dwa naty - da sie ?? :)
Moderatorzy: Moderatorzy, Administratorzy
-
- Użytkownik
- Posty: 2
- Rejestracja: 2004-05-31, 16:17
dwa naty - da sie ?? :)
-------- skrocony schemat --------------------
lacze internetowe -eth0-(adres zewnetrzny)- serwer1 (adres wewnetrzny
10.x.x.1)-eth1- switch1 (siec lokalna1 10.x.x.x/24)
do switcha m.in wpiety inny serwer z dwoma eth
switch eth0(10.x.x.2) -serwer2- (192.168.x.1)eth1- switch2 - siec
lokalna2(192.168.x.x/24)
------------------------------------------------
Serwer1 przeprowadza NAT dla sieci lokalnej 10.x.x.x/24 (w naprostrzej
postaci) - dziala OK
Siec lokalna1 i Serwer2 jest klientem i dziala OK.
Czy na serwerze2 mozna rownierz zrobic nat dla sieci lokalnej2
(192.168.x.x/24) ??
Nie ukrywam ze mi nie dziala - i nie wiem czo to normalne czy tez cos
sknocilem ??
Nie bardzo wiem czy trzeba zrobic jakis routing czy moze jakis "specjalny"
NAT ??
Szukalem, googlalem i nie wiem (ci co wiedza - powiedza ze slabo - ale moze
wystarczy napisac czego szukac ?).
Weekend zlecial przy tym i nie dziala - a mi zachcialo sie ulepszen
Z gory dzieki za wszelkie info.
pozdr
Czupak
lacze internetowe -eth0-(adres zewnetrzny)- serwer1 (adres wewnetrzny
10.x.x.1)-eth1- switch1 (siec lokalna1 10.x.x.x/24)
do switcha m.in wpiety inny serwer z dwoma eth
switch eth0(10.x.x.2) -serwer2- (192.168.x.1)eth1- switch2 - siec
lokalna2(192.168.x.x/24)
------------------------------------------------
Serwer1 przeprowadza NAT dla sieci lokalnej 10.x.x.x/24 (w naprostrzej
postaci) - dziala OK
Siec lokalna1 i Serwer2 jest klientem i dziala OK.
Czy na serwerze2 mozna rownierz zrobic nat dla sieci lokalnej2
(192.168.x.x/24) ??
Nie ukrywam ze mi nie dziala - i nie wiem czo to normalne czy tez cos
sknocilem ??
Nie bardzo wiem czy trzeba zrobic jakis routing czy moze jakis "specjalny"
NAT ??
Szukalem, googlalem i nie wiem (ci co wiedza - powiedza ze slabo - ale moze
wystarczy napisac czego szukac ?).
Weekend zlecial przy tym i nie dziala - a mi zachcialo sie ulepszen
Z gory dzieki za wszelkie info.
pozdr
Czupak
Re: dwa naty - da sie ?? :)
sorry że tak bez dalszych objaśnień ale da się nie robiłem ale na pewno się da
"Spróbuj zapalić maleńką świeczkę zamiast przeklinać ciemność."
Konfucjusz
Konfucjusz
- Skyscraper
- Administrator
- Posty: 753
- Rejestracja: 2004-05-22, 10:46
- Lokalizacja: Wrocław
- Kontakt:
Re: dwa naty - da sie ?? :)
Wg mnie to jesli chcesz aby SERWER1 przeprowadzal NAT dla sieci LAN 10.x.x.x i jednoczesnie dla 192.168.x.x to SERWER2 powinien pelnic role MOSTU (bridge) miedzy dwoma tymi sieciami. - chyba jakos tak
Jesli jednak nei chcesz robic BRIDGEa to nie powinienes miec problemu ze zrobieniem NAT2 na SERWERZE2 dla sieci 192.168.x.x. Na klientach tej sieci ustawiasz adres bramy taki jaki adres ma interfejs sieciowy SERWERA2 laczacy sie z ta siecia, a na SERWERZE2 ustawiasz adres bramy taki jaki adres ma interfejs sieciowy SERWERA1 laczacy sie z siecia 10.x.x.x
Klienci sieci 10.x.x.x adres bramy ustawiaja taki jaki adres ma interfejs sieciowy SERWERA1 laczacy sie z siecia 10.x.x.x
na SERWERZE2 musisz wykonac
- echo 1 > /proc/sys/net/ipv4/ip_forward
- modprobe iptable_nat
- iptables -t nat -A POSTROUTING -o eth0 -j SNAT -s 192.168.x.x/24 --to 10.x.x.2
na SERWERZE1 musisz wykonac
- echo 1 > /proc/sys/net/ipv4/ip_forward
- modprobe iptable_nat
- iptables -t nat -A POSTROUTING -o eth0 -j SNAT -s 10.x.x.x/24 --to PUBLIC_IP
z tego co widze to stosujesz tzw pajeczarstwo, czyli NAT za NATem i nei powinienes miec problemu
Mam nadzieje ze co pomoglem,
Pozdrawiam
Jesli jednak nei chcesz robic BRIDGEa to nie powinienes miec problemu ze zrobieniem NAT2 na SERWERZE2 dla sieci 192.168.x.x. Na klientach tej sieci ustawiasz adres bramy taki jaki adres ma interfejs sieciowy SERWERA2 laczacy sie z ta siecia, a na SERWERZE2 ustawiasz adres bramy taki jaki adres ma interfejs sieciowy SERWERA1 laczacy sie z siecia 10.x.x.x
Klienci sieci 10.x.x.x adres bramy ustawiaja taki jaki adres ma interfejs sieciowy SERWERA1 laczacy sie z siecia 10.x.x.x
na SERWERZE2 musisz wykonac
- echo 1 > /proc/sys/net/ipv4/ip_forward
- modprobe iptable_nat
- iptables -t nat -A POSTROUTING -o eth0 -j SNAT -s 192.168.x.x/24 --to 10.x.x.2
na SERWERZE1 musisz wykonac
- echo 1 > /proc/sys/net/ipv4/ip_forward
- modprobe iptable_nat
- iptables -t nat -A POSTROUTING -o eth0 -j SNAT -s 10.x.x.x/24 --to PUBLIC_IP
z tego co widze to stosujesz tzw pajeczarstwo, czyli NAT za NATem i nei powinienes miec problemu
Mam nadzieje ze co pomoglem,
Pozdrawiam
Re: dwa naty - da sie ?? :)
NAT za NATem dziala bez problemu. Moze zapomniales wlaczyc forwarding?
U mnie jest router z dwoma laczami, robi NATka, pozniej jest serwer zarzadzajacy pasmem, do poczt, www i innych takich i ma dodatkowo zrobione zewn. IP by NAT 1:1 i oczywiscie robi drugi raz NAT dla sieci lokalnej z 10.x.x.x do 192.168.x.x wszystko smiga az milo.
Za to ciekawi mnie czy moge przy pomocy NAT 1:1 przekazac zewn IP az do maszyny wewnatrz lanu, jeszce jakos nie probowalem ale wydaje mi sie ze i to powinno dzialac.
U mnie jest router z dwoma laczami, robi NATka, pozniej jest serwer zarzadzajacy pasmem, do poczt, www i innych takich i ma dodatkowo zrobione zewn. IP by NAT 1:1 i oczywiscie robi drugi raz NAT dla sieci lokalnej z 10.x.x.x do 192.168.x.x wszystko smiga az milo.
Za to ciekawi mnie czy moge przy pomocy NAT 1:1 przekazac zewn IP az do maszyny wewnatrz lanu, jeszce jakos nie probowalem ale wydaje mi sie ze i to powinno dzialac.
- Skyscraper
- Administrator
- Posty: 753
- Rejestracja: 2004-05-22, 10:46
- Lokalizacja: Wrocław
- Kontakt:
Re: dwa naty - da sie ?? :)
mowisz o przekierowaniu portow ? aby ktos z zewnatrz mial dostep do uslugi prowadzonej na komputerze w LAN ?Puchacz pisze:Za to ciekawi mnie czy moge przy pomocy NAT 1:1 przekazac zewn IP az do maszyny wewnatrz lanu, jeszce jakos nie probowalem ale wydaje mi sie ze i to powinno dzialac.
Re: dwa naty - da sie ?? :)
No czy portow czy IP to bez roznicy, zalatwiam to DNAT + SNAT, a raczej na odwrot, no zalezy od ktorej strony sie patrzySkyscraper pisze:mowisz o przekierowaniu portow ? aby ktos z zewnatrz mial dostep do uslugi prowadzonej na komputerze w LAN ?
Raczej powinno dzialac przez dwie maszyny, jak i sam SNAT dziala. Wlasnie sobie przypomnialem ze teraz mam lacza po uslugach podzielone, bo z load balancigniem niestety nie dzialalo najlepiej i nie bardzo sobie potestuje...
-
- Użytkownik
- Posty: 2
- Rejestracja: 2004-05-31, 16:17
Re: dwa naty - da sie ?? :)
nie stosuje pajeczarstwa - jesli mozna to tak nazwac to stosuje raczkujace isp
tak na marginesie to wlasnie ja tak sobie umyslilem zrobienie obslugi dwoch lub wiecej lacz. Tak jak to robi wlasnie Puchacz.
Wczoraj doszedlem ze dziala - a pogubilem sie przez przelaczanie domyslnych bram (mam kilka sciag).
Na marginiesie - Puchacz - Czy nie moglbys zamiescic troche wiecej szczegolow ze swojego rozwiazania (chodzi mi o routing i ustawiania IPtables)- hehe - czyli o wszystko.
Jesli nie tu to na priv. Chetnie tez sie wymienie watpliwa wiedza (widze ze te same pomysly i systemy)
Testuje kilka przykladow i po dodaniu 2 def.gateway (nie wiem czy to dobrze ?) rozkracza mi sie komunikacja.
PS. Aha jeszcze : Co trzeba wpisac iptables zeby pingi lataly za drugim serwerem na internet ?
tak na marginesie to wlasnie ja tak sobie umyslilem zrobienie obslugi dwoch lub wiecej lacz. Tak jak to robi wlasnie Puchacz.
Wczoraj doszedlem ze dziala - a pogubilem sie przez przelaczanie domyslnych bram (mam kilka sciag).
Na marginiesie - Puchacz - Czy nie moglbys zamiescic troche wiecej szczegolow ze swojego rozwiazania (chodzi mi o routing i ustawiania IPtables)- hehe - czyli o wszystko.
Jesli nie tu to na priv. Chetnie tez sie wymienie watpliwa wiedza (widze ze te same pomysly i systemy)
Testuje kilka przykladow i po dodaniu 2 def.gateway (nie wiem czy to dobrze ?) rozkracza mi sie komunikacja.
PS. Aha jeszcze : Co trzeba wpisac iptables zeby pingi lataly za drugim serwerem na internet ?
Re: dwa naty - da sie ?? :)
Tradycyjne raczkujace ISP by WiFi with double DSLCzupakabra pisze:nie stosuje pajeczarstwa - jesli mozna to tak nazwac to stosuje raczkujace isp
Poczatkowo testowalisym Load Balancing, ktory wydawal sie dla nas najlepszym rozwiazaniem, 2,5 Mbps lacza w sumie, a to i tak zapas przy tym co wykorzystuja, do tego latki na kernela i gdy jedno lacze pada wszystko leci wciaz na jednym. Niestety byl problem nie do przeskoczenia zrywanie polaczen po pewnym czasie, po prostu kernel kierowal polaczenie na druga brame, a NAT sie nie zmianial, do tego przy roznych adresacjach druga strona konczy sesje, niestety LB bez wspolpracy z ISP po drugiej stronie nie bedzie nam dzialac, tyle dowiedzialem sie na grupce networking.Czupakabra pisze:Na marginiesie - Puchacz - Czy nie moglbys zamiescic troche wiecej szczegolow ze swojego rozwiazania (chodzi mi o routing i ustawiania IPtables)- hehe - czyli o wszystko.
Jesli nie tu to na priv. Chetnie tez sie wymienie watpliwa wiedza (widze ze te same pomysly i systemy)
Iptables, wypuszcza wszystko co tylko chcemy i NATuje na dane lacze z danym ip, wpuszcza jedynie na kilku okreslonych portach, dns, www, smtp, pop3, ftp na jednym z lacz.
Dodatkowo markowanie pakietow z okreslonymi portami docelowymi, gadu gady, www, poczty w obie strony, gierki, streamy, wszystko co ma chodzic szybko i sprawnie.
Nastepnie klasycznie ip roule add fwmark 1 table lacze_a
No i w tej tabelce podstawowe sprawy dla tego pierwszego lacza.
Reszta, wszystko co nie markowane leci przez default gateway, ktorym jest drugie lacze. P2P, smieci nie okreslone i ftp, bo ftp i tak sobie poradzi z p2p
Wszystko smiga az milo i p2powcy nie narzekaja. Jak cos wiecej, to prosze o konkretne pytania.
Co do pingow to nie mam pojecia o co chozzi... Normalnie lataja, a czemu mialyby nie latac, moze na firewallu wyciales...Czupakabra pisze:Testuje kilka przykladow i po dodaniu 2 def.gateway (nie wiem czy to dobrze ?) rozkracza mi sie komunikacja.
PS. Aha jeszcze : Co trzeba wpisac iptables zeby pingi lataly za drugim serwerem na internet ?
[shadow=black][color=white][b]Slackware Linux. The penguin never sleeps.[/b][/color][/shadow]