Изпечатай

[abadon]

Здравейте на всички.
Ето какво искам да направя — имам един компютър с линукс (trustix) който има три мрежови интерфейса eth0, eth1 и eth2. На eth0 ще идва нета от доставчика на нет, на eth1 е вързана локалната мрежа (кабела от този интерфейс ще отива към суич към който ще са вързани други компютри), на eth2 ще идва нет от Wi-Fi устройство. Целта ми е когато някой от компютрите вързани към суича иска да се свърже с интернет трафика му да минава през eth0. Това съм го правил по следния начин на компютри с две мрежови карти:

Цитат

# Сваляме интерфейса  ifconfig eth0 down # Zadavame IP za 1-vata NIC  ifconfig eth0 82.147.151.116 netmask 255.255.255.24 # Zadavame IP za 2 NIC ifconfig eth1 192.168.124.254 netmask 255.255.255.0 # Zadavame gateway-a po podrazbirane route add default gw 82.147.151.113 # nastroivame DNS server-a koito shte polzvame echo "nameserver 82.147.151.82" > /etc/resolv.conf # razreshavame marshrutizatsiata echo "1" > /proc/sys/net/ipv4/ip_forward # maskirame vsichko koeto shte izliza prez eth0 > ISP iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -P FORWARD ACCEPT

И тук вече идва трудната част. През eth2 (демек Wi-Fi) трябва да минава трафик към друга такава машина. Която е със същите настройки.
Целта е компютрите които са свързани към двата сървъра хем да имат интернет, хем да могат да се виждат в обща локална мрежа посредством Wi-Fi връзката. Това може ли да се направи по начина който съм замислил с по три мрежови карти на всеки от сървърите? И ако може как може да се реализира с рутирането?
Примерно да направя за едната локална мрежа ip-та от рода на 192.168.1.1/25 а за другата 192.168.1.129/25 или как?

Предварително благодаря и дано сте разбрали какво искам да направя?

[cna]

Защо се затваряш в същия сегмент?

Цитат

на eth2 ще идва нет от Wi-Fi устройство

А eth2 Wi-Fi ли е, или си е обикновена мрежова карта?

Цитат

Целта е компютрите които са свързани към двата сървъра хем да имат интернет, хем да могат да се виждат в обща локална мрежа посредством Wi-Fi връзката.

Тук малко не разбрах нещо, или ти си се объркал в описанието! Как станаха ДВА сървърите?

[Dean79]

Здравей. Това което искаш да направиш, поне доколкото разбрах е постижимо. Трябва да прочетеш малко какво е това бридж. Та, това което трябва да направиш е, да конфигурираш бриджа м/у етх1 и етх2, а на етх0 да ти е шлюза по подразбиране. На втората машина предполагам има само 2 мрежови интерфейса - един с ВиФи и един за клиентите. Бриджваш тези 2 интерфейса и така клиентите зад 2-та рутера ще се намират в един сегмент.

[abadon]

Цитат (cna @ Юли 11 2007,00:51)

Защо се затваряш в същия сегмент? Цитат на eth2 ще идва нет от Wi-Fi устройство А eth2 Wi-Fi ли е, или си е обикновена мрежова карта? Цитат Целта е компютрите които са свързани към двата сървъра хем да имат интернет, хем да могат да се виждат в обща локална мрежа посредством Wi-Fi връзката. Тук малко не разбрах нещо, или ти си се объркал в описанието! Как станаха ДВА сървърите?

Първо за сегмента какво имаш предвид под това, че се затварям в същия сегмент?
Eth2 е обикновена мрежова карта, която е свързана със Wi-Fi устройство.
По третия ти въпрос как станаха два сървърите. Два са, защото към единия са вързани едните клиенти, а към другия другите. Като всеки от тези сървъри е с по три мрежови карти и конфигурацията им е идентична. На едната карта идва нета от ISP-то, на другата са вързани клиентите и на третата е вързано Wi-Fi устройство. Като клиентите зад двата сървъра трябва да се виждат помежду си в обща ЛАН мрежа посредством Wi-Fi, а когато някой от клиентите се свързва с нета връзката му да си минава през ISP-то.

[abadon]

Цитат (Dean79 @ Юли 11 2007,01:07)

Здравей. Това което искаш да направиш, поне доколкото разбрах е постижимо. Трябва да прочетеш малко какво е това бридж. Та, това което трябва да направиш е, да конфигурираш бриджа м/у етх1 и етх2, а на етх0 да ти е шлюза по подразбиране. На втората машина предполагам има само 2 мрежови интерфейса - един с ВиФи и един за клиентите. Бриджваш тези 2 интерфейса и така клиентите зад 2-та рутера ще се намират в един сегмент.

Това за бриджа под линукс с iptables се прави. Нали там да го търся? А за шлюза по подразбиране примерната конфигурация, която съм дал в първия пост ще ми свърши работа нали?

[cna]

Явно ще трябва да прочетеш малко за мрежите, щом незнаеш какво е "мрежов сегмент", но това си е твоя работа.
Най-кратко казано: когато имаш една мрежа с ИП-та от 192.168.1.1 до 192.168.1.254(или колкото там си определил да се виждат с мрежовата маска), идентификатор за цялата мрежа ти е 192.168.1.0 - това е един мрежов сегмент. Ако имаш и друга мрежа(примерно 192.168.2.0) - тя ти е друг мрежов сегмет.(дано да съм се изразил правилно че точно ставам и още не сам си допил кафето  '>  а и се опитвам да го кажа с две думи)

Аз не мисля че на теб ти трябва БРИЧ, както Деан79 те посъветва. В случая по-правилно е да използваш ТУНЕЛ. Както си написал по-горе ип-тата с такива маски, няма да им позволиш да се виждат, а точно обратното ще ги скриеш едни от други.

Както си си пуснал маскирането, ако подкараш това което искаш ще се получи така че машините зад Сървър-1, ако сложат за шлюз ип-то на етх2 на Сървър-2, ще получават интернет от него. Нали етх2 и на двата ти гейта е само за връзка между сървърите?
Обмисли пускане на маскиране само за пакети пристигащи през етх1, става така:

Примерен код

iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE

За тунели има тонове информация в мрежата, най-лесен е ip-tunneling , няма никакви криптирания и защити, но ти можеш да си настроиш точките на достъп да не пускат никой друг.

[gat3way]

Ако под това "да се виждат в една локална мрежа" разбираш единствено уиндоуският файлшеринг (нетбиос), то тогава много силно те съветвам да разцепиш мрежата на два сегмента за да не хвърчат всичките етернет броудкасти (например АРП заявките) през 802.11 линк-а. И да подкараш WINS. В противен случай просто позволяваш безсмислено пълнене на линията, което на всичкото отгоре води до спад на производителността на цялата мрежа - така че бих се въздържал от бриджване на интерфейси на двете машини. Що се отнася до криптирането - може, но принципно с WPA2 трудно някой би могъл да види какво минава, така че не знам...тя параноята си е субективно понятие, та ако държиш много можеш да пробваш и да кажеш голям ли е overhead-a '>

[abadon]

Цитат (gat3way @ Юли 11 2007,09:50)

Ако под това "да се виждат в една локална мрежа" разбираш единствено уиндоуският файлшеринг (нетбиос), то тогава много силно те съветвам да разцепиш мрежата на два сегмента за да не хвърчат всичките етернет броудкасти (например АРП заявките) през 802.11 линк-а. И да подкараш WINS. В противен случай просто позволяваш безсмислено пълнене на линията, което на всичкото отгоре води до спад на производителността на цялата мрежа - така че бих се въздържал от бриджване на интерфейси на двете машини. Що се отнася до криптирането - може, но принципно с WPA2 трудно някой би могъл да види какво минава, така че не знам...тя параноята си е субективно понятие, та ако държиш много можеш да пробваш и да кажеш голям ли е overhead-a '>

Да точно това имам предвид под "да се виждат в една локална мрежа". Трябва компютрите зад Сървър-1 да виждат споделените ресурси на компютрите зад Сървър-2 и обратното. Като за целта трябва да се ползва безжичната мрежа.
Затова в първия си пост бях предложил да направя за едната локална мрежа ip-та от рода на 192.168.1.1/25 а за другата 192.168.1.129/25. Демек да са два мреживите сегмента. IP схемата няма никакво значение може да бъде изпълнена както си искам, въпроса е да се виждат споделените ресурси и да се намали до минимум излишния трафик по безжичната мрежа, тъй като не е кой знае колко бърза.

И последно за какво да чета за бридж, ip тунели или нещо друго?

[Dean79]

Това за трафика по безжичната мрежа наистина не ти го препоръчвам и аз. Зависи за какво ще се използва. Ако машините зад 2-та рутера са разни клиенти, които ще си менкат какво ли не, то тогава както казаха и другите не те съветвам да го правиш, освен ако нямаш 2-3000 лева за добри 5 гхз-ови устройства на проксим. Но ако компютрите са офис машини, на които наистина им ТРЯБВА да са в един етернет сегмент - решението ти е бридж. Поне според мен.
man brctl

[abadon]

Оборудването за безжичната няма да го коментирам, но е под свякаква критика не съм го купувал аз. Компютрите са офис машини, които е съмнително колко информация ще прехвърлят. Аз бих казал почти никаква и не виждам смисъл да се "виждат" но задачата ми е да го направя.
Значи най-лесния и бърз вариянт доколкото разбрах е да бриджна eth1 и eth2 на сървърите и да направя маскиране само на трафика идваш от eth1 и излизащ през eth0. Нали така. За IP-схемата всички компютри и вътрешните интерфейси eth1 и eth2 трябва да са в една мрежа нали? Няма да правя никакви разделяния.

[NikDaPhreak]

Много сте изписали. Прочетох по диагонал и съжалявам ако повтарям нещо казано.
За да има обща локална мрежа зад двете lan карти трябва bridge. С iptables може да се направи firewall или Network Address Translation. Нито едно от двете не върши работа тук.
Bridge се прави сравнително просто при стандартно ядро или custom ядро с поддръжка на bridging.
brctl addbr br0
brctl addif eth1
brctl addif eth2
ifconfig br0 192.168.2.3 netmask 255.255.255.0 up
Интерфейсите eth1 и eth2 остават без IP адреси. Използва се един адрес - 192.168.2.3, който е едновременно достъпен и през двете мрежови карти. Освен това през интерфейса br0 се осъществява и безпроблемна комуникация между компютрите в двете отделни мрежи. Ако трябва по някакъв повод да има firewall между двата сегмента се използва ebtables.

Маскирането на трафика трябва да е само за изходящия трафик към ISPто. Трафика между eth1 и eth2 не се маскира и не се третира като отделни потоци трафик. За interface във firewall се използва интерфейс br0.

[ice4o]

За съжаление май не успях да разбера много добре първоначално пуснатата тема. Вариянтите - 2...

1. Ситуацията е wireless връзката е автономна и няма нищо общо с интернет, а се ползва само за пренос между офисите.
В този случай най-обикновен рутинг оправя напълно всички грижи

2. Ситуацията с wireless връзката - през интернет доставчик. В този случай се пуска gre/ipsec тунел може и openvpn да се ползва и пак опира до рутиране.

Колкото до бриджа зависи в кой от 2та вариянта попадаме. Ако е първия ще се получи ситуация на сегмент с 2 гейта и каша. 2рия става като първия, само, че бриджа отива на тунела с NIC-а.

[alex_c]

Абе хора, защо засилвате човека в бриджиране и т.н.?
Не е ли по-лесно да забрави за едната мрежова карта (към която закача радиото), на клиентската карта тъй или иначе има switch (за клиентските компютри) - там да закачи и радиото към другия офис. В този случай няма дори да му трябва да разделя мрежата на два сегмента - е, верно - остава орблема с overhead-а по радиолинк-а, но едва ли ще е кой знае колко голям. Ако в другия офис ползват друг канал към Интернет, просто слага различни gateway-и за двата офиса и това е.

[ice4o]

Ако няма layer3 са в общ broadcast домейн и bandwith-а драстично намалява.

[alex_c]

O.K., но ако можеш, все пак дефинирай понятието "драстично" с някакви числа, т.к. на мен така нищо не ми говори - все пак нито ARP пакетите са големи, нито broadcast-ите. Друг е въпроса с броя пакети и вирусясали компютри, но това е друга тема, защото дори и при наличието на рутиране (layer 3), то без добре формулирани правила в iptables няма да се спаси положението.