The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Завернуть трафик роутероа в тонель"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"Завернуть трафик роутероа в тонель"  +/
Сообщение от Doc (ok) on 04-Дек-14, 09:41 
Добрый день
есть два сетки с маршрутерами на linux на обеих концах. На маршрутерах поднят маскардинг и ipsec на raccon междлу сетями
есть два dns сервера в одной сети microsoft + AD, во второй на самом маршрутере

соответственно обе сети в интернет ходят , и друг друга видят , а вот днс сервера поднятый на самом моршрутере , не видет dns противоположной сети. Так как сам маршутер отправляет пакеты не в ipsec тоннель, а наружу в интернет.
Понимаю что надо создать правило в iptables, но что-то не даганяю какое  .

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Завернуть трафик роутероа в тонель"  +/
Сообщение от ipmanyak (ok) on 04-Дек-14, 15:28 
>[оверквотинг удален]
> есть два сетки с маршрутерами на linux на обеих концах. На маршрутерах
> поднят маскардинг и ipsec на raccon междлу сетями
> есть два dns сервера в одной сети microsoft + AD, во второй
> на самом маршрутере
> соответственно обе сети в интернет ходят , и друг друга видят ,
> а вот днс сервера поднятый на самом моршрутере , не видет
> dns противоположной сети. Так как сам маршутер отправляет пакеты не в
> ipsec тоннель, а наружу в интернет.
> Понимаю что надо создать правило в iptables, но что-то не даганяю какое
>  .

1 - Нэймсервер на втором рутере это ваш собственный на BIND9 ?
2 - Зачем вам нэймсервер на другом конце туннеля? Что хотите резолвить? Хосты удаленного домена?
Если у вас BIN9, то вариантов два.
1 - создать зоны удаленного сервера с AD как secondary/slave и в DNS сервере винды прописать IP вашего сервера для передачи зон в соответствующей вкладке.
2 - создайте в BIND9 нужную зону с нужным доменом и сделайте как forward зону
zone "ваш.domain" {
    type forward;
    forward only;
    forwarders { IP-адрес_нэймсервар; };
               };
насчет вашей версии с iptables.
Сначала проверьте маршрутизацию, снимите трассу. Ткнитесь телнетом на 53 порт того хоста.
Далее уже думать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Завернуть трафик роутероа в тонель"  +/
Сообщение от Doc (ok) on 05-Дек-14, 08:58 
>[оверквотинг удален]
> как forward зону
> zone "ваш.domain" {
>     type forward;
>     forward only;
>     forwarders { IP-адрес_нэймсервар; };
>            
>    };
> насчет вашей версии с iptables.
> Сначала проверьте маршрутизацию, снимите трассу. Ткнитесь телнетом на 53 порт того хоста.
> Далее уже думать.

роутер на котором bind мой
другая сторона нет
именно это и хочу сделать , но дело в том что с роутера трасса уходит в интернет, а так как ракун при построении тоннеля не поднимает интерфейсов , прописывать маршрут просто не на что


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Завернуть трафик роутероа в тонель"  +/
Сообщение от BarS (ok) on 04-Дек-14, 15:51 
>[оверквотинг удален]
> есть два сетки с маршрутерами на linux на обеих концах. На маршрутерах
> поднят маскардинг и ipsec на raccon междлу сетями
> есть два dns сервера в одной сети microsoft + AD, во второй
> на самом маршрутере
> соответственно обе сети в интернет ходят , и друг друга видят ,
> а вот днс сервера поднятый на самом моршрутере , не видет
> dns противоположной сети. Так как сам маршутер отправляет пакеты не в
> ipsec тоннель, а наружу в интернет.
> Понимаю что надо создать правило в iptables, но что-то не даганяю какое
>  .

iptables -t nat -A POSTROUTING --destination 3.4.5.6 -j SNAT --to 1.2.3.4
насколько помню пакет отправляется куда нужно, но от другого ip если это происходит на одной из точек IPsec. Дааавно это было....

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Завернуть трафик роутероа в тонель"  +/
Сообщение от Doc (ok) on 05-Дек-14, 09:01 
>[оверквотинг удален]
>> на самом маршрутере
>> соответственно обе сети в интернет ходят , и друг друга видят ,
>> а вот днс сервера поднятый на самом моршрутере , не видет
>> dns противоположной сети. Так как сам маршутер отправляет пакеты не в
>> ipsec тоннель, а наружу в интернет.
>> Понимаю что надо создать правило в iptables, но что-то не даганяю какое
>>  .
> iptables -t nat -A POSTROUTING --destination 3.4.5.6 -j SNAT --to 1.2.3.4
> насколько помню пакет отправляется куда нужно, но от другого ip если это
> происходит на одной из точек IPsec. Дааавно это было....

как я понимаю 3.4.5.6 адрес удаленного DNS, а 1.2.3.4 адрес интерфейса с которого отправлять?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру