forum.opennet.ru - "Завернуть трафик роутероа в тонель" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Завернуть трафик роутероа в тонель"

Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Завернуть трафик роутероа в тонель"	+/–
Сообщение от Doc (ok) on 04-Дек-14, 09:41
Добрый день есть два сетки с маршрутерами на linux на обеих концах. На маршрутерах поднят маскардинг и ipsec на raccon междлу сетями есть два dns сервера в одной сети microsoft + AD, во второй на самом маршрутере соответственно обе сети в интернет ходят , и друг друга видят , а вот днс сервера поднятый на самом моршрутере , не видет dns противоположной сети. Так как сам маршутер отправляет пакеты не в ipsec тоннель, а наружу в интернет. Понимаю что надо создать правило в iptables, но что-то не даганяю какое .
Ответить \| Правка \| Cообщить модератору

Оглавление

Завернуть трафик роутероа в тонель, ipmanyak, 15:28 , 04-Дек-14, (1)

Завернуть трафик роутероа в тонель, Doc, 08:58 , 05-Дек-14, (3)

Завернуть трафик роутероа в тонель, BarS, 15:51 , 04-Дек-14, (2)

Завернуть трафик роутероа в тонель, Doc, 09:01 , 05-Дек-14, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Завернуть трафик роутероа в тонель" +/–

Сообщение от ipmanyak (ok) on 04-Дек-14, 15:28

>[оверквотинг удален]
> есть два сетки с маршрутерами на linux на обеих концах. На маршрутерах
> поднят маскардинг и ipsec на raccon междлу сетями
> есть два dns сервера в одной сети microsoft + AD, во второй
> на самом маршрутере
> соответственно обе сети в интернет ходят , и друг друга видят ,
> а вот днс сервера поднятый на самом моршрутере , не видет
> dns противоположной сети. Так как сам маршутер отправляет пакеты не в
> ipsec тоннель, а наружу в интернет.
> Понимаю что надо создать правило в iptables, но что-то не даганяю какое
>  .
1 - Нэймсервер на втором рутере это ваш собственный на BIND9 ?
2 - Зачем вам нэймсервер на другом конце туннеля? Что хотите резолвить? Хосты удаленного домена?
Если у вас BIN9, то вариантов два.
1 - создать зоны удаленного сервера с AD как secondary/slave и в DNS сервере винды прописать IP вашего сервера для передачи зон в соответствующей вкладке.
2 - создайте в BIND9 нужную зону с нужным доменом и сделайте как forward зону
zone "ваш.domain" {
    type forward;
    forward only;
    forwarders { IP-адрес_нэймсервар; };
               };
насчет вашей версии с iptables.
Сначала проверьте маршрутизацию, снимите трассу. Ткнитесь телнетом на 53 порт того хоста.
Далее уже думать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Завернуть трафик роутероа в тонель" +/–

Сообщение от Doc (ok) on 05-Дек-14, 08:58

>[оверквотинг удален]
> как forward зону
> zone "ваш.domain" {
>     type forward;
>     forward only;
>     forwarders { IP-адрес_нэймсервар; };
>
>    };
> насчет вашей версии с iptables.
> Сначала проверьте маршрутизацию, снимите трассу. Ткнитесь телнетом на 53 порт того хоста.
> Далее уже думать.
роутер на котором bind мой
другая сторона нет
именно это и хочу сделать , но дело в том что с роутера трасса уходит в интернет, а так как ракун при построении тоннеля не поднимает интерфейсов , прописывать маршрут просто не на что

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Завернуть трафик роутероа в тонель" +/–

Сообщение от BarS (ok) on 04-Дек-14, 15:51

>[оверквотинг удален]
> есть два сетки с маршрутерами на linux на обеих концах. На маршрутерах
> поднят маскардинг и ipsec на raccon междлу сетями
> есть два dns сервера в одной сети microsoft + AD, во второй
> на самом маршрутере
> соответственно обе сети в интернет ходят , и друг друга видят ,
> а вот днс сервера поднятый на самом моршрутере , не видет
> dns противоположной сети. Так как сам маршутер отправляет пакеты не в
> ipsec тоннель, а наружу в интернет.
> Понимаю что надо создать правило в iptables, но что-то не даганяю какое
>  .
iptables -t nat -A POSTROUTING --destination 3.4.5.6 -j SNAT --to 1.2.3.4
насколько помню пакет отправляется куда нужно, но от другого ip если это происходит на одной из точек IPsec. Дааавно это было....

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Завернуть трафик роутероа в тонель" +/–

Сообщение от Doc (ok) on 05-Дек-14, 09:01

>[оверквотинг удален]
>> на самом маршрутере
>> соответственно обе сети в интернет ходят , и друг друга видят ,
>> а вот днс сервера поднятый на самом моршрутере , не видет
>> dns противоположной сети. Так как сам маршутер отправляет пакеты не в
>> ipsec тоннель, а наружу в интернет.
>> Понимаю что надо создать правило в iptables, но что-то не даганяю какое
>>  .
> iptables -t nat -A POSTROUTING --destination 3.4.5.6 -j SNAT --to 1.2.3.4
> насколько помню пакет отправляется куда нужно, но от другого ip если это
> происходит на одной из точек IPsec. Дааавно это было....
как я понимаю 3.4.5.6 адрес удаленного DNS, а 1.2.3.4 адрес интерфейса с которого отправлять?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Завернуть трафик роутероа в тонель"	+/–
Сообщение от ipmanyak (ok) on 04-Дек-14, 15:28
>[оверквотинг удален] > есть два сетки с маршрутерами на linux на обеих концах. На маршрутерах > поднят маскардинг и ipsec на raccon междлу сетями > есть два dns сервера в одной сети microsoft + AD, во второй > на самом маршрутере > соответственно обе сети в интернет ходят , и друг друга видят , > а вот днс сервера поднятый на самом моршрутере , не видет > dns противоположной сети. Так как сам маршутер отправляет пакеты не в > ipsec тоннель, а наружу в интернет. > Понимаю что надо создать правило в iptables, но что-то не даганяю какое > . 1 - Нэймсервер на втором рутере это ваш собственный на BIND9 ? 2 - Зачем вам нэймсервер на другом конце туннеля? Что хотите резолвить? Хосты удаленного домена? Если у вас BIN9, то вариантов два. 1 - создать зоны удаленного сервера с AD как secondary/slave и в DNS сервере винды прописать IP вашего сервера для передачи зон в соответствующей вкладке. 2 - создайте в BIND9 нужную зону с нужным доменом и сделайте как forward зону zone "ваш.domain" { type forward; forward only; forwarders { IP-адрес_нэймсервар; }; }; насчет вашей версии с iptables. Сначала проверьте маршрутизацию, снимите трассу. Ткнитесь телнетом на 53 порт того хоста. Далее уже думать.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Завернуть трафик роутероа в тонель"	+/–
	Сообщение от Doc (ok) on 05-Дек-14, 08:58
	>[оверквотинг удален] > как forward зону > zone "ваш.domain" { > type forward; > forward only; > forwarders { IP-адрес_нэймсервар; }; > > }; > насчет вашей версии с iptables. > Сначала проверьте маршрутизацию, снимите трассу. Ткнитесь телнетом на 53 порт того хоста. > Далее уже думать. роутер на котором bind мой другая сторона нет именно это и хочу сделать , но дело в том что с роутера трасса уходит в интернет, а так как ракун при построении тоннеля не поднимает интерфейсов , прописывать маршрут просто не на что
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "Завернуть трафик роутероа в тонель"	+/–
Сообщение от BarS (ok) on 04-Дек-14, 15:51
>[оверквотинг удален] > есть два сетки с маршрутерами на linux на обеих концах. На маршрутерах > поднят маскардинг и ipsec на raccon междлу сетями > есть два dns сервера в одной сети microsoft + AD, во второй > на самом маршрутере > соответственно обе сети в интернет ходят , и друг друга видят , > а вот днс сервера поднятый на самом моршрутере , не видет > dns противоположной сети. Так как сам маршутер отправляет пакеты не в > ipsec тоннель, а наружу в интернет. > Понимаю что надо создать правило в iptables, но что-то не даганяю какое > . iptables -t nat -A POSTROUTING --destination 3.4.5.6 -j SNAT --to 1.2.3.4 насколько помню пакет отправляется куда нужно, но от другого ip если это происходит на одной из точек IPsec. Дааавно это было....
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Завернуть трафик роутероа в тонель"	+/–
	Сообщение от Doc (ok) on 05-Дек-14, 09:01
	>[оверквотинг удален] >> на самом маршрутере >> соответственно обе сети в интернет ходят , и друг друга видят , >> а вот днс сервера поднятый на самом моршрутере , не видет >> dns противоположной сети. Так как сам маршутер отправляет пакеты не в >> ipsec тоннель, а наружу в интернет. >> Понимаю что надо создать правило в iptables, но что-то не даганяю какое >> . > iptables -t nat -A POSTROUTING --destination 3.4.5.6 -j SNAT --to 1.2.3.4 > насколько помню пакет отправляется куда нужно, но от другого ip если это > происходит на одной из точек IPsec. Дааавно это было.... как я понимаю 3.4.5.6 адрес удаленного DNS, а 1.2.3.4 адрес интерфейса с которого отправлять?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору