-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Zadachata e dosta interesna. Az lichno ti predlagam da ia reshish
chrez izpolzvaneto na GRE tunel (za da ne tovarami routerite shte
priemem, che niama da se pravi vryzka chrez IPSec).
Predi da zapochnesh kakvoto i da e pravene na tunneli e nuzhno
da planirash mrezhovata arhitektura na tunnela. Az razbira se shte
deistvam samo s IP adresni prostranstva otdeleni za chastni tzeli,
no ti mozhesh mnogo lesno da prehvyrlish primera i vyrhu realni
mrezhi.
Eto otnovo shemata ti:
PC1 PC2 PC3
LanA----| |-------| |--------| |--------LanB
Eto primerno opisanie na routerite v chastta im za mrezhova
konfiguracia bez oshte da sme pusnali GRE tunnela:
====================================================
PC1
vynshen interface: eth1
--> Uchastnik v IP edin mrezhov blok s interface eth1 na PC2
---> IP adres: 192.168.3.1
---> Mrezhova maska: 255.255.255.0
vytreshen interface: eth0
--> Uchastnik v mrezhovia blok na LanA
---> IP adres: 192.168.80.1
---> Mrezhova maska: 255.255.255.0
====================================================
====================================================
PC2
interface: eth1
--> Uchastnik v IP edin mrezhov blok s interface eth1 na PC1
---> IP adres: 192.168.3.2
---> Mrezhova maska: 255.255.255.0
interface: eth0
--> Uchastnik v IP edin mrezhov blok s interface eth0 na PC3
---> IP adres: 192.168.6.1
---> Mrezhova maska: 255.255.255.0
====================================================
====================================================
PC3
vynshen interface: eth0
--> Uchastnik v IP edin mrezhov blok s interface eth0 na PC2
---> IP adres: 192.168.6.2
---> Mrezhova maska: 255.255.255.0
vytreshen interface: eth1
--> Uchastnik v mrezhovia blok na LanB
---> IP adres: 192.168.81.1
---> Mrezhova maska: 255.255.255.0
====================================================
Vnimanie. Sledvashtata stypka e da proverish dali routing tablicite na
routerite sa taka izgradeni, che paketite ot eth1 na PC1 da dostigat
do eth0 na PC3. Po princip, ako PC1 ima default route rezlichen ot
192.168.3.2 shte traibva da ukazhesh, che mrezhata 192.168.6.0/24
se routira prez 192.168.3.2. Syshtata proverka traibva da napravish i
ot strana na PC3. Ako default route tam ne e 192.168.6.1 e nuzhno
specialno za celta da obiavish, che mrezha 192.168.3.0/24 e
dostypna prez gateway 192.168.6.1.
Primerno, vyrhu PC1 v takyv sluchai mozhesh da izpylnish slednoto:
ip route add 192.168.6.0/24 via 192.168.3.2 dev eth1 table main
a vyrhu PC3
ip route add 192.168.3.0/24 via 192.168.6.1 dev eth0 table main
Napravi taka, che tezi pravila da vlizat v sila sled reboot na mashinata.
Naprimer opishi gi v otdelen script, a nego izvikvai ot inicirashtia
script. Inache sled reboot shte se vyrne staroto systoianie na
neshtata.
Proveri dali routinga raboti kato izpolzvash traceroute i ping. Ubedi se,
che naistina vsichko e nared.
Sega veche mozhem da pristypim kym izgrzhdane na tunnela.
Ima edna dosta vazhna osobenost, koiato chesto pre propuska i to
v mnogo postingi i obiasnenia. A tia e , che za tunnela e nuzhno da
otdelish adresno prostranstvo. Shte sa ti nuzhni dva IP adresa ot edin
i sysht mrezhovi blok. Zashto e nuzhno tova, shte ti stane iasno
vednaga, sled kato ti pokazha shemata na tunnelnata vryzka
LanA --PC1--------------------------PC3--LanB
Vse edno PC1 i PC3 se vizhdat pomezhdu si taka, siakash sa
zakacheni na directna kabelna vryzka. Da, no za da ima vryzka e
nuzhno da ima interface-i. Tezi interfaci traibva da imat vyrhu
sebe si IP adresi ... inache prosto niama da ima vidimost mezhdu
PC1 i PC3. Az bih ti predlozhil za celta da izpolzvash slednoto
adresno prostranstvo
Network: 192.168.50.0
Netmask: 255.255.255.252 t.e. 30 bitova maska.
Neka 192.168.50.1 da e prednaznachen za kraia na tunnela v/u
PC1, a 192.168.50.2 da e prednaznachen za kraia na tunnela
v/u PC3.
Tezi IP adresi ne se postaviat na interface-ite eth0 ili eth1, a se
gradiat virtualni interfaci (tova e dosta uslovno kazano, no drug pyt
poveche za tezi terminologii).
Sega e vreme da vdignem tunnela. Tova stava kato pyrvo zaredish
modula ip_gre i na PC1 i na PC2
insmod ip_gre
sled tova se praviat slednite deistvia:
-- > PC1
ip tunnel add tun1 mode gre remote remote 192.168.6.2 local 192.168.3.1 ttl
255
--> PC3
ip tunnel add tun1 mode gre remote remote 192.168.3.1 local 192.168.6.2 ttl
255
S tova tunela e iniciran, no ne i ustanoven. Zabelezhi, che sled ip tunnel add
e obiaveno imeto na virtualni device, na koito e zakachen tunnela. Za da
napravish tozi device activen e nuzhno da izpylnish na vseki computer:
ip link set tun1 up
S tova tunnela e vdignat. No tova ne znachi, che prez nego ima traffic. Za da
stane tova e nuzhno na virtualnite devaici da postavish ip adresite ot systava
na mrezhata s 30-bitova maska, koiato ti opisah po-gore.
--> PC1
ip add addr
Kak da izgradish virtuialnite interfaci za tunnela? Stava mnogo lesno.
Etap 1: Definirane na virtualnia interface:
--> Vyrhu PC1
ip addr add 192.168.50.1/30 dev tun1
--> Vyrhu PC3
ip addr add 192.168.50.2/30 dev tun1
S tova veche ima vidimost m/u virtualnite interface-i. Imai prediv, che
ako vsichko e nared sega, to shte mozhesh ot PC1 da pingnesh
192.168.50.2, a ot PC3 da pingnesh 192.168.50.1.
Sled tova ostava samo da se nasochi routinga.
--> PC1
ip route add 192.168.81.0/24 via 192.168.50.2/30 dev tun1 table main
--> PC3
ip route add 192.168.80.0/24 via 192.168.50.1/30 dev tun1 table main
sled kato napravish tova, vseki host ot LanA bi traibvalo da vizhda
vseki host ot LanB (e razbira se stiga da sa vkliucheni v mrezhata)..
Tova e v obshti linii
Pozdravi
Vesselin Kolev
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
iD8DBQE+RmRl+48lZPXaa+MRAsYZAJwPpp4jtIMo+ALyiX/lu98ROboqFwCgyD73
v7E5RbHMnj+SANmHVAx8OZw=
=jlNi
-----END PGP SIGNATURE-----
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
