Re: Ruteo sin NAT... SOLUCIONADO !!!!

[SeB@]

Gracias a todos por su ayuda!!!
ya tengo todo funcionando no 100% pero funciona !!!
tambien solucione el problema en el cisco!!

bien, ahora voy con la pregunta  :-)

tengo todo configurado como dice el mail de abajo, el problema que tengo
es que no puedo llegar a la red 10.0.0.0/8 desde los host conectados al
linux.
Es decir, no puedo hacer un ping desde 200.68.245.246 a la 10.0.0.5
porque?
pero si llego a la 10.0.0.2 y a la 10.0.0.1.

bueno... por ahora ese es mi karma   :-)

saludos a todos!






El vie, 23-04-2004 a las 18:16, nmag only escribió:
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1
 
 Hola,
 
 Establezca la red entre el Cisco y el Router gnu/linux como
 10.0.0.0/8 en vez de 10.0.0.0/29 (tiene que cambiarlo en
 ambos)
 
 Esto es lo que debería tener:
 
 |internet|
 .   |
 .   # IP WAN
 .(cisco)
 .   # 10.0.0.1
 .   |
 .   |  [10.0.0.0/8]
 .   |
 .   # 10.0.0.2
 (==Router gnu/linux==)
 .# 200.68.245.253  # 200.68.245.245  # 200.68.245.249
 .| | |
 .| [200.68.245.252/30] | [200.68.245.244/30] | [200.68.245.248/30]
 .| | |
 .# 200.68.245.254  # 200.68.245.246  # 200.68.245.250
 
 Ahora, el Router gnu/linux llega a 10.0.0.1 y también a
 200.68.245.254, 200.68.245.246 y 200.68.245.250
 
 Primero revisar si ip forwarding está habilitado (ya me dijo en
 otro correo que si pero confirmelo) ahora revisar la política del
 canal FORWARD del Router gnu/linux pruebe poniéndolo en ACCEPT, ya
 cuando logre la conectividad puede poner sus reglas de filtrado
 por ahora:
 
 iptables -P FORWARD ACCEPT
 
 Ahora revisar la configuración de los host que están conectados al
 Router gnu/linux por eth(1|2|3)
 
 el host 200.68.245.254 deberá tener al menos algo como:
 
 host_1:~# ip route show
 200.68.245.252/30 dev eth0  proto kernel  scope link  src 200.68.245.254
 default via 200.68.245.253 dev eth0
 
 
 el host 200.68.245.246 deberá tener al menos algo como:
 
 host_2:~# ip route show
 200.68.245.244/30 dev eth0  proto kernel  scope link  src 200.68.245.246
 default via 200.68.245.245 dev eth0
 
 
 el host 200.68.245.250 deberá tener al menos algo como:
 
 host_3:~# ip route show
 200.68.245.248/30 dev eth0  proto kernel  scope link  src 200.68.245.250
 default via 200.68.245.249 dev eth0
 
 
 Si su configuración es así, y los hosts no llegan a la red 10.0.0.0/8,
 osea no hacen ping al 10.0.0.2 del Router gnu/linux y no hacen ping al
 10.0.0.1 del cisco entonces tendrá que agregar una ruta estática por
 cada host indicándoles por cual dispositivo encontrará la red
 10.0.0.0/8, por ejemplo:
 
 host_1:~# ip route add 10.0.0.0/8 via 200.68.245.253 dev eth0
 
 host_2:~# ip route add 10.0.0.0/8 via 200.68.245.245 dev eth0
 
 host_3:~# ip route add 10.0.0.0/8 via 200.68.245.249 dev eth0
 
 Y haga la prueba...
 
 Saludos!
 
 nmag only
 
 
 
 SeB@ wrote:
 | aqui envio las rutas y direcciones de las eth:
 |
 | premier:~# ip route show
 | 200.68.245.248/30 dev eth3  proto kernel  scope link  src 200.68.245.249
 | 200.68.245.252/30 dev eth1  proto kernel  scope link  src 200.68.245.253
 | 200.68.245.244/30 dev eth2  proto kernel  scope link  src 200.68.245.245
 | 10.0.0.0/29 dev eth0  proto kernel  scope link  src 10.0.0.2
 | default via 10.0.0.1 dev eth0
 |
 |
 | premier:~# ip addr show
 | 1: lo: LOOPBACK,UP mtu 16436 qdisc noqueue
 | link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
 | inet 127.0.0.1/8 scope host lo
 | 2: teql0: NOARP mtu 1500 qdisc noop qlen 100
 | link/void
 | 3: eth0: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100
 | link/ether 00:60:08:6d:76:44 brd ff:ff:ff:ff:ff:ff
 | inet 10.0.0.2/29 brd 10.0.0.7 scope global eth0
 | 4: eth1: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100
 | link/ether 00:a0:24:da:d5:de brd ff:ff:ff:ff:ff:ff
 | inet 200.68.245.253/30 brd 200.68.245.255 scope global eth1
 | 5: eth2: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100
 | link/ether 00:04:75:c9:4b:87 brd ff:ff:ff:ff:ff:ff
 | inet 200.68.245.245/30 brd 200.68.245.247 scope global eth2
 | 6: eth3: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100
 | link/ether 00:04:75:c9:4c:22 brd ff:ff:ff:ff:ff:ff
 | inet 200.68.245.249/30 brd 200.68.245.251 scope global eth3
 | premier:~#
 |
 |
 | y las pruebas que me pedias:
 | ping desde el router linux hacia el cisco, y a los otros host funciona.
 | ping desde cualquier host conectado a eth1/3 hasta el router linux, que
 | seria el gw, si tiene ping. Pero cuando hago ping hacia la 10.0.0.1 ya
 | no tengo ping.   :-(
 |
 |
 | espero haberme explicado
 |
 | y... gracias nuevamente !!
 |
 |
 | El jue, 22-04-2004 a las 17:20, nmag only escribió:
 |
 | Le recomiendo que use iproute 2, si no lo tiene, instálelo
 |
 | apt-get install iproute
 |
 | ejecute:
 |
 | ~ ip route show
 |
 | y
 |
 | ~ ip addr show
 |
 | y envía los resultados de ambos comandos 

Re: Ruteo sin NAT...

[nmag only]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Hola,

Establezca la red entre el Cisco y el Router gnu/linux como
10.0.0.0/8 en vez de 10.0.0.0/29 (tiene que cambiarlo en
ambos)

Esto es lo que debería tener:

|internet|
.   |
.   # IP WAN
.(cisco)
.   # 10.0.0.1
.   |
.   |  [10.0.0.0/8]
.   |
.   # 10.0.0.2
(==Router gnu/linux==)
.# 200.68.245.253  # 200.68.245.245  # 200.68.245.249
.| | |
.| [200.68.245.252/30] | [200.68.245.244/30] | [200.68.245.248/30]
.| | |
.# 200.68.245.254  # 200.68.245.246  # 200.68.245.250

Ahora, el Router gnu/linux llega a 10.0.0.1 y también a
200.68.245.254, 200.68.245.246 y 200.68.245.250

Primero revisar si ip forwarding está habilitado (ya me dijo en
otro correo que si pero confirmelo) ahora revisar la política del
canal FORWARD del Router gnu/linux pruebe poniéndolo en ACCEPT, ya
cuando logre la conectividad puede poner sus reglas de filtrado
por ahora:

iptables -P FORWARD ACCEPT

Ahora revisar la configuración de los host que están conectados al
Router gnu/linux por eth(1|2|3)

el host 200.68.245.254 deberá tener al menos algo como:

host_1:~# ip route show
200.68.245.252/30 dev eth0  proto kernel  scope link  src 200.68.245.254
default via 200.68.245.253 dev eth0


el host 200.68.245.246 deberá tener al menos algo como:

host_2:~# ip route show
200.68.245.244/30 dev eth0  proto kernel  scope link  src 200.68.245.246
default via 200.68.245.245 dev eth0


el host 200.68.245.250 deberá tener al menos algo como:

host_3:~# ip route show
200.68.245.248/30 dev eth0  proto kernel  scope link  src 200.68.245.250
default via 200.68.245.249 dev eth0


Si su configuración es así, y los hosts no llegan a la red 10.0.0.0/8,
osea no hacen ping al 10.0.0.2 del Router gnu/linux y no hacen ping al
10.0.0.1 del cisco entonces tendrá que agregar una ruta estática por
cada host indicándoles por cual dispositivo encontrará la red
10.0.0.0/8, por ejemplo:

host_1:~# ip route add 10.0.0.0/8 via 200.68.245.253 dev eth0

host_2:~# ip route add 10.0.0.0/8 via 200.68.245.245 dev eth0

host_3:~# ip route add 10.0.0.0/8 via 200.68.245.249 dev eth0

Y haga la prueba...

Saludos!

nmag only



SeB@ wrote:
| aqui envio las rutas y direcciones de las eth:
|
| premier:~# ip route show
| 200.68.245.248/30 dev eth3  proto kernel  scope link  src 200.68.245.249
| 200.68.245.252/30 dev eth1  proto kernel  scope link  src 200.68.245.253
| 200.68.245.244/30 dev eth2  proto kernel  scope link  src 200.68.245.245
| 10.0.0.0/29 dev eth0  proto kernel  scope link  src 10.0.0.2
| default via 10.0.0.1 dev eth0
|
|
| premier:~# ip addr show
| 1: lo: LOOPBACK,UP mtu 16436 qdisc noqueue
| link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
| inet 127.0.0.1/8 scope host lo
| 2: teql0: NOARP mtu 1500 qdisc noop qlen 100
| link/void
| 3: eth0: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100
| link/ether 00:60:08:6d:76:44 brd ff:ff:ff:ff:ff:ff
| inet 10.0.0.2/29 brd 10.0.0.7 scope global eth0
| 4: eth1: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100
| link/ether 00:a0:24:da:d5:de brd ff:ff:ff:ff:ff:ff
| inet 200.68.245.253/30 brd 200.68.245.255 scope global eth1
| 5: eth2: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100
| link/ether 00:04:75:c9:4b:87 brd ff:ff:ff:ff:ff:ff
| inet 200.68.245.245/30 brd 200.68.245.247 scope global eth2
| 6: eth3: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100
| link/ether 00:04:75:c9:4c:22 brd ff:ff:ff:ff:ff:ff
| inet 200.68.245.249/30 brd 200.68.245.251 scope global eth3
| premier:~#
|
|
| y las pruebas que me pedias:
| ping desde el router linux hacia el cisco, y a los otros host funciona.
| ping desde cualquier host conectado a eth1/3 hasta el router linux, que
| seria el gw, si tiene ping. Pero cuando hago ping hacia la 10.0.0.1 ya
| no tengo ping.   :-(
|
|
| espero haberme explicado
|
| y... gracias nuevamente !!
|
|
| El jue, 22-04-2004 a las 17:20, nmag only escribió:
|
| Le recomiendo que use iproute 2, si no lo tiene, instálelo
|
| apt-get install iproute
|
| ejecute:
|
| ~ ip route show
|
| y
|
| ~ ip addr show
|
| y envía los resultados de ambos comandos para poder ayudarle...
|
| El truco esta con jugar con las rutas estáticas...
|
| Por ahora haga la prueba siguiente (mientras envía los datos que le da
| ip route)...
|
| Desde el router linux compruebe que recibe respuesta ping del cisco
| (10.0.0.1) y compruebe que puede hacer ping a los nodos que estan
| conectados a eth3 (200.68.245.248), eth2 (200.68.245.252) y eth1
| (200.68.245.244) osea .249, .253 y .245, si la respuesta de los ping de
| estos nodos es adecuada entonces haga una prueba adicional más, esta vez
| ya no desde el router linux, sino desde uno de los equipos que se
| conectan directamente a eth1, eth2 o eth3, por ejemplo podría ser el
| equipo que tiene el ip 200.68.245.245, 

Re: Ruteo sin NAT...

[SeB@]

Excelentes sus respuestas, ya me aclararon mucho el panorama...
GRACIAS a todos!


pero tengo algun otro problemita ya que no me rutea:-(
ya elimine el NAT del router linux, tengo el iptables limpio
y la que sigue es la tabla de rutas:

Destination Gateway   Genmask Flags Metric RefUse Iface
200.68.245.248  0.0.0.0   255.255.255.252 U 0  00 eth3
200.68.245.252  0.0.0.0   255.255.255.252 U 0  00 eth1
200.68.245.244  0.0.0.0   255.255.255.252 U 0  00 eth2
10.0.0.00.0.0.0   255.255.255.248 U 0  00 eth0
0.0.0.0 10.0.0.1  0.0.0.0 UG0  00 eth0

y tengo el ipfordwarding activado

que deberia modificar???





saludos!



El mié, 21-04-2004 a las 18:00, nmag only escribió:
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1
 
 SeB@ wrote:
 | Bueno, ante todo gracias por su tiempo
 |
 | y paso a explicar mejor   :-)
 |
 | [Internet] nota: las # son eth
 |  |
 |  |
 |  |
 |  #  (1 ip publica (1))
 |   [Cisco]
 |  #  (1 ip publica (2)) (pienso ponerle privada cuando funcione todo)
 |  |
 |  |
 |  #  (1 ip publica (3))  (tambien en el futuro iria una privada)
 | [router Linux]
 |#1   #2   #3  (cada una con una ip publica y serian el gw de
 ||\ \cada subred #1, #2, #3)
 || \ \
 ||  \ \
 |## #
 | [SUBRED1][SUBRED2][SUBRED3]  en cada una de estas subredes 1 o 2
 |  ip publicas y hago nat para que puedan salir el
 |  resto de las pcs (con ip privada) de la red.
 |  algunas dee estas prestan servicio web, ftp
 |  mail, etc.
 |
 |
 | esta bien todo esto??? o es un delirio??  ;-)
 
 La idea está bien, y no es un deliro...
 
 lo que tiene que tener en claro es:
 
 |internet|
 .   |
 .   # (ip que pertenece al sistema autónomo del proveedor)
 .(cisco) -- RUTA ESTÁTICA PARA ENCONTRAR LA RED PUBLICA A TRAVÉS DE LA
 .   # (acá debe poner un IP privado)PRIVADA
 .   | [se convierte en una red privada]
 .   # (otro IP privado)
 (router gnu/linux) -- SIN NAT, CON DEFAULT GATEWAY EL IP PRIVADO CISCO
 . # # # # (cuatro subredes /30 que salen de la subred /28 de ips
 . | | | |  públicos que su proveedor le ha asignado)
 . | | | | [las cuatro subredes /30]
 . # # # # (estas cuatro interfaces pertenecen a 4 servidores)
 (servidores) -- SE PUEDEN PONER SERVICIOS CON IPS PÚBLICOS FIJOS Y SI
 .REQUIERE DAR INTERNET A OTROS EQUIPOS AQUÍ SI IRÍA NAT
 
 Si se da cuenta una subred /30 le da 4 ips uno de red otro broadcast y
 justo le quedan 2 ips públicos fijos disponibles por los 4 tiene los
 16 ips públicos asignados por su proveedor, y le quedarían justitos...
 
 Ahora las interfaces de cara a su red del (router linux) tendrían un ip
 público fijo y los servidores también y en ellos podría montar
 servicios... y si su lan se extiende, ahí si tendrían que usar NAT pero
 sería a través de los 4 servidores finales...
 
 Lo que hay que considerar es en cambiar la configuración del (cisco)
 para que la interfaz que mira hacia su lan tenga configurada una red
 privada (en vez de la subred pública /28 que le asigno su proveedor) y
 adicionar una ruta estática para que sepa que esa subred /28 de ips
 públicos fijos asignados por su proveedor se encuentra ahora a través de
 esa red privada y obvio que el router linux distinguirá las subredes /30
 definidas en él...
 
 Ahora un ejemplo con números, supongamos su ip wan (el del sistema
 autónomo es 216.10.234.21) y le han asignado la subred 216.12.30.128/28
 
 primero hagamos subredes /30 de sus ips disponibles...
 
 216.12.30.128/30 (red .128, brd .131, ips disponibles .129 y .130)
 216.12.30.132/30 (red .132, brd .135, ips disponibles .133 y .134)
 216.12.30.136/30 (red .136, brd .139, ips disponibles .137 y .138)
 216.12.30.140/30 (red .140, brd .143, ips disponibles .141 y .142)
 
 Y tenemos todo dividido y listo para implementar, no nos olvidemos de
 nuestra red privada, que sea un 10.0.0.0/29 puede ser... ahora como
 queda nuestro esquema con número y no palabras :))
 
 |internet|
 .   |
 .   # 216.10.234.21
 .(cisco)
 .   # 10.0.0.1
 .   |
 .   # 10.0.0.2
 (==Router gnu/linux=)
 .# 216.12.30.129   # 216.12.30.133   # 216.12.30.137   # 216.12.30.141
 .| | | |
 .| | | |
 .# 216.12.30.130   # 216.12.30.134   # 216.12.30.138   # 216.12.30.142
 (servidor) (servidor)(servidor)(servidor)
 . ^http  ^correo   ^NAT1 ^NAT2
 
 Supongo que ahora queda un poco mas claro
 
 Saludos!
 
 - --
 nmag only
 gnupg 0xA024A03F [pgp.mit.edu]  GNU/Linux Registered User #312624
 
 -BEGIN PGP SIGNATURE-
 Version: GnuPG v1.2.4 (GNU/Linux)
 Comment: Using 

Re: Ruteo sin NAT...

[nmag only]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Le recomiendo que use iproute 2, si no lo tiene, instálelo

apt-get install iproute

ejecute:

~ ip route show

y

~ ip addr show

y envía los resultados de ambos comandos para poder ayudarle...

El truco esta con jugar con las rutas estáticas...

Por ahora haga la prueba siguiente (mientras envía los datos que le da
ip route)...

Desde el router linux compruebe que recibe respuesta ping del cisco
(10.0.0.1) y compruebe que puede hacer ping a los nodos que estan
conectados a eth3 (200.68.245.248), eth2 (200.68.245.252) y eth1
(200.68.245.244) osea .249, .253 y .245, si la respuesta de los ping de
estos nodos es adecuada entonces haga una prueba adicional más, esta vez
ya no desde el router linux, sino desde uno de los equipos que se
conectan directamente a eth1, eth2 o eth3, por ejemplo podría ser el
equipo que tiene el ip 200.68.245.245, desde dicho equipo hacer ping a
su punto adyacente en eth1 del router linux osea hacerle un ping a
200.68.245.244, si la respuesta es correcta, entonces hacer otro ping
pero esta vez al ip del al interfaz eth0 del router linux que en este
caso debería ser 10.0.0.2, si también responde entonces el router linux
estaría trabajando perfectamente... el problema podría ser el cisco.

En el router cisco** tiene que tener habilitado ip routing y al menos
una ruta estática la cual debe señalar que puede encontrar al red
200.68.245.240/28 vía 10.0.0.2 (que es el IP del router linux)

Adicionalemente tiene que tener en cuenta que si tiene otros equipos
detrás de los equipos que tienen los IP públicos fijos deberá adicionar
rutas estáticas por cada red en el router linux, por ejemplo un servidor
que hace NAT en 200.68.245.253 que evidetemente es el equipo que está
conectado al eth1 del router linux y detrás de el hay una red
192.168.1.0/24, entonces el router linux tendrá que tener una ruta estática

ip route add 192.168.1.0/24 via 200.68.245.253 dev eth1

Esa línea de ip route 2 es bien sugerente, le dice al router linux que
la red 192.168.1.0/24 se encontrará a través del equipo con IP
200.68.245.253 que esta conectado a la interfaz eth1

Es ese esquema es exactamente el mismo que debe seguir el cisco** para
encontrar la red 200.68.245.240/28 a través del ip 10.0.0.2 que es el
del router linux.

Saludos!

nmag only



SeB@ wrote:
| Excelentes sus respuestas, ya me aclararon mucho el panorama...
| GRACIAS a todos!
|
|
| pero tengo algun otro problemita ya que no me rutea:-(
| ya elimine el NAT del router linux, tengo el iptables limpio
| y la que sigue es la tabla de rutas:
|
| Destination Gateway   Genmask Flags Metric RefUse Iface
| 200.68.245.248  0.0.0.0   255.255.255.252 U 0  00 eth3
| 200.68.245.252  0.0.0.0   255.255.255.252 U 0  00 eth1
| 200.68.245.244  0.0.0.0   255.255.255.252 U 0  00 eth2
| 10.0.0.00.0.0.0   255.255.255.248 U 0  00 eth0
| 0.0.0.0 10.0.0.1  0.0.0.0 UG0  00 eth0
|
| y tengo el ipfordwarding activado
|
| que deberia modificar???
|
|
|
|
|
| saludos!
|
|
|
| El mié, 21-04-2004 a las 18:00, nmag only escribió:
|
| SeB@ wrote:
| | Bueno, ante todo gracias por su tiempo
| |
| | y paso a explicar mejor   :-)
| |
| | [Internet] nota: las # son eth
| |  |
| |  |
| |  |
| |  #  (1 ip publica (1))
| |   [Cisco]
| |  #  (1 ip publica (2)) (pienso ponerle privada cuando funcione todo)
| |  |
| |  |
| |  #  (1 ip publica (3))  (tambien en el futuro iria una privada)
| | [router Linux]
| |#1   #2   #3  (cada una con una ip publica y serian el gw de
| ||\ \cada subred #1, #2, #3)
| || \ \
| ||  \ \
| |## #
| | [SUBRED1][SUBRED2][SUBRED3]  en cada una de estas subredes 1 o 2
| |  ip publicas y hago nat para que puedan salir el
| |  resto de las pcs (con ip privada) de la red.
| |  algunas dee estas prestan servicio web, ftp
| |  mail, etc.
| |
| |
| | esta bien todo esto??? o es un delirio??  ;-)
|
| La idea está bien, y no es un deliro...
|
| lo que tiene que tener en claro es:
|
| |internet|
| .   |
| .   # (ip que pertenece al sistema autónomo del proveedor)
| .(cisco) -- RUTA ESTÁTICA PARA ENCONTRAR LA RED PUBLICA A TRAVÉS DE LA
| .   # (acá debe poner un IP privado)PRIVADA
| .   | [se convierte en una red privada]
| .   # (otro IP privado)
| (router gnu/linux) -- SIN NAT, CON DEFAULT GATEWAY EL IP PRIVADO CISCO
| . # # # # (cuatro subredes /30 que salen de la subred /28 de ips
| . | | | |  públicos que su proveedor le ha asignado)
| . | | | | [las cuatro subredes /30]
| . # # # # (estas cuatro interfaces pertenecen a 4 servidores)
| (servidores) -- SE PUEDEN PONER SERVICIOS CON IPS PÚBLICOS FIJOS Y SI
| .REQUIERE DAR INTERNET A 

Re: Ruteo sin NAT...

[nmag only]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

SeB@ wrote:
| Bueno, ante todo gracias por su tiempo
|
| y paso a explicar mejor   :-)
|
| [Internet] nota: las # son eth
|  |
|  |
|  |
|  #  (1 ip publica (1))
|   [Cisco]
|  #  (1 ip publica (2)) (pienso ponerle privada cuando funcione todo)
|  |
|  |
|  #  (1 ip publica (3))  (tambien en el futuro iria una privada)
| [router Linux]
|#1   #2   #3  (cada una con una ip publica y serian el gw de
||\ \cada subred #1, #2, #3)
|| \ \
||  \ \
|## #
| [SUBRED1][SUBRED2][SUBRED3]  en cada una de estas subredes 1 o 2
|  ip publicas y hago nat para que puedan salir el
|  resto de las pcs (con ip privada) de la red.
|  algunas dee estas prestan servicio web, ftp
|  mail, etc.
|
|
| esta bien todo esto??? o es un delirio??  ;-)

La idea está bien, y no es un deliro...

lo que tiene que tener en claro es:

|internet|
.   |
.   # (ip que pertenece al sistema autónomo del proveedor)
.(cisco) -- RUTA ESTÁTICA PARA ENCONTRAR LA RED PUBLICA A TRAVÉS DE LA
.   # (acá debe poner un IP privado)PRIVADA
.   | [se convierte en una red privada]
.   # (otro IP privado)
(router gnu/linux) -- SIN NAT, CON DEFAULT GATEWAY EL IP PRIVADO CISCO
. # # # # (cuatro subredes /30 que salen de la subred /28 de ips
. | | | |  públicos que su proveedor le ha asignado)
. | | | | [las cuatro subredes /30]
. # # # # (estas cuatro interfaces pertenecen a 4 servidores)
(servidores) -- SE PUEDEN PONER SERVICIOS CON IPS PÚBLICOS FIJOS Y SI
.REQUIERE DAR INTERNET A OTROS EQUIPOS AQUÍ SI IRÍA NAT

Si se da cuenta una subred /30 le da 4 ips uno de red otro broadcast y
justo le quedan 2 ips públicos fijos disponibles por los 4 tiene los
16 ips públicos asignados por su proveedor, y le quedarían justitos...

Ahora las interfaces de cara a su red del (router linux) tendrían un ip
público fijo y los servidores también y en ellos podría montar
servicios... y si su lan se extiende, ahí si tendrían que usar NAT pero
sería a través de los 4 servidores finales...

Lo que hay que considerar es en cambiar la configuración del (cisco)
para que la interfaz que mira hacia su lan tenga configurada una red
privada (en vez de la subred pública /28 que le asigno su proveedor) y
adicionar una ruta estática para que sepa que esa subred /28 de ips
públicos fijos asignados por su proveedor se encuentra ahora a través de
esa red privada y obvio que el router linux distinguirá las subredes /30
definidas en él...

Ahora un ejemplo con números, supongamos su ip wan (el del sistema
autónomo es 216.10.234.21) y le han asignado la subred 216.12.30.128/28

primero hagamos subredes /30 de sus ips disponibles...

216.12.30.128/30 (red .128, brd .131, ips disponibles .129 y .130)
216.12.30.132/30 (red .132, brd .135, ips disponibles .133 y .134)
216.12.30.136/30 (red .136, brd .139, ips disponibles .137 y .138)
216.12.30.140/30 (red .140, brd .143, ips disponibles .141 y .142)

Y tenemos todo dividido y listo para implementar, no nos olvidemos de
nuestra red privada, que sea un 10.0.0.0/29 puede ser... ahora como
queda nuestro esquema con número y no palabras :))

|internet|
.   |
.   # 216.10.234.21
.(cisco)
.   # 10.0.0.1
.   |
.   # 10.0.0.2
(==Router gnu/linux=)
.# 216.12.30.129   # 216.12.30.133   # 216.12.30.137   # 216.12.30.141
.| | | |
.| | | |
.# 216.12.30.130   # 216.12.30.134   # 216.12.30.138   # 216.12.30.142
(servidor) (servidor)(servidor)(servidor)
. ^http  ^correo   ^NAT1 ^NAT2

Supongo que ahora queda un poco mas claro

Saludos!

- --
nmag only
gnupg 0xA024A03F [pgp.mit.edu]  GNU/Linux Registered User #312624

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.4 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFAhuDWy3Ce2qAkoD8RAjVUAJ4j5lwL/QqrQ6t6IIHPFWZrBZ3IKwCfQKhl
ms3qL+WcjKcA8mC469/NVOI=
=UiGl
-END PGP SIGNATURE-

Re: Ruteo sin NAT..

[Fernando M. Maresca]

On Tue, Apr 20, 2004 at 01:34:59PM -0300, SeB@ wrote:
 Pregunta para los mas experimentados :-)
 
 
 Es posible hacer un ruteo sin hacer NATeo??
 
 
 la idea es la siguiente:
 Tengo una conexion a internet y 16 ips
 un Cisco 2600 conectado a movicon quien me provee internet, luego a este
 tegno conectado una pc con linux que hace de router porque distribuye el
 servicio de internet a 3 redes diferentes (esa es la idea)
 Otro dato a tener en cta es que tengo ip publica en el cisco, en el
 router linux(en las 4 eth) y en una de las pc de cada red conectada al
 router linux.
¿Pero una sola IP por cada red, o un juego de IPs (subnet) para cada red?
Porque si vos tenés una sola IP para cada red, si o si tenés que NATear,
provisto que en cada segmento tengas mas de una máquina. Suponete que
sean 200.192.141.2, 3, 4 y 5 las IPs que te da movi. Vos en cada una
conectás un segmento de LAN 192.168.1.0/24, .2.0/24, .3.0/24 y hacés NAT
en el router para que las PCs de cada uno de los segmentos sean vistas
desde afuera como una sola (la que NATeás).
Ninguna de las máquinas de los segmentos internos de la red necesitan IP
pública, y en rigor no deberían tenerla. Para eso son las direcciones
reservadas a redes privadas. Tampoco necesitás mas de una IP pública
para hacer NAT/MASQUERADE de múltimples LANes (o segmentos LAN) ya que
el router se va a encargar de que no se mezclen los tantos.

Ahora si en cada segmento tenés solo una máquina, entonces no hace falta
NATear, ya que te alcanzan las IPs.
En general, si tenés más máquinas que IPs, tenés que hacer NAT.

También: vos podés usar una solución intermedia, o sea, hacer una zona
demilitarizada (DMZ) entre tu proveedor y tu router/NAT. Esto te permite
usar todas tus direcciones públicas en máquinas conectadas en la DMZ para
dar servicios hacia internet, y no malgastar las IPs públicas en los
segmentos de LAN que típicamente son clientes de inet y no servidores de
inet. Las combinaciones entre DMZ, NAT y MASQUERADE (esto no es mas que
un caso especial de NAT) son ilimitadas.
 
 
 me conviene hacer NAT y dejar de moletar??
Respuesta corta: IMHO sí.
 
 saludos
Salute.
 
 
 -- 
 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
 

-- 
Fernando M. Maresca

Cel: (54) 221 15 502 3938
Cel: 0221-15-502-3938

RE: Ruteo sin NAT..

[Iñaki R .]

Buenas, no me ha quedado muy claro la cantidad de ips públicas que tienes.
Te hago un grafiquillo de cómo lo entiendo.

   Ipp1
[Internet] - [Cisco] -- [  router Linux   ] 
Ipp2 / ipp3 | ipp4 \
/   |   \
   /|  \

[RED1][RED2]   [RED3]

Espero que salga bien. Entiendo que en cada red hay un equipo con una ip
pública más. Bien, si es así, yo dejaría al router Linux solamente con la ip
pública, en caso de que no vayas a prestar más servicio que el de routing.
Si quieres tener servicios tipo web, ftp, mail, etc ... puedes habilitar una
red aparte para los servicios y el resto como lo tienes pero con ips
privadas. 

Un saludete,

Iñaki R.
-Mensaje original-
De: SeB@ [mailto:[EMAIL PROTECTED] 
Enviado el: martes, 20 de abril de 2004 18:35
Para: debian-user-spanish@lists.debian.org
Asunto: Ruteo sin NAT..

Pregunta para los mas experimentados :-)


Es posible hacer un ruteo sin hacer NATeo??


la idea es la siguiente:
Tengo una conexion a internet y 16 ips
un Cisco 2600 conectado a movicon quien me provee internet, luego a este
tegno conectado una pc con linux que hace de router porque distribuye el
servicio de internet a 3 redes diferentes (esa es la idea)
Otro dato a tener en cta es que tengo ip publica en el cisco, en el
router linux(en las 4 eth) y en una de las pc de cada red conectada al
router linux.


me conviene hacer NAT y dejar de moletar??

saludos

Re: Ruteo sin NAT...

[SeB@]

Bueno, ante todo gracias por su tiempo

y paso a explicar mejor   :-)

[Internet] nota: las # son eth
 |
 |
 |
 #  (1 ip publica (1))
  [Cisco]
 #  (1 ip publica (2)) (pienso ponerle privada cuando funcione todo)
 |
 |
 #  (1 ip publica (3))  (tambien en el futuro iria una privada)
[router Linux] 
   #1   #2   #3  (cada una con una ip publica y serian el gw de 
   |\ \cada subred #1, #2, #3)
   | \ \
   |  \ \
   ## #
[SUBRED1][SUBRED2][SUBRED3]  en cada una de estas subredes 1 o 2
 ip publicas y hago nat para que puedan salir el
 resto de las pcs (con ip privada) de la red.
 algunas dee estas prestan servicio web, ftp
 mail, ssh, etc.


esta bien todo esto??? o es un delirio??  ;-)
es conveniente hacer nat en el router linux???
yo creo que si hago nat no voy a poder llegar a desde internet a los servicios
de las subredes, pero no estoy seguro.
tengo 16 ip, pero mi intencion es usar la menor cantidad de ip publicas
ya que tambien pretendo dar un pequeño servicio de internet a traves del
router linux con wireless  (cuanto que sueño)   ;-)

si me comprenden... como me recomiendan realizar esto??


gracias...

Re: Ruteo sin NAT...

[SeB@]

Bueno, ante todo gracias por su tiempo

y paso a explicar mejor   :-)

[Internet] nota: las # son eth
 |
 |
 |
 #  (1 ip publica (1))
  [Cisco]
 #  (1 ip publica (2)) (pienso ponerle privada cuando funcione todo)
 |
 |
 #  (1 ip publica (3))  (tambien en el futuro iria una privada)
[router Linux] 
   #1   #2   #3  (cada una con una ip publica y serian el gw de 
   |\ \cada subred #1, #2, #3)
   | \ \
   |  \ \
   ## #
[SUBRED1][SUBRED2][SUBRED3]  en cada una de estas subredes 1 o 2
 ip publicas y hago nat para que puedan salir el
 resto de las pcs (con ip privada) de la red.
 algunas dee estas prestan servicio web, ftp
 mail, etc.


esta bien todo esto??? o es un delirio??  ;-)
es conveniente hacer nat en el router linux???
tengo 16 ip, pero mi intencion es usar la menor cantidad de ip publicas
ya que tambien pretendo dar un pequeño servicio de internet a traves del
router linux con wireless  (cuanto que sueño)   ;-)

si me comprenden... como me recomiendan realizar esto??


gracias...