forum.opennet.ru - "Правила маршрутизации для домашнего роутера" (15)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Правила маршрутизации для домашнего роутера"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Правила маршрутизации для домашнего роутера"
Сообщение от Дарья on 18-Апр-08, 00:41
Здравствуйте всем. Пытаюсь дома настроить wi-fi маршрутизатор asus wl500w так, чтобы он был ещё и openVPN клиентом до офисной сети. Поставила openVPN, настроила конфиги. До запуска клиента [admin@router root]$ route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 83.217.192.140 * 255.255.255.255 UH 0 0 0 ppp0 10.10.10.0 * 255.255.255.0 U 0 0 0 br0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 83.217.192.140 0.0.0.0 UG 0 0 0 ppp0 83.217.192.140 - гейтевей провайдера 10.10.10.1 - asus После. В конфиге выставлено route-method exec [admin@router root]$ route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.3.5 * 255.255.255.255 UH 0 0 0 tun0 89.171.191.124 83.217.192.140 255.255.255.255 UGH 0 0 0 ppp0 83.217.192.140 * 255.255.255.255 UH 0 0 0 ppp0 192.168.3.0 192.168.3.5 255.255.255.0 UG 0 0 0 tun0 192.168.1.0 192.168.3.5 255.255.255.0 UG 0 0 0 tun0 10.10.10.0 * 255.255.255.0 U 0 0 0 br0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 192.168.3.5 128.0.0.0 UG 0 0 0 tun0 128.0.0.0 192.168.3.5 128.0.0.0 UG 0 0 0 tun0 default 83.217.192.140 0.0.0.0 UG 0 0 0 ppp0 89.171.191.124 openVPN сервер офиса (да, это Польша, не пугайтесь :) Проблема в том, что с асуса, я все "более ли менее" вижу. И `интернет`, и офисную локалку. Более ли менее — все, что не нравиться, так это то, что `интернет` идет тоже через офис. Хуже то, что я не с локальной домашней сети, не вижу не интернета, ни офиса после появление таких маршрутов в таблице маршрутизации. Подскажите пожалуйста, какие, нужно маршруты оставить(route-noexec и дальше hande made), чтобы все было по-человечески. Интернет, через гейтевей провайдера-интернет. Офис, через гейтевей провайдера-гейтевей офиса-офис.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Правила маршрутизации для домашнего роутера, Дарья, 00:43 , 18-Апр-08, (1)
Правила маршрутизации для домашнего роутера, KobaLTD, 16:39 , 18-Апр-08, (2)

Правила маршрутизации для домашнего роутера, Дарья, 22:23 , 18-Апр-08, (3)

Правила маршрутизации для домашнего роутера, KobaLTD, 11:28 , 21-Апр-08, (4)

Правила маршрутизации для домашнего роутера, Дарья, 20:21 , 21-Апр-08, (5)

Правила маршрутизации для домашнего роутера, KobaLTD, 08:59 , 22-Апр-08, (6)

Правила маршрутизации для домашнего роутера, KobaLTD, 09:03 , 22-Апр-08, (7)

Правила маршрутизации для домашнего роутера, Дарья, 12:32 , 22-Апр-08, (8)

Правила маршрутизации для домашнего роутера, KobaLTD, 17:53 , 23-Апр-08, (9)

Правила маршрутизации для домашнего роутера, Дарья, 19:58 , 23-Апр-08, (10)
Правила маршрутизации для домашнего роутера, Дарья, 20:15 , 23-Апр-08, (11)

Правила маршрутизации для домашнего роутера, KobaLTD, 12:36 , 24-Апр-08, (12)

Правила маршрутизации для домашнего роутера, Дарья, 20:20 , 24-Апр-08, (13)

Правила маршрутизации для домашнего роутера, KobaLTD, 09:58 , 25-Апр-08, (14)
Правила маршрутизации для домашнего роутера, KobaLTD, 11:54 , 25-Апр-08, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "Правила маршрутизации для домашнего роутера"

Сообщение от Дарья on 18-Апр-08, 00:43

Что-то меня совсем таблицы маршрутов замучили...
"Хуже то, что я с локальной домашней сети после появления таких маршрутов, не вижу ни интернета, ни офиса "

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Правила маршрутизации для домашнего роутера"

Сообщение от KobaLTD on 18-Апр-08, 16:39

а вообще чтобы правельно набрасать вам таблизу маршрутизации надо знать
1) ip(реальный) впн сервера в офисе
2) ip сеть на который работате вашь впн (какой у сервра, какой у вас)
3) какая/кие сетака в оффисе
4) какая у вас дома лакалка
5) параметры (ip/сетка/шлюз) вашего инета дома
6) сетки вашего прова (если у вас инет аля домашней сети + както там к инету)
ну а если в краце то
default         192.168.3.5     128.0.0.0       UG    0      0        0 tun0
128.0.0.0       192.168.3.5     128.0.0.0       UG    0      0        0 tun0
вот это пускает вашь инет через офис и почти все остальное - либо убивайте или меняйе метрику, причем какая то странная маска раздаеться у вас 128.0.0.0 ? так что капайте настройки вашего впн сервера

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Правила маршрутизации для домашнего роутера"

Сообщение от Дарья on 18-Апр-08, 22:23

KobaLTD, спасибо. Поправила. Уже правильней.
С самого роутера, теперь траффик ходит правильно и в "инет" и в "офис".
Теперь, таблица такая.
[admin@router root]$ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.5     *               255.255.255.255 UH    0      0        0 tun0
89.171.191.124  83.217.192.140  255.255.255.255 UGH   0      0        0 ppp0
83.217.192.140  *               255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
192.168.1.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
10.10.10.0      *               255.255.255.0   U     0      0        0 br0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         83.217.192.140  0.0.0.0         UG    0      0        0 ppp0
Трудности в другом. Теперь клиенты роутера 10.10.10.1/24 инет видят, а офисную "192.168.1." сеть - нет. Видимо потому, что роутер неправильно натит :\

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Правила маршрутизации для домашнего роутера"

Сообщение от KobaLTD on 21-Апр-08, 11:28

>[оверквотинг удален]
>      U
>0      0
>   0 lo
>default         83.217.192.140  0.0.0.0
>        UG
> 0      0
>    0 ppp0
>
>Трудности в другом. Теперь клиенты роутера 10.10.10.1/24 инет видят, а офисную "192.168.1."
>сеть - нет. Видимо потому, что роутер неправильно натит :\
В офисную сеть он и не должен натить - они должны по роуту ходить
дайте полную раскладку где что (ip/маски/шлюзы) и кто как ходить должен, с данным девайсом не работал, но общие правила построения мсогу сделать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Правила маршрутизации для домашнего роутера"

Сообщение от Дарья on 21-Апр-08, 20:21

Домашний роутер
br0(wifi адаптер)
ip 10.10.10.1
mask 255.255.255.0
ppp0(до Провайдера)
ip 89.169.36.45
gw 83.217.192.141
mask 255.255.255.255
tun0(openVPN клиент до офиса)
ip 192.168.3.6
gw 192.168.3.5
mask 255.255.255.255
Домашний ноутбук(dhcp от роутера)
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена  . . . . . : да
IP-адрес  . . . . . . . . . . . . : 10.10.10.69
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.10.10.1
DHCP-сервер . . . . . . . . . . . : 10.10.10.1
DNS-серверы . . . . . . . . . . . : 10.10.10.1
Офисный OpenVPN-машина
89.171.191.124
Офисная сеть
192.168.1.0
255.255.255.0
Сейчас такая таблица:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.5     *               255.255.255.255 UH    0      0        0 tun0
89.179.197.114  83.217.192.141  255.255.255.255 UGH   0      0        0 ppp0
83.217.192.141  *               255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
192.168.1.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
10.10.10.0      *               255.255.255.0   U     0      0        0 br0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         83.217.192.141  0.0.0.0         UG    0      0        0 ppp0
С _дом.роутера_ (+)интернет, (+)домашняя локалка, (+)офисная локалка.
С _дом.ноутбука_ (+)интернет, (+)домашняя локалка, (-)офисная локалка.
А хотелось бы, чтобы со всех машин за домашним роутером(как дом.ноутбук) было видно офисную локалку, помимо интернета и дом. локалки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Правила маршрутизации для домашнего роутера"

Сообщение от KobaLTD on 22-Апр-08, 08:59

>[оверквотинг удален]
>default         83.217.192.141  0.0.0.0
>        UG
> 0      0
>    0 ppp0
>
>С _дом.роутера_ (+)интернет, (+)домашняя локалка, (+)офисная локалка.
>С _дом.ноутбука_ (+)интернет, (+)домашняя локалка, (-)офисная локалка.
>
>А хотелось бы, чтобы со всех машин за домашним роутером(как дом.ноутбук) было
>видно офисную локалку, помимо интернета и дом. локалки.
Значит по порятку - видна локалка - если в смысле видеть в "Сетевом окружении" - то это просто так не решаеться нужно или подымать wins сервер или делать проброс брадкаст пакетов (чего вашь девайс скорее всего не умеет), возможность достучаться до машин по IP можно
теперь таблица маршрутизации
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.5     *               255.255.255.255 UH    0      0        0 tun0
89.179.197.114  83.217.192.141  255.255.255.255 UGH   0      0        0 ppp0
83.217.192.141  *               255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
192.168.1.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
10.10.10.0      *               255.255.255.0   U     0      0        0 br0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         83.217.192.141  0.0.0.0         UG    0      0        0 ppp0
с маршрутизацие все правельно
есчо бы домавил конкретно руками но не обязательно
89.171.191.124255.255.255.255 UGH   0      0        0 ppp0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Правила маршрутизации для домашнего роутера"

Сообщение от KobaLTD on 22-Апр-08, 09:03

>89.171.191.124255.255.255.255 UGH   0      0
>      0 ppp0
сори не туда нажал :)
89.171.191.124  83.217.192.141  255.255.255.255 UGH   0      0        0 ppp0
это явное указание маршруиа до впн сервера
по поводу видости я уже написал или проброс брадкастов (надо смотреть понимает ли вашь девайс такое) или организация wins сервреа в офиссе.
уточните что в такой реализации не наботатет или работает не так?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Правила маршрутизации для домашнего роутера"

Сообщение от Дарья on 22-Апр-08, 12:32

Не-а, никакого "сетевого окружения" не надо. Нужен доступ по ip до конкретных офисных серверов.
Сейчас с этим-то и плохо.
Если делать ping с самого дом. роутера до офисных серверов, то все ок. Соотвественно, апач отвечает если делать с дом.роутера lynx http://192.168.1.23(один из офис.локальных серверов).
Но с дом. ноутбука, который, соотвественно за дом.роутером нет ни ping`a, ни :80 до 192.168.1.23.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Правила маршрутизации для домашнего роутера"

Сообщение от KobaLTD on 23-Апр-08, 17:53

>[оверквотинг удален]
>офисных серверов.
>
>Сейчас с этим-то и плохо.
>
>Если делать ping с самого дом. роутера до офисных серверов, то все
>ок. Соотвественно, апач отвечает если делать с дом.роутера lynx http://192.168.1.23(один из
>офис.локальных серверов).
>
>Но с дом. ноутбука, который, соотвественно за дом.роутером нет ни ping`a, ни
>:80 до 192.168.1.23.
Это уже не маршрутизация а NAT, вот его и надо капать - скорее всего стоит каконить правило из серии
все что с 10.10.10.0/255.255.255.0 на !10.10.10.0/255.255.255.0 заварачивать на default через NAT
надо смотреть эти настройки - жалко девайса такого под рукой нет :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Правила маршрутизации для домашнего роутера"

Сообщение от Дарья on 23-Апр-08, 19:58

>[оверквотинг удален]
>>ок. Соотвественно, апач отвечает если делать с дом.роутера lynx http://192.168.1.23(один из
>>офис.локальных серверов).
>>
>>Но с дом. ноутбука, который, соотвественно за дом.роутером нет ни ping`a, ни
>>:80 до 192.168.1.23.
>
>Это уже не маршрутизация а NAT, вот его и надо капать -
>скорее всего стоит каконить правило из серии
>все что с 10.10.10.0/255.255.255.0 на !10.10.10.0/255.255.255.0 заварачивать на default через NAT
>надо смотреть эти настройки - жалко девайса такого под рукой нет :(
Девайс как девайс, linux inside ;) поэтому...
А как изобразить nat ? iptables'oм?
Спасибо, в любом случае, за помощь и отзывчивость.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Правила маршрутизации для домашнего роутера"

Сообщение от Дарья on 23-Апр-08, 20:15

Похоже, вот решение.
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o tun0 -j SNAT --to-source 192.168.3.6

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Правила маршрутизации для домашнего роутера"

Сообщение от KobaLTD on 24-Апр-08, 12:36

>Похоже, вот решение.
>iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o tun0 -j SNAT --to-source
>192.168.3.6
это не решение
для внутреней маршрутизации (локалка<----тунель----->офис) NAT не нужен
скорее всего в этом проблема, гдето включен нат (скорее всего на устройстве) который все что выходит из локалки пытаеться гнать в ppp0, но почему это срабатывает до маршрутизации незнаю. Надо полсностью смотерть настройки девайса и впн шлюза, жалко девайса для разбора нет под рукой.
З.Ы. к стати не все роутеры умеют работать с натом и маршрутизацие одновременно - может твой из этой серии.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Правила маршрутизации для домашнего роутера"

Сообщение от Дарья on 24-Апр-08, 20:20

Вот чего есть...
# cat nat_rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 89.169.36.45 -j VSERVER
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.10.10.1:80
-A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
-A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
-A PREROUTING -p udp -d 89.169.36.45 --sport 6112 -j NETMAP --to 10.10.10.0/24
-A POSTROUTING -p udp -s 10.10.10.0/24 --dport 6112 -j NETMAP --to 89.169.36.45
-A POSTROUTING -o ppp0 ! -s 89.169.36.45 -j MASQUERADE
-A POSTROUTING -o br0 -s 10.10.10.0/24 -d 10.10.10.0/24 -j MASQUERADE
COMMIT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Правила маршрутизации для домашнего роутера"

Сообщение от KobaLTD on 25-Апр-08, 09:58

>Вот чего есть...
>
># cat nat_rules
>*nat
да блин - может я конешно ничего не понимаю но мне кажеться
>[оверквотинг удален]
>
>-A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
>
>-A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
>
>-A PREROUTING -p udp -d 89.169.36.45 --sport 6112 -j NETMAP --to 10.10.10.0/24
>
>-A POSTROUTING -p udp -s 10.10.10.0/24 --dport 6112 -j NETMAP --to 89.169.36.45
>
>-A POSTROUTING -o ppp0 ! -s 89.169.36.45 -j MASQUERADE
это правило на сколько я понял если пакет не с ip 89.169.36.45 то NAT серез ppp0
>-A POSTROUTING -o br0 -s 10.10.10.0/24 -d 10.10.10.0/24 -j MASQUERADE
бред - смысл это правила я не улавливываю?
>COMMIT
насколько я понял правело строяться аналогично iptables в лине тогда долно быть что то вроде этого
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.5     *               255.255.255.255 UH    0      0        0 tun0
89.179.197.114  83.217.192.141  255.255.255.255 UGH   0      0        0 ppp0
83.217.192.141  *               255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
192.168.1.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
10.10.10.0      *               255.255.255.0   U     0      0        0 br0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         83.217.192.141  0.0.0.0         UG    0      0        0 ppp0
# cat nat_rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 89.169.36.45 -j VSERVER
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.10.10.1:80
-A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
-A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
-A PREROUTING -p udp -d 89.169.36.45 --sport 6112 -j NETMAP --to 10.10.10.0/24
-A POSTROUTING -p udp -s 10.10.10.0/24 --dport 6112 -j NETMAP --to 89.169.36.45
-A POSTROUTING -s 10.10.10.0/24 -d !192.168.0.0/16 -o ppp0 -j MASQUERADE
(все приходящее от 10.10.10.0/24 и с дистанцие НЕ ДО 192.168.0.0/255.255.0.0 NAT в инет)
COMMIT
приблезительно так должно все разруливать
есть правдо 1 странность
почемуто отсутствует цепочка FORWARD - если проводить аналогию с линукс - может быть 2 варианта 1 по аналогии с линухом не в ключена маршрутизация (в лине echo "1" > /proc/sys/net/ipv4/ip_forward), вариант 2 девай не умеет одновременно и маршрутизировать и NAT (встераються такие "уроды в природе")
для второго варианта можно изменить цепочки да и при первом сработает но не совсем "коректно" будет
# cat nat_rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 89.169.36.45 -j VSERVER
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.10.10.1:80
-A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
-A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
-A PREROUTING -p udp -d 89.169.36.45 --sport 6112 -j NETMAP --to 10.10.10.0/24
-A POSTROUTING -p udp -s 10.10.10.0/24 --dport 6112 -j NETMAP --to 89.169.36.45
-A POSTROUTING -s 10.10.10.0/24 -d 192.168.1.0/24 -o tun0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -d 192.168.3.0/24 -o tun0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -d !192.168.0.0/16 -o ppp0 -j MASQUERADE
в принцепе должно сработать
а вообще файрвол надо перекапывать основательно т.к. не видно цепочки INPUT, везде все разрешено :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Правила маршрутизации для домашнего роутера"

Сообщение от KobaLTD on 25-Апр-08, 11:54

>есть правдо 1 странность
>почемуто отсутствует цепочка FORWARD
.....
>а вообще файрвол надо перекапывать основательно т.к. не видно цепочки INPUT, везде
>все разрешено :)
сори не заметил что : # cat nat_rules

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Правила маршрутизации для домашнего роутера"
Сообщение от Дарья on 18-Апр-08, 00:43
Что-то меня совсем таблицы маршрутов замучили... "Хуже то, что я с локальной домашней сети после появления таких маршрутов, не вижу ни интернета, ни офиса "
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Правила маршрутизации для домашнего роутера"
Сообщение от KobaLTD on 18-Апр-08, 16:39
а вообще чтобы правельно набрасать вам таблизу маршрутизации надо знать 1) ip(реальный) впн сервера в офисе 2) ip сеть на который работате вашь впн (какой у сервра, какой у вас) 3) какая/кие сетака в оффисе 4) какая у вас дома лакалка 5) параметры (ip/сетка/шлюз) вашего инета дома 6) сетки вашего прова (если у вас инет аля домашней сети + както там к инету) ну а если в краце то default 192.168.3.5 128.0.0.0 UG 0 0 0 tun0 128.0.0.0 192.168.3.5 128.0.0.0 UG 0 0 0 tun0 вот это пускает вашь инет через офис и почти все остальное - либо убивайте или меняйе метрику, причем какая то странная маска раздаеться у вас 128.0.0.0 ? так что капайте настройки вашего впн сервера
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Правила маршрутизации для домашнего роутера"
	Сообщение от Дарья on 18-Апр-08, 22:23
	KobaLTD, спасибо. Поправила. Уже правильней. С самого роутера, теперь траффик ходит правильно и в "инет" и в "офис". Теперь, таблица такая. [admin@router root]$ route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.3.5 * 255.255.255.255 UH 0 0 0 tun0 89.171.191.124 83.217.192.140 255.255.255.255 UGH 0 0 0 ppp0 83.217.192.140 * 255.255.255.255 UH 0 0 0 ppp0 192.168.3.0 192.168.3.5 255.255.255.0 UG 0 0 0 tun0 192.168.1.0 192.168.3.5 255.255.255.0 UG 0 0 0 tun0 10.10.10.0 * 255.255.255.0 U 0 0 0 br0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 83.217.192.140 0.0.0.0 UG 0 0 0 ppp0 Трудности в другом. Теперь клиенты роутера 10.10.10.1/24 инет видят, а офисную "192.168.1." сеть - нет. Видимо потому, что роутер неправильно натит :\
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Правила маршрутизации для домашнего роутера"
	Сообщение от KobaLTD on 21-Апр-08, 11:28
	>[оверквотинг удален] > U >0 0 > 0 lo >default 83.217.192.140 0.0.0.0 > UG > 0 0 > 0 ppp0 > >Трудности в другом. Теперь клиенты роутера 10.10.10.1/24 инет видят, а офисную "192.168.1." >сеть - нет. Видимо потому, что роутер неправильно натит :\ В офисную сеть он и не должен натить - они должны по роуту ходить дайте полную раскладку где что (ip/маски/шлюзы) и кто как ходить должен, с данным девайсом не работал, но общие правила построения мсогу сделать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Правила маршрутизации для домашнего роутера"
	Сообщение от Дарья on 21-Апр-08, 20:21
	Домашний роутер br0(wifi адаптер) ip 10.10.10.1 mask 255.255.255.0 ppp0(до Провайдера) ip 89.169.36.45 gw 83.217.192.141 mask 255.255.255.255 tun0(openVPN клиент до офиса) ip 192.168.3.6 gw 192.168.3.5 mask 255.255.255.255 Домашний ноутбук(dhcp от роутера) Dhcp включен. . . . . . . . . . . : да Автонастройка включена . . . . . : да IP-адрес . . . . . . . . . . . . : 10.10.10.69 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 10.10.10.1 DHCP-сервер . . . . . . . . . . . : 10.10.10.1 DNS-серверы . . . . . . . . . . . : 10.10.10.1 Офисный OpenVPN-машина 89.171.191.124 Офисная сеть 192.168.1.0 255.255.255.0 Сейчас такая таблица: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.3.5 * 255.255.255.255 UH 0 0 0 tun0 89.179.197.114 83.217.192.141 255.255.255.255 UGH 0 0 0 ppp0 83.217.192.141 * 255.255.255.255 UH 0 0 0 ppp0 192.168.3.0 192.168.3.5 255.255.255.0 UG 0 0 0 tun0 192.168.1.0 192.168.3.5 255.255.255.0 UG 0 0 0 tun0 10.10.10.0 * 255.255.255.0 U 0 0 0 br0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 83.217.192.141 0.0.0.0 UG 0 0 0 ppp0 С _дом.роутера_ (+)интернет, (+)домашняя локалка, (+)офисная локалка. С _дом.ноутбука_ (+)интернет, (+)домашняя локалка, (-)офисная локалка. А хотелось бы, чтобы со всех машин за домашним роутером(как дом.ноутбук) было видно офисную локалку, помимо интернета и дом. локалки.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Правила маршрутизации для домашнего роутера"
	Сообщение от KobaLTD on 22-Апр-08, 08:59
	>[оверквотинг удален] >default 83.217.192.141 0.0.0.0 > UG > 0 0 > 0 ppp0 > >С _дом.роутера_ (+)интернет, (+)домашняя локалка, (+)офисная локалка. >С _дом.ноутбука_ (+)интернет, (+)домашняя локалка, (-)офисная локалка. > >А хотелось бы, чтобы со всех машин за домашним роутером(как дом.ноутбук) было >видно офисную локалку, помимо интернета и дом. локалки. Значит по порятку - видна локалка - если в смысле видеть в "Сетевом окружении" - то это просто так не решаеться нужно или подымать wins сервер или делать проброс брадкаст пакетов (чего вашь девайс скорее всего не умеет), возможность достучаться до машин по IP можно теперь таблица маршрутизации Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.3.5 * 255.255.255.255 UH 0 0 0 tun0 89.179.197.114 83.217.192.141 255.255.255.255 UGH 0 0 0 ppp0 83.217.192.141 * 255.255.255.255 UH 0 0 0 ppp0 192.168.3.0 192.168.3.5 255.255.255.0 UG 0 0 0 tun0 192.168.1.0 192.168.3.5 255.255.255.0 UG 0 0 0 tun0 10.10.10.0 * 255.255.255.0 U 0 0 0 br0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 83.217.192.141 0.0.0.0 UG 0 0 0 ppp0 с маршрутизацие все правельно есчо бы домавил конкретно руками но не обязательно 89.171.191.124255.255.255.255 UGH 0 0 0 ppp0
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Правила маршрутизации для домашнего роутера"
	Сообщение от KobaLTD on 22-Апр-08, 09:03
	>89.171.191.124255.255.255.255 UGH 0 0 > 0 ppp0 сори не туда нажал :) 89.171.191.124 83.217.192.141 255.255.255.255 UGH 0 0 0 ppp0 это явное указание маршруиа до впн сервера по поводу видости я уже написал или проброс брадкастов (надо смотреть понимает ли вашь девайс такое) или организация wins сервреа в офиссе. уточните что в такой реализации не наботатет или работает не так?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Правила маршрутизации для домашнего роутера"
	Сообщение от Дарья on 22-Апр-08, 12:32
	Не-а, никакого "сетевого окружения" не надо. Нужен доступ по ip до конкретных офисных серверов. Сейчас с этим-то и плохо. Если делать ping с самого дом. роутера до офисных серверов, то все ок. Соотвественно, апач отвечает если делать с дом.роутера lynx http://192.168.1.23(один из офис.локальных серверов). Но с дом. ноутбука, который, соотвественно за дом.роутером нет ни ping`a, ни :80 до 192.168.1.23.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Правила маршрутизации для домашнего роутера"
	Сообщение от KobaLTD on 23-Апр-08, 17:53
	>[оверквотинг удален] >офисных серверов. > >Сейчас с этим-то и плохо. > >Если делать ping с самого дом. роутера до офисных серверов, то все >ок. Соотвественно, апач отвечает если делать с дом.роутера lynx http://192.168.1.23(один из >офис.локальных серверов). > >Но с дом. ноутбука, который, соотвественно за дом.роутером нет ни ping`a, ни >:80 до 192.168.1.23. Это уже не маршрутизация а NAT, вот его и надо капать - скорее всего стоит каконить правило из серии все что с 10.10.10.0/255.255.255.0 на !10.10.10.0/255.255.255.0 заварачивать на default через NAT надо смотреть эти настройки - жалко девайса такого под рукой нет :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Правила маршрутизации для домашнего роутера"
	Сообщение от Дарья on 23-Апр-08, 19:58
	>[оверквотинг удален] >>ок. Соотвественно, апач отвечает если делать с дом.роутера lynx http://192.168.1.23(один из >>офис.локальных серверов). >> >>Но с дом. ноутбука, который, соотвественно за дом.роутером нет ни ping`a, ни >>:80 до 192.168.1.23. > >Это уже не маршрутизация а NAT, вот его и надо капать - >скорее всего стоит каконить правило из серии >все что с 10.10.10.0/255.255.255.0 на !10.10.10.0/255.255.255.0 заварачивать на default через NAT >надо смотреть эти настройки - жалко девайса такого под рукой нет :( Девайс как девайс, linux inside ;) поэтому... А как изобразить nat ? iptables'oм? Спасибо, в любом случае, за помощь и отзывчивость.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Правила маршрутизации для домашнего роутера"
	Сообщение от Дарья on 23-Апр-08, 20:15
	Похоже, вот решение. iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o tun0 -j SNAT --to-source 192.168.3.6
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Правила маршрутизации для домашнего роутера"
	Сообщение от KobaLTD on 24-Апр-08, 12:36
	>Похоже, вот решение. >iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o tun0 -j SNAT --to-source >192.168.3.6 это не решение для внутреней маршрутизации (локалка<----тунель----->офис) NAT не нужен скорее всего в этом проблема, гдето включен нат (скорее всего на устройстве) который все что выходит из локалки пытаеться гнать в ppp0, но почему это срабатывает до маршрутизации незнаю. Надо полсностью смотерть настройки девайса и впн шлюза, жалко девайса для разбора нет под рукой. З.Ы. к стати не все роутеры умеют работать с натом и маршрутизацие одновременно - может твой из этой серии.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Правила маршрутизации для домашнего роутера"
	Сообщение от Дарья on 24-Апр-08, 20:20
	Вот чего есть... # cat nat_rules *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :VSERVER - [0:0] -A PREROUTING -d 89.169.36.45 -j VSERVER -A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.10.10.1:80 -A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002 -A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002 -A PREROUTING -p udp -d 89.169.36.45 --sport 6112 -j NETMAP --to 10.10.10.0/24 -A POSTROUTING -p udp -s 10.10.10.0/24 --dport 6112 -j NETMAP --to 89.169.36.45 -A POSTROUTING -o ppp0 ! -s 89.169.36.45 -j MASQUERADE -A POSTROUTING -o br0 -s 10.10.10.0/24 -d 10.10.10.0/24 -j MASQUERADE COMMIT
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Правила маршрутизации для домашнего роутера"
	Сообщение от KobaLTD on 25-Апр-08, 09:58
	>Вот чего есть... > ># cat nat_rules >nat да блин - может я конешно ничего не понимаю но мне кажеться >[оверквотинг удален] > >-A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002 > >-A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002 > >-A PREROUTING -p udp -d 89.169.36.45 --sport 6112 -j NETMAP --to 10.10.10.0/24 > >-A POSTROUTING -p udp -s 10.10.10.0/24 --dport 6112 -j NETMAP --to 89.169.36.45 > >-A POSTROUTING -o ppp0 ! -s 89.169.36.45 -j MASQUERADE это правило на сколько я понял если пакет не с ip 89.169.36.45 то NAT серез ppp0 >-A POSTROUTING -o br0 -s 10.10.10.0/24 -d 10.10.10.0/24 -j MASQUERADE бред - смысл это правила я не улавливываю? >COMMIT насколько я понял правело строяться аналогично iptables в лине тогда долно быть что то вроде этого Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.3.5 255.255.255.255 UH 0 0 0 tun0 89.179.197.114 83.217.192.141 255.255.255.255 UGH 0 0 0 ppp0 83.217.192.141 * 255.255.255.255 UH 0 0 0 ppp0 192.168.3.0 192.168.3.5 255.255.255.0 UG 0 0 0 tun0 192.168.1.0 192.168.3.5 255.255.255.0 UG 0 0 0 tun0 10.10.10.0 * 255.255.255.0 U 0 0 0 br0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 83.217.192.141 0.0.0.0 UG 0 0 0 ppp0 # cat nat_rules nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :VSERVER - [0:0] -A PREROUTING -d 89.169.36.45 -j VSERVER -A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.10.10.1:80 -A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002 -A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002 -A PREROUTING -p udp -d 89.169.36.45 --sport 6112 -j NETMAP --to 10.10.10.0/24 -A POSTROUTING -p udp -s 10.10.10.0/24 --dport 6112 -j NETMAP --to 89.169.36.45 -A POSTROUTING -s 10.10.10.0/24 -d !192.168.0.0/16 -o ppp0 -j MASQUERADE (все приходящее от 10.10.10.0/24 и с дистанцие НЕ ДО 192.168.0.0/255.255.0.0 NAT в инет) COMMIT приблезительно так должно все разруливать есть правдо 1 странность почемуто отсутствует цепочка FORWARD - если проводить аналогию с линукс - может быть 2 варианта 1 по аналогии с линухом не в ключена маршрутизация (в лине echo "1" > /proc/sys/net/ipv4/ip_forward), вариант 2 девай не умеет одновременно и маршрутизировать и NAT (встераються такие "уроды в природе") для второго варианта можно изменить цепочки да и при первом сработает но не совсем "коректно" будет # cat nat_rules nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :VSERVER - [0:0] -A PREROUTING -d 89.169.36.45 -j VSERVER -A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.10.10.1:80 -A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002 -A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002 -A PREROUTING -p udp -d 89.169.36.45 --sport 6112 -j NETMAP --to 10.10.10.0/24 -A POSTROUTING -p udp -s 10.10.10.0/24 --dport 6112 -j NETMAP --to 89.169.36.45 -A POSTROUTING -s 10.10.10.0/24 -d 192.168.1.0/24 -o tun0 -j MASQUERADE -A POSTROUTING -s 10.10.10.0/24 -d 192.168.3.0/24 -o tun0 -j MASQUERADE -A POSTROUTING -s 10.10.10.0/24 -d !192.168.0.0/16 -o ppp0 -j MASQUERADE в принцепе должно сработать а вообще файрвол надо перекапывать основательно т.к. не видно цепочки INPUT, везде все разрешено :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Правила маршрутизации для домашнего роутера"
	Сообщение от KobaLTD on 25-Апр-08, 11:54
	>есть правдо 1 странность >почемуто отсутствует цепочка FORWARD ..... >а вообще файрвол надо перекапывать основательно т.к. не видно цепочки INPUT, везде >все разрешено :) сори не заметил что : # cat nat_rules
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]