Изпечатай

[mystical]

От няколко седмици се ровя из интернет и търся как става маршрутизацията на публични ip адреси и до момента все още задънена улица. Успях да разбера, че има два вида маршрутизация: динамично, което в линукс се поддържа чрез Quagga Routing Suite и статично, за чиято реализация iproute2 е доста добър избор.

Опитах се да създам тестова обстановка за статично маршрутизиране, която се състои от следното:

Рутер с ip:  192.168.1.1

Линукс Debian с две лан карти:
etho - LAN:
eth1 - WAN: 192.168.1.254

Идеята е да закача един лаптоп зад линукса (на etho - LAN), който да има ip от мрежа 192.168.1.0, но да вижда рутера и да има интернет, без да е пуснато MASQUERADE или SNAT и в същото време, и рутера да вижда лаптопа. Линукската машина също да има интернет. Задачата не се оказа лесна.

Ето какво имам в /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual
        pre-up ip link set dev $IFACE up

        post-down ip address flush dev $IFACE
        post-down ip link set dev $IFACE down

auto eth1
iface eth1 inet manual
        pre-up ip link set dev $IFACE up
        post-up ip address add 192.168.1.254/24 dev $IFACE

        post-up ip route add default scope global via 192.168.1.1

        post-down ip route flush default
        post-down ip route flush dev $IFACE
        post-down ip address flush dev $IFACE
        post-down ip link set dev $IFACE down

Ето и няколко изхода от следните команди:
ip address show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 1c:6f:65:ac:3c:56 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::1e6f:65ff:feac:3c56/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:21:27:c5:60:e4 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.254/24 scope global eth1
    inet6 fe80::221:27ff:fec5:60e4/64 scope link
       valid_lft forever preferred_lft forever

ip route show

default via 192.168.1.1 dev eth1
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.254

ip rule

0:   from all lookup local
32766:   from all lookup main
32767:   from all lookup default

До момента нищо особенно, но дали съм в правилна насока?
Лаптопа работи също под линукс и там изпълнявам следните команди:

root@debian:/home/mystical# ip addr add dev eth0 192.168.1.5/24
root@debian:/home/mystical# ip route add default via 192.168.1.254 dev eth0 src 192.168.1.5

root@debian:/home/mystical# ping 192.168.1.254
PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
^C
--- 192.168.1.254 ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 5023ms

root@debian:/home/mystical# ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
From 192.168.1.5 icmp_seq=1 Destination Host Unreachable
From 192.168.1.5 icmp_seq=2 Destination Host Unreachable
From 192.168.1.5 icmp_seq=3 Destination Host Unreachable
^C
--- 192.168.1.1 ping statistics ---
4 packets transmitted, 0 received, +3 errors, 100% packet loss, time 3015ms
pipe 3

Но не се отказвам и продължавам да се ровя, и виждам този мейл Публични ip-та в локална мрежа?

Пробвах следните команди:

root@debian:/home/mystical# ip route add 192.168.1.0/24 dev eth0
RTNETLINK answers: File exists

root@debian:/home/mystical# ip route del 192.168.1.0/24
root@debian:/home/mystical# ip route add 192.168.1.0/24 dev eth0

root@debian:/home/mystical# ping 192.168.1.5
PING 192.168.1.5 (192.168.1.5) 56(84) bytes of data.
64 bytes from 192.168.1.5: icmp_req=1 ttl=64 time=0.572 ms
64 bytes from 192.168.1.5: icmp_req=2 ttl=64 time=0.176 ms
64 bytes from 192.168.1.5: icmp_req=3 ttl=64 time=0.168 ms
64 bytes from 192.168.1.5: icmp_req=4 ttl=64 time=0.150 ms
64 bytes from 192.168.1.5: icmp_req=5 ttl=64 time=0.157 ms
^C
--- 192.168.1.5 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3997ms
rtt min/avg/max/mdev = 0.150/0.244/0.572/0.164 ms

Добре, има някакъв напредък, но има и въпроси.
Защо линукс добавя автоматично:
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.254 ?
IP 192.168.1.254 на кой мрежов интерфейс трябва да е: eth0 - LAN или eth1 - WAN?

Все още цялата работа ми е много мъглива.

Ето няколко пинга и от лаптопа:

root@debian:/home/mystical# ping 192.168.1.254
PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
64 bytes from 192.168.1.254: icmp_req=1 ttl=64 time=0.242 ms
64 bytes from 192.168.1.254: icmp_req=2 ttl=64 time=0.188 ms
64 bytes from 192.168.1.254: icmp_req=3 ttl=64 time=0.187 ms
64 bytes from 192.168.1.254: icmp_req=4 ttl=64 time=0.195 ms
^C
--- 192.168.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2998ms
rtt min/avg/max/mdev = 0.187/0.203/0.242/0.022 ms
root@debian:/home/mystical# ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
From 192.168.1.5 icmp_seq=1 Destination Host Unreachable
From 192.168.1.5 icmp_seq=2 Destination Host Unreachable
From 192.168.1.5 icmp_seq=3 Destination Host Unreachable
^C
--- 192.168.1.1 ping statistics ---
4 packets transmitted, 0 received, +3 errors, 100% packet loss, time 3015ms
pipe 3

Къде бъркам и какво пропускам?
Относно динамичното рутиране няма къде да го тествам. Някой може ли да обясни какво се получава при пуснат bgpd или ospfd, ако може да дадете и изхода от някои команди като:
ip r s
ip rule
за сравнение.

[mystical]

След още четене в интернет се оказа, че тестовата мрежа конструирана по горе споменатия начин няма да работи. Има няколко причини за това. Ще ги разберете и вие след като се опитам да обесня основни неща относно динамична маршрутизация и как работи Quagga, доколкото успях да разбера, ако греша моля да ме поправите.

Когато говорим за ЛАН мрежа може да кажем, че почти винаги имаме статично маршрутизиране. Примерно имаме хост, който иска да се свърже с друг хост, какво се случва?

Хостът-източник трябва да определи дали хостът-местоназначение се намира в същата подмрежа като изпълни побитова операция AND, която сравнява IP адреса на хоста-местоназначение с подмрежовата маска на изпращащия хост. Докато не изпълни побитова операция AND, хостът-източник няма представа дали този хост е локален или отдалечен. Ако изпращащата страна определи, че хостът не се намира в локалния сегмент (т.е. е отдалечен), то изпращането на локален ARP няма да достигне отдалечения хост. Тогава изпращащият хост трябва да маршрутизира кадъра като го изпрати към маршрутизатор на локален шлюз.

Препъръчвам ви да прочетете цялата статия: IР АДРЕСИРАНЕ

А какво се случва при граничния маршрутизатор? Как граничния маршрутизатор намира хоста-местоназначение?
Тук на помощ идват софтуерите за динамично машрутизиране, един от които е Quagga.
Quagga е комплексен софтуер за управление на маршрутизиране, който предоставя реализация на протоколите OSPFv2, OSPFv3, RIP v1 и v2, RIPng и BGP-4 за платформи Unix, особено FreeBSD, Linux, Solaris и NetBSD. Неговото ядро се състои от демона zebra, който се използва от другите демони като bgpd ripd ripngd ospfd ospf6d isisd, които от своя страна реализират споменатите протоколи и осъществяват динамичното маршрутизиране.

Нека да рагледаме една статия, в която е използвана Quagga с протокола OSPF: OSPF simple


На снимката се виждат два маршрутизатора:

Cisco 2651
interface FastEthernet0/0
ip address 200.0.0.2 255.255.255.0

interface FastEthernet0/1
ip address 10.1.0.2 255.255.255.0

QUAGGA 0.99.6
interface eth0
ip address 200.0.0.1/24

interface eth1
ip address 10.2.0.1/24

Двата маршрутизатора осъществяват връзката по между си през интерфейси
FastEthernet0/0   <----------------->   eth0 и IP адреси
          200.0.0.2   <----------------->   200.0.0.1

По интересното в случай са таблиците за рутиране на двата маршрутизатора след пускането на протокола OSPF.
Cisco 2651

C   200.0.0.0/24 is directly connected, FastEthernet0/0
    10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
O       10.2.0.0/24 [110/11] via 200.0.0.1, 00:29:39, FastEthernet0/0
C       10.1.0.0/24 is directly connected, FastEthernet0/1
O       10.200.1.2/32 [110/11] via 200.0.0.1, 00:29:39, FastEthernet0/0
C       10.200.1.1/32 is directly connected, Loopback1

Осъществена е директна връзка към мрежа 200.0.0.0/24 през интерфейс FastEthernet0/0. Когато има заявки към хостове от мрежа 10.2.0.0/24, те ще бъдат изпратени през интерфейс FastEthernet0/0 на IP 200.0.0.1 .

tracert 10.2.0.3


QUAGGA 0.99.6

C>*   200.0.0.0/24 is directly connected, eth0
C>*   10.2.0.0/24 is directly connected, eth1
C>*   127.0.0.0/8 is directly connected, lo
C>*   10.200.1.2/32 is directly connected, lo
O   10.2.0.0/24 [110/10] is directly connected, eth0, 05:45:59
O   200.0.0.0/24 [110/10] is directly connected, eth0, 05:53:20
O   10.200.1.2/32 [110/10] is directly connected, lo, 05:43:00
O>*   10.1.0.0/24 [110/11] via 200.0.0.2, eth0, 00:16:27
O>*   10.200.1.1/32 [110/11] via 200.0.0.2, eth0, 05:53:10

Съответно, осъществена е директна връзка към мрежа 200.0.0.0/24 през интерфейс eth0. Когато има заявки към хостове от мрежа 10.1.0.0/24, те ще бъдат изпратени през интерфейс eth0 на IP 200.0.0.2 .

tracert 10.1.0.3


Това е един прост пример какво представлява динамично маршрутизиране, и как работи протокола OSPF в Quagga.
Това беше нещото, което ме тормозеше толкова време.

В моята тестова мрежа експеримента нямаше как да се получи, понеже ми трябваха минимум два маршрутизатора с две различни мрежи зад тях и с поне един хост във всяка мрежа.

[ddantgwyn]

След още четене в интернет се оказа, че тестовата мрежа конструирана по горе споменатия начин няма да работи. Има няколко причини за това. Ще се опитам да обесня основни неща относно динамична маршрутизация и как работи Quagga, доколкото успях да разбера, ако греша моля да ме поправите.

Когато говорим за ЛАН мрежа може да кажем, че почти винаги имаме статично маршрутизиране. Примерно имаме хост със следните настройки:
IP:  192.168.1.5
Mask: 255.255.255.0
Gateway: 192.168.1.1

Когато хоста иска да се свърже с друг хост с IP 194.153.145.104 (abv.bg) проверява дали той не е в неговия сегмент, ако е така прави директна връзка с него, ако не е изпраща заявка към своя шлюз в случая 192.168.1.1, че иска та се свърже с IP 194.153.145.104 и работата на нашия хост свършва до тука. А какво се случва при граничния рутер? Как граничния рутер намира IP 194.153.145.104?
Тук на помощ идват програмите за динамично маршрутизиране (за линукс Quagga). Quagga е софтуер за управление на маршрутизиране, в чиято основа се намира демона zebra, който се използва от другите демони като bgpd ripd ripngd ospfd ospf6d isisd, чрез които се осъществява динамичното маршрутизиране.

Ще има продължение, надявам се довечера да довърша.

Извинявай, но каква е целта на това упражнение точно тук?!

Ако искаш да напишеш статия за динамичната маршрутизация в Inernet, мястото не е най-подходящото. А и като гледам какво си написал, надали ще получиш много положителни отзиви.

Доколкото си спомням, за динамична маршрутизация трябва да имаш автономна система. За една класическа локална мрежа, с един единсвен изход към Internet не виждам голяма полза от подобно решение.

[mystical]

Извинявай, но каква е целта на това упражнение точно тук?!

Ако искаш да напишеш статия за динамичната маршрутизация в Inernet, мястото не е най-подходящото. А и като гледам какво си написал, надали ще получиш много положителни отзиви.

Доколкото си спомням, за динамична маршрутизация трябва да имаш автономна система. За една класическа локална мрежа, с един единсвен изход към Internet не виждам голяма полза от подобно решение.

Целта на това нещо е да науча как става директната маршрутизация на публични IP адреси без да се използва SNAT, DNAT или NETMAP. В първия пост описах какво пробвах до момента, по какъв начин го пробвах и какъв беше резултата. С идеята, че някой ще каже това се прави по този начин, тука грешиш, а тук си в правилна посока. По този начин се надявах да се изяснят нещата.
Докато чаках някой да напише нещо, продължавах да чета. Втория пост по скоро е продължение на първия - в този смисъл, че научавам нови неща и виждам мои предишни грешки, които ги споделям. Втория пост все още не е довършен и запазвам правото си да го редактирам.
Ако някой иска да обясни простичко как става цялото това нещо, за мен е още по-добре, няма да се мъча да тъпся информация тук и там.

[ddantgwyn]

Извинявай, но каква е целта на това упражнение точно тук?!

Ако искаш да напишеш статия за динамичната маршрутизация в Inernet, мястото не е най-подходящото. А и като гледам какво си написал, надали ще получиш много положителни отзиви.

Доколкото си спомням, за динамична маршрутизация трябва да имаш автономна система. За една класическа локална мрежа, с един единсвен изход към Internet не виждам голяма полза от подобно решение.

Целта на това нещо е да науча как става директната маршрутизация на публични IP адреси без да се използва SNAT, DNAT или NETMAP. В първия пост описах какво пробвах до момента, по какъв начин го пробвах и какъв беше резултата. С идеята, че някой ще каже това се прави по този начин, тука грешиш, а тук си в правилна посока. По този начин се надявах да се изяснят нещата.
Докато чаках някой да напише нещо, продължавах да чета. Втория пост по скоро е продължение на първия - в този смисъл, че научавам нови неща и виждам мои предишни грешки, които ги споделям. Втория пост все още не е довършен и запазвам правото си да го редактирам.
Ако някой иска да обясни простичко как става цялото това нещо, за мен е още по-добре, няма да се мъча да тъпся информация тук и там.

Аз пак да попитам (като прост инженер) -- каква е целта на това упражнение?! Искаш да направиш домашен маршрутизатор? Фирмен маршрутизатор? Или нещо съвсем друго? Защото от това, което си написал не става ясно какво точно искаш да се случи.

А като си тръгнал да четеш -- погледни как се прави ip_forwarding в Debian -- може да се окаже напълно достатъчно. А за динамична маршрутизация -- ето една презентация, в която решението е реализирано точно с quagga. Но обърни внимание мрежата на университета как е реализирана

[mystical]

Аз пак да попитам (като прост инженер) -- каква е целта на това упражнение?! Искаш да направиш домашен маршрутизатор? Фирмен маршрутизатор? Или нещо съвсем друго? Защото от това, което си написал не става ясно какво точно искаш да се случи.

Извинявам се, не можах да те разбера.
През словодното си време пиша на PHP, чета за мрежите и линукс. На скоро се роди една идея да започна не толкова амбициозен проект, който да е под GPL лиценз и написан предимно на PHP. Този PHP кожух трябва да управлява клиенти, които използват интернет чрез pppoe сесии или статични IP адреси.
В момента съм на етап tc (iproute2 traffic control), който ще работи с IPMARK (по статиите на VladSun). Тествах нещата с NAT и всичко работи, но исках да пробвам и с директно маршрутизиране, за да спестя проблеми за в бъдище. Доколкото разбрах няма да има проблеми.

[ddantgwyn]

Аз пак да попитам (като прост инженер) -- каква е целта на това упражнение?! Искаш да направиш домашен маршрутизатор? Фирмен маршрутизатор? Или нещо съвсем друго? Защото от това, което си написал не става ясно какво точно искаш да се случи.

Извинявам се, не можах да те разбера.
През словодното си време пиша на PHP, чета за мрежите и линукс. На скоро се роди една идея да започна не толкова амбициозен проект, който да е под GPL лиценз и написан предимно на PHP. Този PHP кожух трябва да управлява клиенти, които използват интернет чрез pppoe сесии или статични IP адреси.
В момента съм на етап tc (iproute2 traffic control), който ще работи с IPMARK (по статиите на VladSun). Тествах нещата с NAT и всичко работи, но исках да пробвам и с директно маршрутизиране, за да спестя проблеми за в бъдище. Доколкото разбрах няма да има проблеми.

Ами ето с това трябваше да започнеш. Щом целта ти е да направиш продукт, който да е от полза за крайни клиенти, тогава няма нужда да се занимаваш с динамична маршрутизация -- тя е грижа на доставчика на internet.

На теб ти е нужно да знаеш username & password при pppoe връзка или IP адрес, маска и адрес на шлюз при статично задаване на адрес. Някои доставчици раздават IP адресите през dhcp протокол, но това не би трябвало да  е пречка в твоя случай.

Имай предвид, че VladSun работеше (може и още да работи) като системен администратор именно в доставчик на internet и предполагам, че неговите статии (не знам какво точно си чел) са писани именно от гледната точка на доставчик на internet. А от това, което си написал, оставам с впечатлението, че ти трябва да знаеш нещо друго

PS. Ох, май и аз не съм те доразбрал -- все пак искаш да направиш продукт, който да се ползва от доставчици на internet, а не от техни клиенти, така ли е? Тогава може би наистина ще ти се наложи да се запознаеш с динамичната маршрутизация. Надявам се онази презентация поне малко от малко да те е въвела в темата.

[mystical]

Да, целта е крайния продукт да се ползва от интернет доставчиците, учреждения от публичния и частния сектор - училища, офиси. И да бъде под GPL лиценз. За това се опитвам да разгледам всички възможности. Надявам се да послужи като солидна основа, която може да се променя според нуждите, без да се налага, да се правят фрапални промени според радлизните нужди. Предимно само базистни неща, необходими за да работи системата.
Старая се да има минимална намеса в програмите, които ще се използват вътре като freeraius и други, за да не се получи краен продукт, който е разбираем само от този който го е написал. Примерно ти си запознат с  freeraius, знаеш как работи и с минимални усилия да разбереш по какъв начин е направен уеб интерфейса, понеже са използвани стандарните възможности на freeraius с много малки промени.

[Slevin_]

mystical, след написаното по темата, имам чувството, че се луташ и стреляш на посоки, което няма да ти помогне много.
Трябва да си наясно с:
1 От какво се изгражда OSI модела.
2. Какво представлява IP пакета.
3. Какво се случва когато IP пакет от даден източник постъпи в маршрутизатор.
4. Какво се случва при преминаването на IP пакета през маршрутизатора.
5. Как маршрутизатора взема решения, към кой съседнен на него маршрутизатор да предаде получения пакет и така по веригата от маршрутизатори, докато стигне пакета до получателя.

Така би си изяснил какво представлява маршрутизацията на IP пакетите
след това ще четеш за статично и динамично маршрутизиране(ако второто вообще ще ти трябва в твоя случай)
 
После трябва да разбереш с какви инструменти се реализира конфигурирането на тази маршрутизация и как те работят под дадената операционна система, която би искал да ползваш.

Вообще, ако не рабереш основата, върху която се изгражда всичко, ще ти е "мъгла" и всичко след това. А мащабен проект, както се изразяваш, не се изгражда върху половинчати знания.
Имай предвид, че когато си наясно как е изгадена основата, то по-лесно се схваша/разбира и това, което работи върху нея.

Като за старт намери книгата на o'reilly - ip routing.
Друг източник на информация полезен специално за линукс е http://linux-ip.net/
Дано намериш отговорите на своите въпроси.
Поздрави!

[sudo]

Само да попитам някаква договорка ли има, да идват явно доста "млади" потребители да плесват няколко купешки думички във форума и след това "да очакват отговори"
Младежи идвате надрасквате 3 термина в контекст, който показва че хал хабер си нямате от материята и след това " ... очаквам вашите отговори". На чист български: нерде freeradius, нерде маршрутизиране? И за да не кажете че не отговарям на въпроси, ето и моя отговор по темата "Маршрутизация на публични IP адреси " Публичните IP адреси се маршрутизират точно по същия начин както и частните - с помоща на рутинг таблици.

Да допълня: NAT, SNAT, DNAT, Portmap etc. != Routing

[Bogo]

Докато ползваш 192.168 няма да може да разбереш как става с публични.

[sudo]

Каква e разликата м/у 192.168.x.y и 92.68.x.y освен че единия адрес подлежи на специалното внимание на RFC1918 ?

[1010]

За негови собствени тестове може да си пуска bgp-та, ospf-и и т.н рутиращи протоколи по негов избор без значение от кое RFC са адресите.
Да използва fake автономни системи и т.н.