Bocsi a címért, próbálom körbeírni a problémát. Tudásom csekély a témában, eddig csak SOHO (inkább HOHO :) ) routerekkel és pici hálókkal szórakoztam (ott sem nagy ügyek, zömmel FIX ip-s belső hálók, minimál DHCP, egy-két port forwarding)
Tehát adott egy kis helyi hálózat, egy D-link DI604-s kövület + egy 24 portos switch. A switchbe vannak kötve az irodai gépek (192.168.0.x fix IP-kel, a router 192.168.0.200), valamint van két iroda másik épületben, legyen A és B ,mindkettőbe megy egy kábel a switchből. A távolabbi (B) irodában most 1 darab gép van, plussz van egy router ott is, de csak swichtként használva.(korábban két gép volt) Most "bővülne" a hálózat, és ez a távolság miatt úgy lenne megvalósítva, hogy ettől a géptől menne tovább egy kábel a mégtávolabbi (C) irodáig, ahova bekerülne egy új router + pár gép. A cél az lenne, hogy ez az új iroda(C) csak "netet kapjon", tehát ne lássa a már meglévő hálózatot. Van egy felesleges DI604 és egy DIR100-s router is. A legfontosabb kérdés, hogy ezekkel az eszközökkel egyáltalán megoldható-e ilyen probléma. Az eszközök felállásán tudok variálni, a kábelezésen sajnos nem. Új eszköz beszerzése is működhet. Az új irodába (C)bekerülő router nem hozzánk fog tartozni, tehát csak az működik, hogy a már odavivő jelet korlátozzuk. Bonyolítja a helyzetet, hogy a távolabbi (B) irodában lévő gépnek látnia kell a 192.168.0.x-s hálót, de oda csak egy kábel megy.
Segítséget szeretnék kérni, hogy merre induljak, mit dobjak ki stb. Valami olyami kellene, hogy a régi irodának maradna a 192.168.0.x-s háló, az új meg lenne 192.168.1.x vagy 10.0.0.x és mindkettő a 192.168.0.200-tól kapná a netet.
(Volt pár szárnypróbálgatásom, ha nagyon kell, beírhatom őket, hogy legyen min röhögni, eléggé router router hátán megoldások voltak, az egyik csőd (próbáltam alhálózatokkal szórakozni, lehet, hogy jó irány lenne, csak nem működött, valószínűleg az én hibámból), a másik félsiker, mert meg volt a külön háló, de láttam a 192.168.0.x-t is. (aminek utólag belegondolva az is lehetett az oka, hogy a B irodába lemenő kábel a switchbe van dugva, így aztán hiába adogattam meg mindenféle tűzfalszabályt a routerekben)
Előre is köszi!
- 2939 megtekintés
Hozzászólások
A biztonság a kérdés. Ha elegendő IP szinten szétszedni akkor A,B legyen 192.168.x.x a C meg legyen 10.x.x.x, így mivel nem nat-ol semmi egyik másik között akkor nem látják egymást. Másik, hogy C felé adnék egy nat-olt net-et, míg A és C felé meg proxy menne.
Ha komolyabb biztonság kell, akkor vlan.
- A hozzászóláshoz be kell jelentkezni
Elég lenne IP szinten szétszedni. Én is ebben gondolkodom. A gondom az, hogy egy kanóc van.
De vázolok egy elképzelést, holnap ki is próbálom. Hasonlót már próbáltam, de látta a két háló egymást. Szóval jön a router hátán router.
Tehát B irodába menő kábel közvetlenül a fő irodában lévő routerbe lesz dugva. B irodába kerül egy switch, hogy az ottani gép rajta lássa amit kell. A switcbe megy egy router a WAN porton keresztül. Ebben a routerben statikus netet állítok be, 192.168.0.200-s átjáróval, LAN IP lesz pld. 10.0.0.1, maszk 255.255.255.0. DHCP-t bekapcsolom. Ebből a routerből megy tovább a kábel a C irodába, ahol ezek után csak rádugnak egy routert meg a gépeket. Megmondom nekik, hogy 10.0.0.1-ről kapják a netet, vagy fix IP-znek, vagy csak plug&play. Ez így elvileg működne, csak éppen elég csúnya. Hasonló felállást más kipróbáltam, az volt a gond, hogy a 10.0.0.x-s hálóból tudtam pingelni a 192.168.0.x-s gépeket. De ekkor a B irodába menő kábel a központi switchbe volt dugva, nem a routerbe. Remélem javul a helyzet, ha átdugom. Vagy tökmindegy mit küzdök, ebben a felállásban mindig lesz "áthallás"?
A legszebb az lenne, ha azt a plusz switchet is ki tudnám iktatni, azaz a B irodába csak egy router kerülne. DIR 100-l meg lehet oldani, hogy "kiszolgáljon" egy 192.168.0.x-s és egy 192.168.1.x-s hálót is? Ha a routerben 255.255.254.0-s maszkot adok meg, a gépeken marad a 255.255.255.0 akkor ez így működik? Ezt a felállást is kutyafuttában kipróbáltam, de valamit elnéztem, elbarmoltam (vagy a koncepció hülyeség, és totál félreértelmezem a maszkot) és nem jártam sikerrel. (bár hülye vagyok, itthon itt az asztali gép, a laptop, meg egy üzemen kívüli DIR-100, mindjárt kipróbálom.)
Vagy a rendelkezésre álló eszközök ilyesmit nem tudnak? (A DI-604-ről tudom, hogy csak 255.255.255.x-s maszkot fogad el, a DIR-100 megeszi a 255.255.x.y-t is, de hogy támogatja-e a funkciót vagy bug miatt fogadja el, az majd kiderül a tesztből :) )
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Nem tudom nálatok mióta, és mennyire stabilan üzemel a router, de nálam két éven belül 2db 604-es tápja is bedöglött. Aztán lecseréltem a routert is.
Hátha hasznos infó.
udv
letix
-----------------------------------------
Linux alapparancsok, kezdőknek
- A hozzászóláshoz be kell jelentkezni
Köszi, a "jelenség" ismert. A kérdéses "fő" router rackszekrényben van, passz, hogy hány éve megy, viszonylag stabil. Talán egyszer már volt cserélve a tápja. Itt Szegeden van egy cég, ami hasonló tápokat forgalmaz, az eladó elmondása szerint kimondottan a D-Link routerek miatt tartják készleten. Én is cseréltem már pár helyen tápot. (Volt DIR-100 is, így tápegység szintjén egy kategória lehet a két cucc :) )
- A hozzászóláshoz be kell jelentkezni
Céges hálóba lógó gép vpn-en csatlakozik, a többi kap egy 80-as, esetleg 443-as portot amit nézegethet. Ip szinten szétszedni nem érdemes, mert a windows úgy is telekiabálja a hálózatot a megosztásaival, stb.
- A hozzászóláshoz be kell jelentkezni
Közben tesztelgettem itthon.
Asztali gép: 192.168.0.9/255.255.255.0, átjáró 192.168.0.1 dns 192.168.0.1
Laptop: 192.168.2.1/255.255.255.0, átjáró 192.168.0.1 dns 192.168.0.1
router (DIR-100): lan: 192.168.0.1/255.255.252.0 WAN: ppoe (mert ez van itthon)
Az lett volna az elképzelésem, hogy ekkor mindkét gép kap netet, de nem látják egymást. Csak éppen látják (remekül összepingelnek):(. Hogyan lehet ezt megoldani, mit csinálok rosszul, illetve van ezen az úton megoldás?
- A hozzászóláshoz be kell jelentkezni
Régebben futottam bele abba hogy egy C osztályú belső alhálózat nem volt elérhető egy cégnél, de minden más alhálózatot és az internetet is elértek. Ennek akkor ott az volt az oka, hogy az alhálózatra a helyi router routing táblájába egy régebbi már nem használt router címe volt beállítva gatewaynak.
Tehát ha a tiltott alhálókra felveszel egy "hibás" statikus route-t a kérdéses gépeknél (vagy routereknél) akkor nem fognak tudni kommunikálni a tiltott hálóval. Ez akkor működik, ha hiba esetén (nem érhető el az adott LAN-hoz megadott átjáró) nem kerül továbbításra a csomag a default gateway felé.
Pl. Az asztali gépen a 192.168.2.0/24-es LAN-ra 192.168.0.2-t veszel fel gatewaynek ahol a 192.168.0.2 nem létezik, tehát azon keresztül nem továbbítható a 192.168.2.0/24-be menő hálózati forgalom.
--
Légy derűs, tégy mindent örömmel!
- A hozzászóláshoz be kell jelentkezni
De ekkor lesz net a "rossz átjárós" alhálón? Most kipróbáltam a dolgot, a két gép tényleg nem látja egymást, de a rossz átjárós gépen nincs net. (illetve csak névfeloldás van :), mert a DNS-nek megadtam a 192.168.0.1-t, de már a ping sem működik, se IP-re, se domainre) Vagy valamit elrontottam?
A mostani felállás (nem pont ugyanaz, amit írtál, de azonos elvű):
Asztali gép: 192.168.2.1/255.255.255.0 átjáró:192.168.0.1 dns:192.168.0.1
Laptop: 192.168.0.96/255.255.255.0 átjáró: 192.168.2.3 dns:192.168.0.1
Router: 192.168.0.1/255.255.252.0 ,PPPoe
De lentebb javasoltak más utat, valószínűleg az lesz a megoldás okosodás után :) Azért köszi az infót!
- A hozzászóláshoz be kell jelentkezni
Én a fent megadott szitut a következőképpen értelmeztem, azt mondtad két routered van. A konkrét alháló/IP címeidet helyettesítsd be.
Be2 Ae1 Ae3 Ie1
[router B]------------[router A]------------[Inet gw/modem]---Internet
Be1 | 192.168.2.1 Ae2 | 192.168.1.1
| |
---------- ----------
LAN B (PC) LAN A (Laptop)
192.168.2.0/24 192.168.1.0/24
router B routing táblájából
hálózat átjáró
0.0.0.0/0 Ae1 ip címe - default gateway
192.168.1.0/24 192.168.2.2 - nem létező átjáró, "tiltott útvonal"
router A routing táblájából
hálózat átjáró
0.0.0.0/0 Ie1 ip címe - default gateway (vagy Ae3 címe ha az az inet kapcsolat)
192.168.2.0/24 192.168.1.2 - nem létező átjáró, "tiltott útvonal"
Így a Lan A és B egymás közt nem tud kommunikálni a nem létező átjárókra mutató statikus route-ok miatt, de a netre mindegyik kijut a megfelelő default gatewayeken. DNS szerverből vagy LAN A-ban és B-ben is van egy (pl. a routerek), vagy az ottani default gatewayen át elérhető alhálóban van egy.
Ha csak egy routert használsz akkor a nem a router A/B-n hanem a LAN A/B-n lévő gépeken kell a fenteikhez hasonlóan beállítani a routingot.
--
Légy derűs, tégy mindent örömmel!
- A hozzászóláshoz be kell jelentkezni
A) veszel egy olyan routert, ami tud a LAN portokon VLAN-ozni (pl. Vigor-ok többsége tudja), és akkor nem kell semmit reszelned. (~30-50e HUF + tréfa)
B) veszel egy jól OpenWRT-zhető routert (pl: TP-LINK TL-WR1043ND), feltolod rá a firmware-t, és ott is VLAN-ozod a LAN portokat. (Ez kb 10-12e + tréfa.)
C) Veszel egy megfelelő portszámú Routerboard-ot.
- A hozzászóláshoz be kell jelentkezni
pl http://www.wireless-bolt.hu/detailproduct.php?productid=430271
de van gigabites is belőle nem sokkal drágábban
- A hozzászóláshoz be kell jelentkezni
Köszi a fentieket. Valószínűleg ilyesmi lesz a megoldás, csak ezeknek még eléggé utána kell járnom, mert ilyet még nem ettem :)
- A hozzászóláshoz be kell jelentkezni
Ha nagyon akarod, a meglevő eszközökkel is megoldható, de kicsit "gány":
-net-> Router1 (NAT-ol 192.168.0.x) -> A iroda -> B iroda - Router2 (WAN 192.168.0.y, LAN 192.168.1.x) -> C iroda (192.168.1.0/24 hálózat)
Router2-n (még a meglevő egyszerűeken is) beállíthatpd def. gw-nek a R1 belső címét és tűzfal szabályokkal tilthatsz minden más átjárást a 2 belső hálózati szegmens között. Ez csak a Te hálózatod. Ha erre még C irodában rátesznek 1 saját routert, az már az ő dolguk (ha jól értelmeztem fent), még ha +1x NAT-ol is, net lesz nekik.
Kis plusz-t adhat a dologhoz, ha R1-en be tudsz állítani egy másodlagos LAN IP-t másik tartományban, amit csak a 2 router közti kommunikációra használsz és R1-en szintén tiltod az átjárást a 2 belső tartomány között (bár 1 kábelen, együtt mennek, a kliensek IP átállítása nélkül nem tudnak beleszólni)
- A hozzászóláshoz be kell jelentkezni
Tisztább, ha vesz router-t, ami tud VLAN-t. Most a T-Kábel-es Cisco router miatt nekem 2 router van sorba kötve, de ezt az ellenségemnek nem kívánom, olyan tetü néha. Nem hogy dolgozni...
--
http://www.naszta.hu
- A hozzászóláshoz be kell jelentkezni
Hasonló gányolást már próbáltam, 192.168.0.x, 10.0.0.x-s felálással (Router2 wan: 192.168.0.220 LAN 10.0.0.x), de a 10.0.0.x-s hálóból tudtam pingelni pld. a 192.168.0.3-t, ami egy mezei A irodás gép. Próbáltam a router2-ben ilyesmi tűzfalszabályokat megadni:
deny: src: LAN 10.0.0.1-10.0.0.254 - dest: WAN 192.168.0.1-192.168.0.199
deny: src: LAN 10.0.0.1-10.0.0.254 - dest: WAN 192.168.0.201-192.168.0.254
minden portra és protocolra (a 192.168.0.200 a router1 belső IP címe), de nem volt semmi hatása. Próbáltam a router1-ben is tiltani ezt-azt, de csak LAN-WAN v. WAN-LAN irányban tudok bármit is korlátozni, tehát ilyemit pld. nem:
deny src: LAN 192.168.0.220 - dest: LAN 192.168.0.1-192.168.0.199
deny src: LAN 192.168.0.220 - dest: LAN 192.168.0.201-192.168.0.254
Vagy van olyan SOHO router, ami tud ilyesmit? (nézegettem már pár Mikrotikes oldalt, hmm, semmi ismerettel nem a helyszinen kell majd elkezdeni bóhockodni :) )
De mint írtam, a B irodába vezető kábel a tesztem idején az A irodai switchbe volt dugva és nem a Router1-be. Holnap talán sikerül még egy tesztet megejtenem, úgy hogy átdugom, inkább csak kíváncsiságból. De attól tartok (FIXME), hogy Router1 nagyban tenni fog a fejemre :), ugyanis semmi okát nem fogja látni annak, hogy a 192.168.0.220 (Router2 WAN IP) felől érkező jeleket ne továbbítsa pld a 192.168.0.3-nak, mert ő nem csak router hanem egy 4 portos switch is, és nincs semmi beépített eszközöm, hogy ebben a hitében megingassam :D (a LAN-LAN tűzfalszabály lehetne megoldás, de ilyet nem tud)
- A hozzászóláshoz be kell jelentkezni
Hmm.... Pedig R2-nél pont erre gondoltam. A furcsább, hogy ennek márpedig működnie kéne. Az ugyan lehet, hogy ha a konfig bizonyos portokra enged tiltani, attól még az ICMP csomagokat nem tiltja, így pingelni ugyan tudsz, de esetleg szolgáltatásokhoz csatlakozni már nem.
SOHO router, ami tud ilyesmit? OpenWRT által supportált bármi :) jellemzően Linksys wrt54, de sok asus-on, tp-link-en is megy.
- A hozzászóláshoz be kell jelentkezni
Sajna a szolgáltatások is "átjönnek", mert az egyik (192.168.0.x) gépen van egy ftp szerver is, és arra is be tudtam lépni.
Egyébként bújom a netet, hogy az ilyen openwrt meg mikrotik dolgokról legyen valami fogalmam :D, úgyis valami ilyesmi lesz a vége.
- A hozzászóláshoz be kell jelentkezni
Egy OpenWRT webgui-val viszonylag közel áll a gyári fw-ekhez, amit meg a webguin nem tudsz megoldani, azt némi lunux ismerettel parancssorból megteheted.
Ha a Mikrotik-nek vágsz neki, az már kicsit más tészta. Ott kezdőként egy alap NAT gateway-t összerakni is csak doksibújás és howto-k alapján lehet, de ha belejössz a logikájába, akkor az 5-6. telepítésnél már bármit megoldasz vele, amit szeretnél. (legalábbis a saját tapasztalatom ez)
- A hozzászóláshoz be kell jelentkezni