

говорит что маршрут уже есть в таблице.

могу добавить такой маршрут:

route add 10.0.166.0 10.0.111.1

тогда связь на машинах из vlan166 совсем пропадает.

Так как же мне прописать маршрут из одной подсети в другую?

    


"Связь между Vlan-ами"
Отправлено sirius , 26-Фев-13 12:37 
>[оверквотинг удален]
>  lo0
> пытаюсь добавить маршрут чтобы машины из vlan-а vlan166 знали через какой шлюз
> ходить в
> vlan111:
> route add 10.0.166.0/24 10.0.111.1
> говорит что маршрут уже есть в таблице.
> могу добавить такой маршрут:
> route add 10.0.166.0 10.0.111.1
> тогда связь на машинах из vlan166 совсем пропадает.
> Так как же мне прописать маршрут из одной подсети в другую?

Смотрю за темой со вчера и удивляюсь, детский сад, нету элементарных понятий про маршрутизацию, ваш роутер и так знает где какие сети, он подключен к обоим, маршруты необходимо прописать на рабочих хостах, если этот роутер у вас один и через него еще и интернет будет, то тогда роут по умолчанию, если есть другой роутер, через который хосты видят интернет, то нужно прописать на компах в сети 10.0.166.х
route add -net 10.0.111.0/24 10.0.166.1

на компах в сети 10.0.111.х
route add -net 10.0.166.0/24 10.0.111.1

под винду команды поменяються...


"Связь между Vlan-ами"
Отправлено Рихард , 26-Фев-13 12:52 
А если vlan-ов много, штук 10 и в каждом машин по 40. И нужно для каждого vlan-a организовать доступ в определенную группу подсетей. Можно как то централизованно управлять маршрутами, а не прописывать на каждой машине. Ведь на маршрутизаторе Cisco можно так делать.



"Связь между Vlan-ами"
Отправлено sirius , 26-Фев-13 12:58 
> А если vlan-ов много, штук 10 и в каждом машин по 40.
> И нужно для каждого vlan-a организовать доступ в определенную группу подсетей.
> Можно как то централизованно управлять маршрутами, а не прописывать на каждой
> машине. Ведь на маршрутизаторе Cisco можно так делать.

можно, для каждой подсети шлюз по умолчанию будет ip address своего влан интерфейса на фре, а в ipfw можете запретить ходить трафику между определенными виланами.


"Связь между Vlan-ами"
Отправлено Рихард , 26-Фев-13 13:11 
> можно, для каждой подсети шлюз по умолчанию будет ip address своего влан
> интерфейса на фре, а в ipfw можете запретить ходить трафику между
> определенными виланами.

Все, теперь понятно. Но. У меня в принципе шлюзы так и указаны. Но трафик между вланами и так не ходит по определению. Как говорил выше вланы подняты на коммутаторе D-Link DGS 1210, простая железка второго уровня, и трафик через транковый порт на фрю идет. Таким образом получается что в ipfw (в моем случае pf)надо не запрещать трафик между вланами а разрешать?


"Связь между Vlan-ами"
Отправлено sirius , 26-Фев-13 13:16 
>> можно, для каждой подсети шлюз по умолчанию будет ip address своего влан
>> интерфейса на фре, а в ipfw можете запретить ходить трафику между
>> определенными виланами.
> Все, теперь понятно. Но. У меня в принципе шлюзы так и указаны.
> Но трафик между вланами и так не ходит по определению. Как
> говорил выше вланы подняты на коммутаторе D-Link DGS 1210, простая железка
> второго уровня, и трафик через транковый порт на фрю идет. Таким
> образом получается что в ipfw (в моем случае pf)надо не запрещать
> трафик между вланами а разрешать?

ну если будет запрет то понятно ходить ничего не будет, должен быть разрешен.


"Связь между Vlan-ами"
Отправлено Рихард , 26-Фев-13 13:20 
> ну если будет запрет то понятно ходить ничего не будет, должен быть
> разрешен.

Кто должен запрещать?
1. файервол не включен
2. В таблице маршрутизации нет маршрута из одной подсети в другую.

Как в этом случае машины из двух разных вланов будут общаться между собой?



"Связь между Vlan-ами"
Отправлено Рихард , 26-Фев-13 13:23 
Нужно в ipfw писать правила для разрешения трафика между подсетями?

"Связь между Vlan-ами"
Отправлено sirius , 26-Фев-13 13:26 
>> ну если будет запрет то понятно ходить ничего не будет, должен быть
>> разрешен.
> Кто должен запрещать?
> 1. файервол не включен
> Таким образом получается что в ipfw (в моем случае pf)

так в вашем случае pf включен или не включен?

> 2. В таблице маршрутизации нет маршрута из одной подсети в другую.
> 10.0.111.0/24      link#13    vlan11
> 10.0.111.1         link#13    lo0
> 10.0.166.0/24      link#14    vlan16
> 10.0.166.1         link#14    lo0

где тут нету какого-то маршрута???

> Как в этом случае машины из двух разных вланов будут общаться между
> собой?

если фаерволл выключен и ничего не фильтруется и включен роутинг (gateway_enable="YES" sysctl net.inet.ip.forwarding=1) то все будет работать.


"Связь между Vlan-ами"
Отправлено Рихард , 26-Фев-13 13:43 
> если фаерволл выключен и ничего не фильтруется и включен роутинг (gateway_enable="YES"
> sysctl net.inet.ip.forwarding=1) то все будет работать.

Хм. Вот пришел от машины из одного влана пакет на транковый порт коммутатора, который адресован в другой влан, он посмотрит его кадр, а там сказано что пакет из влана отличного от того в который он пытается попасть, и не пустит его.
Так получается что нужно вообще отказаться от вланов на коммутаторе и настраивать их чисто на фре? И там уже на фаерволе писать правила запрещающие или разрешающие трафик из определенных вланов.  



"Связь между Vlan-ами"
Отправлено Алексей , 26-Фев-13 14:08 

> Хм. Вот пришел от машины из одного влана пакет на транковый порт
> коммутатора, который адресован в другой влан, он посмотрит его кадр, а
> там сказано что пакет из влана отличного от того в который
> он пытается попасть, и не пустит его.
> Так получается что нужно вообще отказаться от вланов на коммутаторе и настраивать
> их чисто на фре? И там уже на фаерволе писать правила
> запрещающие или разрешающие трафик из определенных вланов.

вланы оставь на коммутаторе
на фре засунь их в один bridge и там разруливай через ebtables
я так в свое время делал


"Связь между Vlan-ами"
Отправлено fantom , 05-Мрт-13 10:45 
>> если фаерволл выключен и ничего не фильтруется и включен роутинг (gateway_enable="YES"
>> sysctl net.inet.ip.forwarding=1) то все будет работать.

НАЧАЛО БРЕДЯТИНЫ!!!!!

> Хм. Вот пришел от машины из одного влана пакет на транковый порт
> коммутатора, который адресован в другой влан, он посмотрит его кадр, а
> там сказано что пакет из влана отличного от того в который
> он пытается попасть, и не пустит его.

Промежуточный конец бредятины!!!!!!
Коммутатору неведомо что там в этом пакете, т.к. коммутатор обрабатывает фреймы, он посмотрит mac назначения (т.е. мас шлюза) и благополучно отфутболит оный на шлюз, шлюз из фрейма "вынет" IP пакет, проверит IP адрес назначения и по таблице маршрутизации определит в какой интерфейс его отдать, изменнит в IP пакете поля TTL и checksumm, сформирует НОВЫЙ ФРЕЙМ и передаст его коммутатору уже в другом vlan-е, коммутатор будет обрабатывать этот фрейм уже в новом влане и по своим правилам.
Т.е. передача ОДНОГО IP пакета из одной подсети в другую для коммутатора выльется в передачу ДВУХ фреймов....


> Так получается что нужно вообще отказаться от вланов на коммутаторе и настраивать
> их чисто на фре? И там уже на фаерволе писать правила
> запрещающие или разрешающие трафик из определенных вланов.

Учите матчасть, а именно модель OSI, и чем отличается ethernet от IP...


ради эксперимента - выключите ваш файрвол и пропингуйте с машины из одного влана машинуу в другом влане (не забыв отключить брандмаузеры с файрволами и на этих машинках, чтобы icmp 100% не блокировался).


"Связь между Vlan-ами"
Отправлено EugeneS , 26-Фев-13 14:19 
>[оверквотинг удален]
> Ситуация такая: есть два vlana, реализованные на коммутаторе dlink посредством 802.1Q.
> Маршрутизатор на OS FreeBSD 9.1, родительский интерфейс соединен с транковым портом.
> В качестве файервола используется PF.
> Нужно сделать так, чтобs машины из одного Vlan-a могли заходить на машины
> другого.
> Проблема в том что не могу понять механизм как это реализовать. Маршрутизация
> включена.
> Я представляю себе это так:
> Мне сначала надо добавить статический маршрут из одной подсети(vlan-a) в другую, а
> затем написать соответствующее правило в pf. Я правильно все понимаю?

ну что Вы себе и другим мозги парите. Вы пробовали пинг из одной сети в другую ? У Вас же в виндовой сетке неработает, а по ИП больше чем уверен , все ништяк ?


"Связь между Vlan-ами"
Отправлено Рихард , 26-Фев-13 17:01 
Что значит "виндовая сетка"? Машины из одной сети не пингуют машины в другой! Маршрутизация включена: gateway_enable="YES". Как мне не прописывая статику на локальных машинах настроить маршрутизацию при которой пинги будут ходить? Было предложение с мостом. А еще варианты есть?


"Связь между Vlan-ами"
Отправлено wasist , 26-Фев-13 19:39 
> Что значит "виндовая сетка"? Машины из одной сети не пингуют машины в
> другой! Маршрутизация включена: gateway_enable="YES". Как мне не прописывая статику на
> локальных машинах настроить маршрутизацию при которой пинги будут ходить? Было предложение
> с мостом. А еще варианты есть?

ЭммммХмммм... так, расскажи пожалуйста, а на виндовых машинах, которые смотрят в твои виланы, ip-адрес шлюза какой указан? смотрит ли он в твой vlan-роутер на freebsd? и если да, и ipfw ничего не блокирует, то это зовется мистикой, то есть такого не бывает.
ipfw add 1 allow ip from any to any
и если после этого ничего не запингалось - то ищи проблему в настройках виланов и коммутаторов, ага? кстати, а из сетей адреса интерфейсов сервера пингуются?


"Связь между Vlan-ами"
Отправлено Рихард , 27-Фев-13 10:06 
> ЭммммХмммм... так, расскажи пожалуйста, а на виндовых машинах, которые смотрят в твои
> виланы, ip-адрес шлюза какой указан? смотрит ли он в твой vlan-роутер
> на freebsd? и если да, и ipfw ничего не блокирует, то
> это зовется мистикой, то есть такого не бывает.
> ipfw add 1 allow ip from any to any
> и если после этого ничего не запингалось - то ищи проблему в
> настройках виланов и коммутаторов, ага? кстати, а из сетей адреса интерфейсов
> сервера пингуются?

Файервол вообще отключен. В качестве шлюза на локальных машинах указан интерфейс влана на фре. С локальных машин пингуются влан интерфейсы. Может где чего не включил?


"Связь между Vlan-ами"
Отправлено LSTemp , 28-Фев-13 14:05 
>[оверквотинг удален]
>> виланы, ip-адрес шлюза какой указан? смотрит ли он в твой vlan-роутер
>> на freebsd? и если да, и ipfw ничего не блокирует, то
>> это зовется мистикой, то есть такого не бывает.
>> ipfw add 1 allow ip from any to any
>> и если после этого ничего не запингалось - то ищи проблему в
>> настройках виланов и коммутаторов, ага? кстати, а из сетей адреса интерфейсов
>> сервера пингуются?
> Файервол вообще отключен. В качестве шлюза на локальных машинах указан интерфейс влана
> на фре. С локальных машин пингуются влан интерфейсы. Может где чего
> не включил?

Прочел все. Объяснять бесполезно. Начинайте изучение хотя бы отсюда http://ru.wikipedia.org/wiki/TCP/IP

И поймите на каком уровне стека работают протоколы маршрутизации (то есть сетевые сервисы типа ftp,http) и на каком уровне стека работают протоколы "видеть сетевое окружение и шары".

PS
L2+L3 - смотреть в первую очередь.



"Связь между Vlan-ами"
Отправлено Рихард , 06-Мрт-13 10:37 
Всем спасибо за ответы!
Загвоздка как раз и была в том что по определению все должно было работать.
В общем заработало все само после тотальной перезагрузке всего.
Что это было я так и не понял, но зато уровень знаний в ходе попыток найти решение возникшей проблемы заметно повысился.
Спасибо еще раз за советы.
Критику воспринял буду расти!