Автор Тема: Помощь в маршрутизации между зелёным и серыми интерфе  (Прочитано 17155 раз)

undroid

  • Newbie
  • *
  • Сообщений: 12
    • Просмотр профиля
Решили объединить домовые сети. ;D Есть следующие три точки, которые раздают интернет. Это:
- Cосед №1 – ADSL  модем Asus W600 работает в режиме маршрутизатора PPPoE, на модеме запущен DHCP 192.168.1.0/24   интернет 2 мб/512 кб, 15 клиентов.
- Сосед №2 – ADSL  модем D-Link работает в режиме маршрутизатора PPPoE, на модеме запущен DHCP 192.168.2.0/24   интернет 1 мб/512 кб, 8 клиентов.
- №3 Собственно я. Модем D-Link работает в режиме моста. Комп Pentium III 800 с пятью сетевыми картами и установленным IPCop  1.4.21. Подключение к интернет также через PPPoE. Запущен DHCP 192.168.0.0/24   интернет 1 мб/512 кб, 8 клиентов. Из ADDON-ов установлены: QoS NG, Grey EXTRA INTERFACES , Samba Server (работает в качестве WINS и файлового сервера для зелёного и дополнительных интерфейсов), SNAT Gui, и т.д.
В IPCop созданы следующие сетевые интерфейсы:
- Красный – PPPoE.
- Зелёный - 192.168.0.200
- Серый1 – 192.168.1.200
- Серый2 – 192.168.2.200

Всё устраивало до момента объединения сетей.  :-[
Задача состояла в том, чтоб после объединения в каждую подсеть интернет и дальше продолжали раздавать и только для своих клиентов соседи №1, №2 и я. Но сделать так, чтоб все клиенты из любой сети могли видеть любые компьютеры клиентов из своей и остальных подсетей (для обмена файлами и сетевых игр). ;)
Проблема в том, что даже если на закладке веб-интерфеса EXTRA INTERFACES
Установить галочки: Disable access from Green: no, то из клиента зелёной сети пинг на клиента серой сети проходит, а из серой на зелёную нет.
Пинг с клиента 192.168.0.5 зелёной сети -> на сетевые интерфейсы IPCop-а   
192.168.0.5  ->  192.168.0.200 – есть.
192.168.0.5  ->  192.168.1.200 – есть
192.168.0.5  ->  192.168.2.200 – есть
192.168.0.5  ->  192.168.1.1 – есть (на клиента серой сети №1)
192.168.0.5  ->  192.168.2.1 – есть (на клиента серой сети №2)


Из серой сети пинг:
192.168.1.5 -> 192.168.1.200 – есть
192.168.1.5 -> 192.168.0.200 – есть
192.168.1.5 -> 192.168.0.5 – НЕТ !!! (на клиента зелёной сети)

Как я понял, что не настроена маршрутизация с серой на зелёную сеть.
Читал по форумах, ставил SNAT GUI –  не помогло. ???

Подскажите, кто знает, как это сделать?

Igoriy

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 438
  • Сисадмин-одиночка
    • Просмотр профиля
Советую нарисовать "на бумаге" схему сети и сюда скинуть.

undroid

  • Newbie
  • *
  • Сообщений: 12
    • Просмотр профиля
А как вставить изображение на этом форуме? В хелпе либо об этом не написано, либо не нашёл.

raven6

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 392
    • Просмотр профиля
Цитировать
А как вставить изображение на этом форуме? В хелпе либо об этом не написано, либо не нашёл.
Залить на любой сервис хранения изображений (Imageshack.us, Piccy.info и т.п.), вставить ссылку на изображение в тегах:
[img]здесь ссылка на картинку[/img]

Requin

  • Newbie
  • *
  • Сообщений: 49
    • Просмотр профиля
А как вставить изображение на этом форуме? В хелпе либо об этом не написано, либо не нашёл.

Или при ответе выбирате "Дополнительные опции -> Вложение".


k852

  • Newbie
  • *
  • Сообщений: 44
    • ICQ клиент - 454940234
    • Просмотр профиля
А может VPN лучше понять?

undroid

  • Newbie
  • *
  • Сообщений: 12
    • Просмотр профиля
Вот такая у нас сеть получается:
, либо (рисунки одинаковы).

Ещё раз напомню пинги с компа моей (зелёной) сети проходят как на выходы серых интерфейсов (192.168.1.200, 192.168.2.200) так и на компы серых интерфейсов примером (192.168.1.5, 192.168.2.5), но обратно с компов находящихся в сетях Gray1 либо Gray2 с адресами примером 192.168.1.5 пингуют только в своей (серой) подсети и на  зелёный интерфейс т. е. 192.168.0.200, а на комп в зелёной сети уже нет.
Хочу чтоб все компы во всех трёх подсетях друг друга видели, но интернет получали только от своих раздающих в каждой подсети.

undroid

  • Newbie
  • *
  • Сообщений: 12
    • Просмотр профиля
К стати, на счёт вставки рисунков. Рисунок загрузил на imageshack.us и в посте дал на него как прямую http://img23.imageshack.us/img23/3872/homelan.jpg так и простую ссылку http://yfrog.com/0nhomelanj, но при просмотре поста  рисунок увидел только по прямой ссылке.

raven6

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 392
    • Просмотр профиля
Цитировать
но при просмотре поста  рисунок увидел только по прямой ссылке.
Так по второй ссылке открывается не рисунок, а HTML-страница, да еще и после перенаправления на http://img23.yfrog.com/i/homelan.jpg/

Igoriy

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 438
  • Сисадмин-одиночка
    • Просмотр профиля
Конечно хотелось бы правила посмотреть и, главное, таблицу маршрутизации (Status|Network Status)... Ситуация похожа с тем как если бы серые интерфейсы бали "оранжевыми".
"Routing (no NAT)" включена или нет на серых инт-сах?

erny

  • Jr. Member
  • **
  • Сообщений: 63
    • Просмотр профиля
а если попробовать вот так
1. Interface   IP Address   Netmask
    green      192.168.1.1   255.255.255.192
    gray1      192.168.1.65   255.255.255.192
    gray2      192.168.1.129   255.255.255.128
только модемы нада перестроить, соответственно.....

2. я на каком то немецком форуме прочитал, что человек для серого интерфейся поставил маску 255.255.254.0 перегрузил ipcop и все заработало......но что то мне в это не верится  п.1 больше похож на правду.

undroid

  • Newbie
  • *
  • Сообщений: 12
    • Просмотр профиля
Перепробовал все варианты как писал erny выше, ничего не выходит. IPCop не обманеш ни загоном подсетей в один диапазон, ни прописыванием маски 254.0. Если не прописаны правила маршрутизации между подсетями - работать не будет. За это можно и уважать IPCop.
Мне кажется, что  при создании дополнительных Gray интерфейсов на них изначально пропысываются правила доступа как на оранжевый. Т.е. из зелёного я спокойно имею доступ к компьютерам Gray если не паставлена галочка Disable access from Green:, но обратно никак. Галочка "Routing (no NAT)" на маршрутизацию между зелёным и серыми никак не влияет.
Чую одним местом, что где-то надо прописать правила доступа из серых на зелёный ручками, и всё заработает, но не знаю где. В Linux я ламер.
Пробовал ещё играться с оранжевым и зелёным интерфейсами. На закладке Firewall -> DMZ Pinholes прописывал правила доступа с оранжевого на зелёный:
Source Net = ORANGE; Source IP or Net = 192.168.2.0/24;
Destination Net = GREEN; Destination IP or Net = 192.168.0.0/24; Destination port = 1-65535.
Так вот, самое интересное то, что ни доступа, ни даже пингования компов в зелёной сети из оранжевой не получилось, хотя обратно с зелёной на оранжевый всё открывается, имею полный доступ, пингуется. Мучаюсь, может чё сделал неправильно.

Igoriy

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 438
  • Сисадмин-одиночка
    • Просмотр профиля
 :) :) :)
Маршрутизация и фильтрация пакетов разные вещи!  :)

Тебя реально должна начать спасать команда route add ....... имхо, конечно
Куда ее прописать - ищем в форуме. Для начала просто в консоли набираем и смотрим что получится - я думаю, что набирать в вики найдешь.

undroid

  • Newbie
  • *
  • Сообщений: 12
    • Просмотр профиля
В хелпе на IPCop http://www.ipcop.org/1.4.0/en/admin/html/section-firewall.html#section-external-access написоно об установках файрвола по умолчанию, и далее в пункте 2.6.2.  User Customization написано о том что в файле /etc/rc.d/rc.firewall.local ручками можно прописывать свои правила.

"It is called by /etc/rc.d/rc.firewall, and for manual use, the usage is:

$ /etc/rc.d/rc.firewall.local {start|stop|reload}"
А как эти правила могут выглядеть для моего случая неизвесно.
В Google не удалось пока найти, как в файле rc.firewall.local реально прописывать правила, ни одного примера. ???

erny

  • Jr. Member
  • **
  • Сообщений: 63
    • Просмотр профиля
странно что не помогло установка в одну подсеть..........
........Ну если не помогло маршрутами, то ставь BOT если не установлен....и вперед правилами, из одного интерфейса доступ в другой, работать будет точно, даже пинги ходить :)