Re: Ruteo sin NAT... SOLUCIONADO !!!!
Gracias a todos por su ayuda!!! ya tengo todo funcionando no 100% pero funciona !!! tambien solucione el problema en el cisco!! bien, ahora voy con la pregunta :-) tengo todo configurado como dice el mail de abajo, el problema que tengo es que no puedo llegar a la red 10.0.0.0/8 desde los host conectados al linux. Es decir, no puedo hacer un ping desde 200.68.245.246 a la 10.0.0.5 porque? pero si llego a la 10.0.0.2 y a la 10.0.0.1. bueno... por ahora ese es mi karma :-) saludos a todos! El vie, 23-04-2004 a las 18:16, nmag only escribió: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hola, Establezca la red entre el Cisco y el Router gnu/linux como 10.0.0.0/8 en vez de 10.0.0.0/29 (tiene que cambiarlo en ambos) Esto es lo que debería tener: |internet| . | . # IP WAN .(cisco) . # 10.0.0.1 . | . | [10.0.0.0/8] . | . # 10.0.0.2 (==Router gnu/linux==) .# 200.68.245.253 # 200.68.245.245 # 200.68.245.249 .| | | .| [200.68.245.252/30] | [200.68.245.244/30] | [200.68.245.248/30] .| | | .# 200.68.245.254 # 200.68.245.246 # 200.68.245.250 Ahora, el Router gnu/linux llega a 10.0.0.1 y también a 200.68.245.254, 200.68.245.246 y 200.68.245.250 Primero revisar si ip forwarding está habilitado (ya me dijo en otro correo que si pero confirmelo) ahora revisar la política del canal FORWARD del Router gnu/linux pruebe poniéndolo en ACCEPT, ya cuando logre la conectividad puede poner sus reglas de filtrado por ahora: iptables -P FORWARD ACCEPT Ahora revisar la configuración de los host que están conectados al Router gnu/linux por eth(1|2|3) el host 200.68.245.254 deberá tener al menos algo como: host_1:~# ip route show 200.68.245.252/30 dev eth0 proto kernel scope link src 200.68.245.254 default via 200.68.245.253 dev eth0 el host 200.68.245.246 deberá tener al menos algo como: host_2:~# ip route show 200.68.245.244/30 dev eth0 proto kernel scope link src 200.68.245.246 default via 200.68.245.245 dev eth0 el host 200.68.245.250 deberá tener al menos algo como: host_3:~# ip route show 200.68.245.248/30 dev eth0 proto kernel scope link src 200.68.245.250 default via 200.68.245.249 dev eth0 Si su configuración es así, y los hosts no llegan a la red 10.0.0.0/8, osea no hacen ping al 10.0.0.2 del Router gnu/linux y no hacen ping al 10.0.0.1 del cisco entonces tendrá que agregar una ruta estática por cada host indicándoles por cual dispositivo encontrará la red 10.0.0.0/8, por ejemplo: host_1:~# ip route add 10.0.0.0/8 via 200.68.245.253 dev eth0 host_2:~# ip route add 10.0.0.0/8 via 200.68.245.245 dev eth0 host_3:~# ip route add 10.0.0.0/8 via 200.68.245.249 dev eth0 Y haga la prueba... Saludos! nmag only SeB@ wrote: | aqui envio las rutas y direcciones de las eth: | | premier:~# ip route show | 200.68.245.248/30 dev eth3 proto kernel scope link src 200.68.245.249 | 200.68.245.252/30 dev eth1 proto kernel scope link src 200.68.245.253 | 200.68.245.244/30 dev eth2 proto kernel scope link src 200.68.245.245 | 10.0.0.0/29 dev eth0 proto kernel scope link src 10.0.0.2 | default via 10.0.0.1 dev eth0 | | | premier:~# ip addr show | 1: lo: LOOPBACK,UP mtu 16436 qdisc noqueue | link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 | inet 127.0.0.1/8 scope host lo | 2: teql0: NOARP mtu 1500 qdisc noop qlen 100 | link/void | 3: eth0: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100 | link/ether 00:60:08:6d:76:44 brd ff:ff:ff:ff:ff:ff | inet 10.0.0.2/29 brd 10.0.0.7 scope global eth0 | 4: eth1: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100 | link/ether 00:a0:24:da:d5:de brd ff:ff:ff:ff:ff:ff | inet 200.68.245.253/30 brd 200.68.245.255 scope global eth1 | 5: eth2: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100 | link/ether 00:04:75:c9:4b:87 brd ff:ff:ff:ff:ff:ff | inet 200.68.245.245/30 brd 200.68.245.247 scope global eth2 | 6: eth3: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100 | link/ether 00:04:75:c9:4c:22 brd ff:ff:ff:ff:ff:ff | inet 200.68.245.249/30 brd 200.68.245.251 scope global eth3 | premier:~# | | | y las pruebas que me pedias: | ping desde el router linux hacia el cisco, y a los otros host funciona. | ping desde cualquier host conectado a eth1/3 hasta el router linux, que | seria el gw, si tiene ping. Pero cuando hago ping hacia la 10.0.0.1 ya | no tengo ping. :-( | | | espero haberme explicado | | y... gracias nuevamente !! | | | El jue, 22-04-2004 a las 17:20, nmag only escribió: | | Le recomiendo que use iproute 2, si no lo tiene, instálelo | | apt-get install iproute | | ejecute: | | ~ ip route show | | y | | ~ ip addr show | | y envía los resultados de ambos comandos
Re: Ruteo sin NAT...
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hola, Establezca la red entre el Cisco y el Router gnu/linux como 10.0.0.0/8 en vez de 10.0.0.0/29 (tiene que cambiarlo en ambos) Esto es lo que debería tener: |internet| . | . # IP WAN .(cisco) . # 10.0.0.1 . | . | [10.0.0.0/8] . | . # 10.0.0.2 (==Router gnu/linux==) .# 200.68.245.253 # 200.68.245.245 # 200.68.245.249 .| | | .| [200.68.245.252/30] | [200.68.245.244/30] | [200.68.245.248/30] .| | | .# 200.68.245.254 # 200.68.245.246 # 200.68.245.250 Ahora, el Router gnu/linux llega a 10.0.0.1 y también a 200.68.245.254, 200.68.245.246 y 200.68.245.250 Primero revisar si ip forwarding está habilitado (ya me dijo en otro correo que si pero confirmelo) ahora revisar la política del canal FORWARD del Router gnu/linux pruebe poniéndolo en ACCEPT, ya cuando logre la conectividad puede poner sus reglas de filtrado por ahora: iptables -P FORWARD ACCEPT Ahora revisar la configuración de los host que están conectados al Router gnu/linux por eth(1|2|3) el host 200.68.245.254 deberá tener al menos algo como: host_1:~# ip route show 200.68.245.252/30 dev eth0 proto kernel scope link src 200.68.245.254 default via 200.68.245.253 dev eth0 el host 200.68.245.246 deberá tener al menos algo como: host_2:~# ip route show 200.68.245.244/30 dev eth0 proto kernel scope link src 200.68.245.246 default via 200.68.245.245 dev eth0 el host 200.68.245.250 deberá tener al menos algo como: host_3:~# ip route show 200.68.245.248/30 dev eth0 proto kernel scope link src 200.68.245.250 default via 200.68.245.249 dev eth0 Si su configuración es así, y los hosts no llegan a la red 10.0.0.0/8, osea no hacen ping al 10.0.0.2 del Router gnu/linux y no hacen ping al 10.0.0.1 del cisco entonces tendrá que agregar una ruta estática por cada host indicándoles por cual dispositivo encontrará la red 10.0.0.0/8, por ejemplo: host_1:~# ip route add 10.0.0.0/8 via 200.68.245.253 dev eth0 host_2:~# ip route add 10.0.0.0/8 via 200.68.245.245 dev eth0 host_3:~# ip route add 10.0.0.0/8 via 200.68.245.249 dev eth0 Y haga la prueba... Saludos! nmag only SeB@ wrote: | aqui envio las rutas y direcciones de las eth: | | premier:~# ip route show | 200.68.245.248/30 dev eth3 proto kernel scope link src 200.68.245.249 | 200.68.245.252/30 dev eth1 proto kernel scope link src 200.68.245.253 | 200.68.245.244/30 dev eth2 proto kernel scope link src 200.68.245.245 | 10.0.0.0/29 dev eth0 proto kernel scope link src 10.0.0.2 | default via 10.0.0.1 dev eth0 | | | premier:~# ip addr show | 1: lo: LOOPBACK,UP mtu 16436 qdisc noqueue | link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 | inet 127.0.0.1/8 scope host lo | 2: teql0: NOARP mtu 1500 qdisc noop qlen 100 | link/void | 3: eth0: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100 | link/ether 00:60:08:6d:76:44 brd ff:ff:ff:ff:ff:ff | inet 10.0.0.2/29 brd 10.0.0.7 scope global eth0 | 4: eth1: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100 | link/ether 00:a0:24:da:d5:de brd ff:ff:ff:ff:ff:ff | inet 200.68.245.253/30 brd 200.68.245.255 scope global eth1 | 5: eth2: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100 | link/ether 00:04:75:c9:4b:87 brd ff:ff:ff:ff:ff:ff | inet 200.68.245.245/30 brd 200.68.245.247 scope global eth2 | 6: eth3: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 100 | link/ether 00:04:75:c9:4c:22 brd ff:ff:ff:ff:ff:ff | inet 200.68.245.249/30 brd 200.68.245.251 scope global eth3 | premier:~# | | | y las pruebas que me pedias: | ping desde el router linux hacia el cisco, y a los otros host funciona. | ping desde cualquier host conectado a eth1/3 hasta el router linux, que | seria el gw, si tiene ping. Pero cuando hago ping hacia la 10.0.0.1 ya | no tengo ping. :-( | | | espero haberme explicado | | y... gracias nuevamente !! | | | El jue, 22-04-2004 a las 17:20, nmag only escribió: | | Le recomiendo que use iproute 2, si no lo tiene, instálelo | | apt-get install iproute | | ejecute: | | ~ ip route show | | y | | ~ ip addr show | | y envía los resultados de ambos comandos para poder ayudarle... | | El truco esta con jugar con las rutas estáticas... | | Por ahora haga la prueba siguiente (mientras envía los datos que le da | ip route)... | | Desde el router linux compruebe que recibe respuesta ping del cisco | (10.0.0.1) y compruebe que puede hacer ping a los nodos que estan | conectados a eth3 (200.68.245.248), eth2 (200.68.245.252) y eth1 | (200.68.245.244) osea .249, .253 y .245, si la respuesta de los ping de | estos nodos es adecuada entonces haga una prueba adicional más, esta vez | ya no desde el router linux, sino desde uno de los equipos que se | conectan directamente a eth1, eth2 o eth3, por ejemplo podría ser el | equipo que tiene el ip 200.68.245.245,
Re: Ruteo sin NAT...
Excelentes sus respuestas, ya me aclararon mucho el panorama... GRACIAS a todos! pero tengo algun otro problemita ya que no me rutea:-( ya elimine el NAT del router linux, tengo el iptables limpio y la que sigue es la tabla de rutas: Destination Gateway Genmask Flags Metric RefUse Iface 200.68.245.248 0.0.0.0 255.255.255.252 U 0 00 eth3 200.68.245.252 0.0.0.0 255.255.255.252 U 0 00 eth1 200.68.245.244 0.0.0.0 255.255.255.252 U 0 00 eth2 10.0.0.00.0.0.0 255.255.255.248 U 0 00 eth0 0.0.0.0 10.0.0.1 0.0.0.0 UG0 00 eth0 y tengo el ipfordwarding activado que deberia modificar??? saludos! El mié, 21-04-2004 a las 18:00, nmag only escribió: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 SeB@ wrote: | Bueno, ante todo gracias por su tiempo | | y paso a explicar mejor :-) | | [Internet] nota: las # son eth | | | | | | | # (1 ip publica (1)) | [Cisco] | # (1 ip publica (2)) (pienso ponerle privada cuando funcione todo) | | | | | # (1 ip publica (3)) (tambien en el futuro iria una privada) | [router Linux] |#1 #2 #3 (cada una con una ip publica y serian el gw de ||\ \cada subred #1, #2, #3) || \ \ || \ \ |## # | [SUBRED1][SUBRED2][SUBRED3] en cada una de estas subredes 1 o 2 | ip publicas y hago nat para que puedan salir el | resto de las pcs (con ip privada) de la red. | algunas dee estas prestan servicio web, ftp | mail, etc. | | | esta bien todo esto??? o es un delirio?? ;-) La idea está bien, y no es un deliro... lo que tiene que tener en claro es: |internet| . | . # (ip que pertenece al sistema autónomo del proveedor) .(cisco) -- RUTA ESTÁTICA PARA ENCONTRAR LA RED PUBLICA A TRAVÉS DE LA . # (acá debe poner un IP privado)PRIVADA . | [se convierte en una red privada] . # (otro IP privado) (router gnu/linux) -- SIN NAT, CON DEFAULT GATEWAY EL IP PRIVADO CISCO . # # # # (cuatro subredes /30 que salen de la subred /28 de ips . | | | | públicos que su proveedor le ha asignado) . | | | | [las cuatro subredes /30] . # # # # (estas cuatro interfaces pertenecen a 4 servidores) (servidores) -- SE PUEDEN PONER SERVICIOS CON IPS PÚBLICOS FIJOS Y SI .REQUIERE DAR INTERNET A OTROS EQUIPOS AQUÍ SI IRÍA NAT Si se da cuenta una subred /30 le da 4 ips uno de red otro broadcast y justo le quedan 2 ips públicos fijos disponibles por los 4 tiene los 16 ips públicos asignados por su proveedor, y le quedarían justitos... Ahora las interfaces de cara a su red del (router linux) tendrían un ip público fijo y los servidores también y en ellos podría montar servicios... y si su lan se extiende, ahí si tendrían que usar NAT pero sería a través de los 4 servidores finales... Lo que hay que considerar es en cambiar la configuración del (cisco) para que la interfaz que mira hacia su lan tenga configurada una red privada (en vez de la subred pública /28 que le asigno su proveedor) y adicionar una ruta estática para que sepa que esa subred /28 de ips públicos fijos asignados por su proveedor se encuentra ahora a través de esa red privada y obvio que el router linux distinguirá las subredes /30 definidas en él... Ahora un ejemplo con números, supongamos su ip wan (el del sistema autónomo es 216.10.234.21) y le han asignado la subred 216.12.30.128/28 primero hagamos subredes /30 de sus ips disponibles... 216.12.30.128/30 (red .128, brd .131, ips disponibles .129 y .130) 216.12.30.132/30 (red .132, brd .135, ips disponibles .133 y .134) 216.12.30.136/30 (red .136, brd .139, ips disponibles .137 y .138) 216.12.30.140/30 (red .140, brd .143, ips disponibles .141 y .142) Y tenemos todo dividido y listo para implementar, no nos olvidemos de nuestra red privada, que sea un 10.0.0.0/29 puede ser... ahora como queda nuestro esquema con número y no palabras :)) |internet| . | . # 216.10.234.21 .(cisco) . # 10.0.0.1 . | . # 10.0.0.2 (==Router gnu/linux=) .# 216.12.30.129 # 216.12.30.133 # 216.12.30.137 # 216.12.30.141 .| | | | .| | | | .# 216.12.30.130 # 216.12.30.134 # 216.12.30.138 # 216.12.30.142 (servidor) (servidor)(servidor)(servidor) . ^http ^correo ^NAT1 ^NAT2 Supongo que ahora queda un poco mas claro Saludos! - -- nmag only gnupg 0xA024A03F [pgp.mit.edu] GNU/Linux Registered User #312624 -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) Comment: Using
Re: Ruteo sin NAT...
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le recomiendo que use iproute 2, si no lo tiene, instálelo apt-get install iproute ejecute: ~ ip route show y ~ ip addr show y envía los resultados de ambos comandos para poder ayudarle... El truco esta con jugar con las rutas estáticas... Por ahora haga la prueba siguiente (mientras envía los datos que le da ip route)... Desde el router linux compruebe que recibe respuesta ping del cisco (10.0.0.1) y compruebe que puede hacer ping a los nodos que estan conectados a eth3 (200.68.245.248), eth2 (200.68.245.252) y eth1 (200.68.245.244) osea .249, .253 y .245, si la respuesta de los ping de estos nodos es adecuada entonces haga una prueba adicional más, esta vez ya no desde el router linux, sino desde uno de los equipos que se conectan directamente a eth1, eth2 o eth3, por ejemplo podría ser el equipo que tiene el ip 200.68.245.245, desde dicho equipo hacer ping a su punto adyacente en eth1 del router linux osea hacerle un ping a 200.68.245.244, si la respuesta es correcta, entonces hacer otro ping pero esta vez al ip del al interfaz eth0 del router linux que en este caso debería ser 10.0.0.2, si también responde entonces el router linux estaría trabajando perfectamente... el problema podría ser el cisco. En el router cisco** tiene que tener habilitado ip routing y al menos una ruta estática la cual debe señalar que puede encontrar al red 200.68.245.240/28 vía 10.0.0.2 (que es el IP del router linux) Adicionalemente tiene que tener en cuenta que si tiene otros equipos detrás de los equipos que tienen los IP públicos fijos deberá adicionar rutas estáticas por cada red en el router linux, por ejemplo un servidor que hace NAT en 200.68.245.253 que evidetemente es el equipo que está conectado al eth1 del router linux y detrás de el hay una red 192.168.1.0/24, entonces el router linux tendrá que tener una ruta estática ip route add 192.168.1.0/24 via 200.68.245.253 dev eth1 Esa línea de ip route 2 es bien sugerente, le dice al router linux que la red 192.168.1.0/24 se encontrará a través del equipo con IP 200.68.245.253 que esta conectado a la interfaz eth1 Es ese esquema es exactamente el mismo que debe seguir el cisco** para encontrar la red 200.68.245.240/28 a través del ip 10.0.0.2 que es el del router linux. Saludos! nmag only SeB@ wrote: | Excelentes sus respuestas, ya me aclararon mucho el panorama... | GRACIAS a todos! | | | pero tengo algun otro problemita ya que no me rutea:-( | ya elimine el NAT del router linux, tengo el iptables limpio | y la que sigue es la tabla de rutas: | | Destination Gateway Genmask Flags Metric RefUse Iface | 200.68.245.248 0.0.0.0 255.255.255.252 U 0 00 eth3 | 200.68.245.252 0.0.0.0 255.255.255.252 U 0 00 eth1 | 200.68.245.244 0.0.0.0 255.255.255.252 U 0 00 eth2 | 10.0.0.00.0.0.0 255.255.255.248 U 0 00 eth0 | 0.0.0.0 10.0.0.1 0.0.0.0 UG0 00 eth0 | | y tengo el ipfordwarding activado | | que deberia modificar??? | | | | | | saludos! | | | | El mié, 21-04-2004 a las 18:00, nmag only escribió: | | SeB@ wrote: | | Bueno, ante todo gracias por su tiempo | | | | y paso a explicar mejor :-) | | | | [Internet] nota: las # son eth | | | | | | | | | | | # (1 ip publica (1)) | | [Cisco] | | # (1 ip publica (2)) (pienso ponerle privada cuando funcione todo) | | | | | | | | # (1 ip publica (3)) (tambien en el futuro iria una privada) | | [router Linux] | |#1 #2 #3 (cada una con una ip publica y serian el gw de | ||\ \cada subred #1, #2, #3) | || \ \ | || \ \ | |## # | | [SUBRED1][SUBRED2][SUBRED3] en cada una de estas subredes 1 o 2 | | ip publicas y hago nat para que puedan salir el | | resto de las pcs (con ip privada) de la red. | | algunas dee estas prestan servicio web, ftp | | mail, etc. | | | | | | esta bien todo esto??? o es un delirio?? ;-) | | La idea está bien, y no es un deliro... | | lo que tiene que tener en claro es: | | |internet| | . | | . # (ip que pertenece al sistema autónomo del proveedor) | .(cisco) -- RUTA ESTÁTICA PARA ENCONTRAR LA RED PUBLICA A TRAVÉS DE LA | . # (acá debe poner un IP privado)PRIVADA | . | [se convierte en una red privada] | . # (otro IP privado) | (router gnu/linux) -- SIN NAT, CON DEFAULT GATEWAY EL IP PRIVADO CISCO | . # # # # (cuatro subredes /30 que salen de la subred /28 de ips | . | | | | públicos que su proveedor le ha asignado) | . | | | | [las cuatro subredes /30] | . # # # # (estas cuatro interfaces pertenecen a 4 servidores) | (servidores) -- SE PUEDEN PONER SERVICIOS CON IPS PÚBLICOS FIJOS Y SI | .REQUIERE DAR INTERNET A
Re: Ruteo sin NAT...
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 SeB@ wrote: | Bueno, ante todo gracias por su tiempo | | y paso a explicar mejor :-) | | [Internet] nota: las # son eth | | | | | | | # (1 ip publica (1)) | [Cisco] | # (1 ip publica (2)) (pienso ponerle privada cuando funcione todo) | | | | | # (1 ip publica (3)) (tambien en el futuro iria una privada) | [router Linux] |#1 #2 #3 (cada una con una ip publica y serian el gw de ||\ \cada subred #1, #2, #3) || \ \ || \ \ |## # | [SUBRED1][SUBRED2][SUBRED3] en cada una de estas subredes 1 o 2 | ip publicas y hago nat para que puedan salir el | resto de las pcs (con ip privada) de la red. | algunas dee estas prestan servicio web, ftp | mail, etc. | | | esta bien todo esto??? o es un delirio?? ;-) La idea está bien, y no es un deliro... lo que tiene que tener en claro es: |internet| . | . # (ip que pertenece al sistema autónomo del proveedor) .(cisco) -- RUTA ESTÁTICA PARA ENCONTRAR LA RED PUBLICA A TRAVÉS DE LA . # (acá debe poner un IP privado)PRIVADA . | [se convierte en una red privada] . # (otro IP privado) (router gnu/linux) -- SIN NAT, CON DEFAULT GATEWAY EL IP PRIVADO CISCO . # # # # (cuatro subredes /30 que salen de la subred /28 de ips . | | | | públicos que su proveedor le ha asignado) . | | | | [las cuatro subredes /30] . # # # # (estas cuatro interfaces pertenecen a 4 servidores) (servidores) -- SE PUEDEN PONER SERVICIOS CON IPS PÚBLICOS FIJOS Y SI .REQUIERE DAR INTERNET A OTROS EQUIPOS AQUÍ SI IRÍA NAT Si se da cuenta una subred /30 le da 4 ips uno de red otro broadcast y justo le quedan 2 ips públicos fijos disponibles por los 4 tiene los 16 ips públicos asignados por su proveedor, y le quedarían justitos... Ahora las interfaces de cara a su red del (router linux) tendrían un ip público fijo y los servidores también y en ellos podría montar servicios... y si su lan se extiende, ahí si tendrían que usar NAT pero sería a través de los 4 servidores finales... Lo que hay que considerar es en cambiar la configuración del (cisco) para que la interfaz que mira hacia su lan tenga configurada una red privada (en vez de la subred pública /28 que le asigno su proveedor) y adicionar una ruta estática para que sepa que esa subred /28 de ips públicos fijos asignados por su proveedor se encuentra ahora a través de esa red privada y obvio que el router linux distinguirá las subredes /30 definidas en él... Ahora un ejemplo con números, supongamos su ip wan (el del sistema autónomo es 216.10.234.21) y le han asignado la subred 216.12.30.128/28 primero hagamos subredes /30 de sus ips disponibles... 216.12.30.128/30 (red .128, brd .131, ips disponibles .129 y .130) 216.12.30.132/30 (red .132, brd .135, ips disponibles .133 y .134) 216.12.30.136/30 (red .136, brd .139, ips disponibles .137 y .138) 216.12.30.140/30 (red .140, brd .143, ips disponibles .141 y .142) Y tenemos todo dividido y listo para implementar, no nos olvidemos de nuestra red privada, que sea un 10.0.0.0/29 puede ser... ahora como queda nuestro esquema con número y no palabras :)) |internet| . | . # 216.10.234.21 .(cisco) . # 10.0.0.1 . | . # 10.0.0.2 (==Router gnu/linux=) .# 216.12.30.129 # 216.12.30.133 # 216.12.30.137 # 216.12.30.141 .| | | | .| | | | .# 216.12.30.130 # 216.12.30.134 # 216.12.30.138 # 216.12.30.142 (servidor) (servidor)(servidor)(servidor) . ^http ^correo ^NAT1 ^NAT2 Supongo que ahora queda un poco mas claro Saludos! - -- nmag only gnupg 0xA024A03F [pgp.mit.edu] GNU/Linux Registered User #312624 -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFAhuDWy3Ce2qAkoD8RAjVUAJ4j5lwL/QqrQ6t6IIHPFWZrBZ3IKwCfQKhl ms3qL+WcjKcA8mC469/NVOI= =UiGl -END PGP SIGNATURE-
Re: Ruteo sin NAT..
On Tue, Apr 20, 2004 at 01:34:59PM -0300, SeB@ wrote: Pregunta para los mas experimentados :-) Es posible hacer un ruteo sin hacer NATeo?? la idea es la siguiente: Tengo una conexion a internet y 16 ips un Cisco 2600 conectado a movicon quien me provee internet, luego a este tegno conectado una pc con linux que hace de router porque distribuye el servicio de internet a 3 redes diferentes (esa es la idea) Otro dato a tener en cta es que tengo ip publica en el cisco, en el router linux(en las 4 eth) y en una de las pc de cada red conectada al router linux. ¿Pero una sola IP por cada red, o un juego de IPs (subnet) para cada red? Porque si vos tenés una sola IP para cada red, si o si tenés que NATear, provisto que en cada segmento tengas mas de una máquina. Suponete que sean 200.192.141.2, 3, 4 y 5 las IPs que te da movi. Vos en cada una conectás un segmento de LAN 192.168.1.0/24, .2.0/24, .3.0/24 y hacés NAT en el router para que las PCs de cada uno de los segmentos sean vistas desde afuera como una sola (la que NATeás). Ninguna de las máquinas de los segmentos internos de la red necesitan IP pública, y en rigor no deberían tenerla. Para eso son las direcciones reservadas a redes privadas. Tampoco necesitás mas de una IP pública para hacer NAT/MASQUERADE de múltimples LANes (o segmentos LAN) ya que el router se va a encargar de que no se mezclen los tantos. Ahora si en cada segmento tenés solo una máquina, entonces no hace falta NATear, ya que te alcanzan las IPs. En general, si tenés más máquinas que IPs, tenés que hacer NAT. También: vos podés usar una solución intermedia, o sea, hacer una zona demilitarizada (DMZ) entre tu proveedor y tu router/NAT. Esto te permite usar todas tus direcciones públicas en máquinas conectadas en la DMZ para dar servicios hacia internet, y no malgastar las IPs públicas en los segmentos de LAN que típicamente son clientes de inet y no servidores de inet. Las combinaciones entre DMZ, NAT y MASQUERADE (esto no es mas que un caso especial de NAT) son ilimitadas. me conviene hacer NAT y dejar de moletar?? Respuesta corta: IMHO sí. saludos Salute. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Fernando M. Maresca Cel: (54) 221 15 502 3938 Cel: 0221-15-502-3938
RE: Ruteo sin NAT..
Buenas, no me ha quedado muy claro la cantidad de ips públicas que tienes. Te hago un grafiquillo de cómo lo entiendo. Ipp1 [Internet] - [Cisco] -- [ router Linux ] Ipp2 / ipp3 | ipp4 \ / | \ /| \ [RED1][RED2] [RED3] Espero que salga bien. Entiendo que en cada red hay un equipo con una ip pública más. Bien, si es así, yo dejaría al router Linux solamente con la ip pública, en caso de que no vayas a prestar más servicio que el de routing. Si quieres tener servicios tipo web, ftp, mail, etc ... puedes habilitar una red aparte para los servicios y el resto como lo tienes pero con ips privadas. Un saludete, Iñaki R. -Mensaje original- De: SeB@ [mailto:[EMAIL PROTECTED] Enviado el: martes, 20 de abril de 2004 18:35 Para: debian-user-spanish@lists.debian.org Asunto: Ruteo sin NAT.. Pregunta para los mas experimentados :-) Es posible hacer un ruteo sin hacer NATeo?? la idea es la siguiente: Tengo una conexion a internet y 16 ips un Cisco 2600 conectado a movicon quien me provee internet, luego a este tegno conectado una pc con linux que hace de router porque distribuye el servicio de internet a 3 redes diferentes (esa es la idea) Otro dato a tener en cta es que tengo ip publica en el cisco, en el router linux(en las 4 eth) y en una de las pc de cada red conectada al router linux. me conviene hacer NAT y dejar de moletar?? saludos
Re: Ruteo sin NAT...
Bueno, ante todo gracias por su tiempo y paso a explicar mejor :-) [Internet] nota: las # son eth | | | # (1 ip publica (1)) [Cisco] # (1 ip publica (2)) (pienso ponerle privada cuando funcione todo) | | # (1 ip publica (3)) (tambien en el futuro iria una privada) [router Linux] #1 #2 #3 (cada una con una ip publica y serian el gw de |\ \cada subred #1, #2, #3) | \ \ | \ \ ## # [SUBRED1][SUBRED2][SUBRED3] en cada una de estas subredes 1 o 2 ip publicas y hago nat para que puedan salir el resto de las pcs (con ip privada) de la red. algunas dee estas prestan servicio web, ftp mail, ssh, etc. esta bien todo esto??? o es un delirio?? ;-) es conveniente hacer nat en el router linux??? yo creo que si hago nat no voy a poder llegar a desde internet a los servicios de las subredes, pero no estoy seguro. tengo 16 ip, pero mi intencion es usar la menor cantidad de ip publicas ya que tambien pretendo dar un pequeño servicio de internet a traves del router linux con wireless (cuanto que sueño) ;-) si me comprenden... como me recomiendan realizar esto?? gracias...
Re: Ruteo sin NAT...
Bueno, ante todo gracias por su tiempo y paso a explicar mejor :-) [Internet] nota: las # son eth | | | # (1 ip publica (1)) [Cisco] # (1 ip publica (2)) (pienso ponerle privada cuando funcione todo) | | # (1 ip publica (3)) (tambien en el futuro iria una privada) [router Linux] #1 #2 #3 (cada una con una ip publica y serian el gw de |\ \cada subred #1, #2, #3) | \ \ | \ \ ## # [SUBRED1][SUBRED2][SUBRED3] en cada una de estas subredes 1 o 2 ip publicas y hago nat para que puedan salir el resto de las pcs (con ip privada) de la red. algunas dee estas prestan servicio web, ftp mail, etc. esta bien todo esto??? o es un delirio?? ;-) es conveniente hacer nat en el router linux??? tengo 16 ip, pero mi intencion es usar la menor cantidad de ip publicas ya que tambien pretendo dar un pequeño servicio de internet a traves del router linux con wireless (cuanto que sueño) ;-) si me comprenden... como me recomiendan realizar esto?? gracias...