- Где разместить команду добавления записи arp proxy,
 Михрютка, 16:06 , 05-Ноя-19 (1)> Подскажите, а где правильно прописать эту команду?
> Можно, конечно, создать сервис, который поднимает эту команду, но, возможно, есть более
> правильное решение?/sbin/ifup-local если NM_CONTROLLED=yes /etc/NetworkManager/dispatcher.d/ifup-local
- Где разместить команду добавления записи arp proxy, Licha Morada, 18:52 , 05-Ноя-19 (2)
Это не уточнение к вашему вопросу, меня просто весьма заинтересовала ваша конфигурация.> Есть следующая конфигурация на шлюзе:
> Linux CentOS 7
> WAN: enp1s0: 198.51.100.17/25 GW:198.51.100.19
> LAN: enp2s0: 192.0.2.1/24
> Кроме того, провайдером выделено ещё дополнительный адрес 198.51.100.201, Машина (назовём
> её WILS) с этим адресом размещена в локальной сети. Скажите, у вас на шлюзе включён DNAT, и серверу WILS присвоен адрес в сети 192.0.2.1/24?
Или каким образом пакет с конечным адресом 198.51.100.201, полученный шлюзом (с помощью arp proxy который вы настраиваете), оказывается в LAN (куда подключён WILS)?
- Где разместить команду добавления записи arp proxy, Harlan, 07:11 , 06-Ноя-19 (3)
> Скажите, у вас на шлюзе включён DNAT, и серверу WILS присвоен адрес
> в сети 192.0.2.1/24?
> Или каким образом пакет с конечным адресом 198.51.100.201, полученный шлюзом (с помощью
> arp proxy который вы настраиваете), оказывается в LAN (куда подключён WILS)? arp proxy всего лишь пробрасывает мак-адрес WILSa ( "наружу" (конечно, провайдер должен был прописать, что пакеты предназначенные для адреса 198.51.100.201 отправлять на мой WAN, однако, он этого не сделал и договориться об этом невозможно. Разместить машину "во вне" так же нет возможности, так как WILS - виртуалка, работающая на сервере внутри LAN). Таким образом, все пакеты из-вне предназначенные для WILS попадают на WAN сервера. А далее, пакеты предназначенные для WILS и от WILSa во-вне, просто пересылаются на нужный интерфейс без [DS]NAT
- Где разместить команду добавления записи arp proxy, Licha Morada, 09:18 , 06-Ноя-19 (4)
> arp proxy всего лишь пробрасывает мак-адрес WILSa ( "наружу" (конечно, провайдер должен
> был прописать, что пакеты предназначенные для адреса 198.51.100.201 отправлять на мой
> WAN, однако, он этого не сделал и договориться об этом невозможно. Я примерно так и понял. > Разместить машину "во вне" так же нет возможности, так как WILS
> - виртуалка, работающая на сервере внутри LAN). Таким образом, все пакеты
> из-вне предназначенные для WILS попадают на WAN сервера. Ах, так WILS это виртуалка на шлюзе... На каком гипервизоре? > А далее, пакеты предназначенные для WILS ..., просто пересылаются на нужный
> интерфейс без [DS]NAT А вот с этого места непонятно. Серверу WILS присвоен адрес 198.51.100.201, но он подключён (бриджем?) к LAN где сеть 192.0.2.1/24? И каким образом шлюз узнаёт, что пакеты надо слать на WILS, у вас его MAC где-то задан статически? (В таблице ARP? В /etc/ethers?) Просто, чтобы понять, почему нет возможности разместить "во вне". Есть какая-то причина чтобы не создать, скажем, bridge-WAN, включить в него enp1s0 с 198.51.100.17 и виртуальный интерфейс машины WILS с 198.51.100.201? Провайдер будет видеть в сети WAN с вашей стороны два хоста, каждый со своим MACом и IP, и подумает что у вас там подключен свич. Или eму нельзя показывать незнакомые адреса MAC?
- Где разместить команду добавления записи arp proxy, Harlan, 09:26 , 06-Ноя-19 (5)
> Ах, так WILS это виртуалка на шлюзе... На каком гипервизоре?Не на шлюзе а на сервере (Proxmox) внутри LAN > А вот с этого места непонятно. Серверу WILS присвоен адрес 198.51.100.201, но
> он подключён (бриджем?) к LAN где сеть 192.0.2.1/24? И каким образом
> шлюз узнаёт, что пакеты надо слать на WILS, у вас его
> MAC где-то задан статически? (В таблице ARP? В /etc/ethers?) Бриджем. Соответственно, пакеты arp летят свободно и WILS без особого напряга сообщает в LAN (а значит и шлюзу) свою пару mac-ip > Просто, чтобы понять, почему нет возможности разместить "во вне". Есть какая-то причина
> чтобы не создать, скажем, bridge-WAN, включить в него enp1s0 с 198.51.100.17
> и виртуальный интерфейс машины WILS с 198.51.100.201? Провайдер будет видеть в
> сети WAN с вашей стороны два хоста, каждый со своим MACом
> и IP, и подумает что у вас там подключен свич. Или
> eму нельзя показывать незнакомые адреса MAC? Ещё раз напоминаю то, что писал выше: шлюз и сервер VM - физически разные машины.
- Где разместить команду добавления записи arp proxy, Licha Morada, 20:59 , 06-Ноя-19 (7)
>> Ах, так WILS это виртуалка на шлюзе... На каком гипервизоре?
> Не на шлюзе а на сервере (Proxmox) внутри LAN Понятно, значит, я прочёл больше чем вы написали. >> А вот с этого места непонятно. Серверу WILS присвоен адрес 198.51.100.201, но
>> он подключён (бриджем?) к LAN где сеть 192.0.2.1/24? И каким образом
>> шлюз узнаёт, что пакеты надо слать на WILS, у вас его
>> MAC где-то задан статически? (В таблице ARP? В /etc/ethers?)
> Бриджем. Соответственно, пакеты arp летят свободно и WILS без особого напряга сообщает
> в LAN (а значит и шлюзу) свою пару mac-ip IMHO, какого-то элемента не хватает, чтобы у шлюза была причина запрашивать ARP до 198.51.100.201 на интерфейсе LAN, который совсем в другой сети. Ну ладно... Ваш случай похож на вещи с которыми мне приходится время от времени сталкиваться, но мне как-то не приходило в голову решать это с помощью arp proxy. В зависимости от деталей и доступной инфраструкуры, обычно я выбираю из двух шаблонов: 1. Самое простое топологически, это так или иначе подключить машину WILS напрямую с сети WAN. Например, если и WILS и шлюз это виртуалки на одном и том-же хосте, или WILS виртуалка, а роль шлюза исполняет сам физический хост, как я описал про bridge-WAN (не ваш случай, я уже понял).
Кроме того, если принимать физический линк WAN не прямо на шлюзе, а на свиче в определённой VLAN, то можно делать доступной сеть WAN на уровне ethernet для любого количества хостов. 2. Если инфраструктуры по минимуму а на уровне ethernet от WILS до WAN не дотянуться, то я использую NAT, даже если это не стык публичной и приватной сетей. У шлюза есть свой собственный адрес в WAN, и алиас с внешним адресом WILS. У WILS есть внутренний адрес в LAN. Правило DNAT на шлюзе переписывает адрес назначения на WILS всем пакетам которые приходят на алиас, а правило SNAT переписывает адрес отправителя всем пакетам которые от WILS. В обоих случаях, необходимый функционал достигается стандартными средствами. В смысле, распостранёнными и лёгкими для делегирования. Кроме того, он переносимыми с одного типа устройства на другой, например, если взбредёт в голову сменить CentOS на другой дистрибутив, или вообще на железное решение. Удачи.
- Где разместить команду добавления записи arp proxy, Harlan, 09:53 , 07-Ноя-19 (8)
> В обоих случаях, необходимый функционал достигается стандартными средствами. В смысле,
> распостранёнными и лёгкими для делегирования. Кроме того, он переносимыми с одного
> типа устройства на другой, например, если взбредёт в голову сменить CentOS
> на другой дистрибутив, или вообще на железное решение.Вариантов решения одной задачи несколько больше, чем один и каждый имеет право на существование.
ARP Proxy был применён в этой схеме ещё до меня, а мне сейчас переделывать нет ни времени, ни желания. > Удачи. Спасибо. Вам тоже.
- Где разместить команду добавления записи arp proxy, Licha Morada, 20:55 , 07-Ноя-19 (10)
> Вариантов решения одной задачи несколько больше, чем один и каждый имеет право
> на существование.Разумеется. Я не преследую цель поддержать традицию ответов в духе "у вас всё неправильно, переделывайте", а наоборот, пытаюсь понять, какие разные способы используют другие, чтобы при случае пересмотреть собственные привычки. Ну, и делюсь своими, в надежде что оно кому-то окажется полезно. > ARP Proxy был применён в этой схеме ещё до меня, а мне
> сейчас переделывать нет ни времени, ни желания. Охотно верю, самому часто приходится заниматься увлекательным траблшутингом схем, сделанных до нас. Я так и не понял одну важную деталь вашей конфигурации, но готов на этом остановиться и пометку "использовать arp-proxy чтобы спрятать собственную инфраструкуру от несотрудничающего админстратора сети" себе сделал.
Если вам покажется, что какой-то из методов которые я изложил, сделает вам жизнь проще, и ситуация с временем и желанием изменится, то я готов поделиться деталями.
- Где разместить команду добавления записи arp proxy, Harlan, 08:47 , 12-Ноя-19 (12)
> Я так и не понял одну важную деталь вашей конфигурации, но готов
> на этом остановиться и пометку "использовать arp-proxy чтобы спрятать собственную инфраструкуру
> от несотрудничающего админстратора сети" себе сделал.
> Если вам покажется, что какой-то из методов которые я изложил, сделает вам
> жизнь проще, и ситуация с временем и желанием изменится, то я
> готов поделиться деталями.На новогодних каникулах я планирую переделать существующую инфраструктуру. В частности, избавиться от arp-proxy - задача номер один. Спасибо Вам за предложение.
- Где разместить команду добавления записи arp proxy, fantom, 13:45 , 06-Ноя-19 (6)
>[оверквотинг удален]
> Кроме того, провайдером выделено ещё дополнительный адрес 198.51.100.201, Машина (назовём
> её WILS) с этим адресом размещена в локальной сети.
> Для того, чтобы WILS работал нормально, на сервере нужно исполнить следующую команду:
> ip neigh add proxy 198.51.100.201 dev enp1s0
> Я эту команду добавил в /etc/rc.d/init.d/network и последствия не заставили себя долго
> ждать, так как очередное обновление системы перезаписало этот файл и уничтожило
> эту команду.
> Подскажите, а где правильно прописать эту команду?
> Можно, конечно, создать сервис, который поднимает эту команду, но, возможно, есть более
> правильное решение?В анализаторе конфига есть такой параметр, как "OTHERSCRIPT", судя по всему популярностью не пользуется, но может попробовать?
Вдруг это именно то, что спасет Кису Воробьянинова?
- Где разместить команду добавления записи arp proxy, Аноним, 15:02 , 09-Ноя-19 (11)
|
Версия для распечатки
Где разместить команду добавления записи arp proxy, 
