DEBIAN router

Linux-kezdő

Sziasztok!

Van nekem egy régi gépem, melyben van 1 integrált és 3 pci-os hálókártya. A gépen i386-os Debian 6 GNU/Linux fut. Mind a négy hálókártya üzemel, melyeket router funkciókra használnék fel. A gépen beállítottam a ip_forward-ot (echo "1" > .../ip_forward), a route -n paranccsal látom mind a 4 tartományt és a default route-ot is. Viszont a tartományon belüli hálózatban lévő gépek nem tudnak kimenni a default route-on (internet felé), minden tartomány belelát a másik tartományba.

Összefoglalva:

192.168.1.0/24 ----internet felöli tartomány

Ez a három tartomány pedig az aminek látniuk kellene kifelé is, azaz 192.168.1.0/24 tartományt:

192.168.2.0/24
192.168.3.0/24
192.168.4.0/24

Odáig okés, hogy egymás tartományát látják, de amint az internet felé kellene menni, akkor nem okés (192.168.1.1 a router).

Valakinek ötlete?

köszönöm

  • 6122 megtekintés

( uhly | 2012. 02. 16., cs – 11:05 )

Szia!

Nat szabályokat kell még felhúznod.

( Croc | 2012. 02. 16., cs – 11:05 )

NAT van? Ha nincs, akkor az a probléma oka. (megelöztek :))

( PunishR v | 2012. 02. 16., cs – 11:35 )

A debianon lődd be, hogy a def gw a 192.168.1.1, a netet osztó routeren pedig állítsál be static routeokat, hogy a debian szerver ipjén keresztül éri el a 192.168.2/3/4 tartományokat.

debianon egy ip -4 ro show kimenet a ciscon pedig egy show ip route kimenet után célzottabban is tudunk segíteni.
Gondolom a cisco végzi a NATolást.

Nem kell rá NAT.
Legyen ahogy az elötted szóló írta, mivel ha kétszer lennének natolva a csomagok, debian és cisco, az gondot okozhat néhány protokollnál/szolgáltatásnál. Ráadásul felesleges.
Szóval csak annyit kell beállítani, hogy a cisco tudja: a debianon keresztül van más tartomány is..., amit szintén kezeljen. (és NAToljon kifelé).
Azaz ahogy már írták, ciscon beállítani, hogy a 192.168.2.x, stb., a debianon túl van.
Ha a debian mellé, a ciscora rárak még egy gépet (192.168.1.x), amin ugye csak annyi van beállítva, hogy 192.168.1.0/24, és az cisco a default gw..., és ennek ellenére eléri a 192.168.2.0-eket pl...., na akkor lesz jó.
Ja igen..., ez NAT-al eleve lehetséges sem lenne, pedig hát elég alap.

( gyuri2012 | 2012. 02. 19., v – 21:28 )

"Ez a három tartomány pedig az aminek látniuk kellene kifelé is, azaz 192.168.1.0/24 tartományt:"
Valószínúleg lát is..., valamelyik 192.168.2.x-ről pingeld meg a debian 192.168.1.x-es címét.
Csak a cisco nem látja a 192.168.2.0/24-et, fogalma sincs merre keresse... (és talán ilyen esetben nem is fogadja, eldobálja, ami ismeretlen helyről jön), ezt kell beállítani.

( balazsasd | 2012. 02. 20., h – 14:53 )

ciscon állítsd be:

192.168.2.0/24 gw: 192.168.1.linuxos_gep
192.168.3.0/24 gw: 192.168.1.linuxos_gep
192.168.4.0/24 gw: 192.168.1.linuxos_gep

A linuxos gép tudja hogy melyik interface-én melyik hálót éri el, és legyen EGY default gw-je 192.168.1.1 felé.

NAT nem kell. Felesleges kétszer natolni a csomagokat. Neked az átjárókat kell jól beírni.

IPTraf segítségedre lehet, pl pingnél ki tudod vele deríteni hogy adott géphez megérkezik-e a csomag, vagy elakad.

iptables szabályal a forwardot is tudod logolni :

iptables -A FORWARD -j LOG
tail -f /var/log/syslog

majd a felesleges szabályt törölni:

iptables -D FORWARD -j LOG

a forward default policy-je legyen ACCEPT

iptables --policy FORWARD ACCEPT

Ennek elégnek kell lenni. ha kevés, keress nyugodtan.

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
0.0.0.0 192.168.1.1 0.0.0.0 UG 100 0 0 eth2

Jelenleg két interfészt használok, de sajna igy sem látják egymást. pl.: a 192.168.2.100 IP-vel rendelkező gép nem látja a 192.168.1.1 router lábát. (192.168.2.100-as ip-t dhcp szerver osztja ki)

dhcp szerverem konfigja:

option domain-name "teszt.hu";
option domain-name-servers 192.168.2.10;

subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.100 192.168.2.200;
option routers 192.168.2.10;
}

Amúgy ha kézzel állítom be akkor is ez a hiba

"Amúgy ha kézzel állítom be akkor is ez a hiba"
A DHCP-nek nincs köze ehhez, ha a megfelelő adatokat állítottad be, azaz a 192.168.2.10 a Debianod eth1 címe.
 
 
"Jelenleg két interfészt használok, de sajna igy sem látják egymást. pl.: a 192.168.2.100 IP-vel rendelkező gép nem látja a 192.168.1.1 router lábát."
A Cisco routeren beállítottad azt a route-ot, amit már balazsasd, gyuri2012 és PunishR említettek többször, miszerint a 192.168.2.0/23 és a 192.168.4.0/24 a 192.168.1.254 felé menjen? Tehát a Ciscon. Mert a pinged lehet hogy elér a routered 192.168.1.1 interfészéhez, azonban onnan a válasz a default route felé fog távozni az internet irányába, és nem a LAN felé, amerre te szeretnéd.

Ha ez megvan, akkor a Ciscon beállítod, hogy ne csak az eddigi 192.168.1.0/24-ről az internet felé menő forgalmat natolja ki, hanem a 192.168.2.0/23 + 192.168.4.0/24-et is. Továbbá ha van a routeren tűzfal, ott is, valamint ahogy a fenti hozzászólásban is mondták, a Debianon is átengeded a tűzfalon. Írtad, hogy a Debianon pedig már engedélyezted az ip_forward-ot.

Ennyi, nem kell hozzá más. Ha nem megy, akkor első nekifutásra a routeredről másod be ide a routing táblát.