Re: [rlug] routing :: NAT non gateway
On 12/13/2016 07:25 PM, Adrian Sevcenco wrote: On 12/13/2016 07:05 PM, alex alex wrote: Salut, Salut! Push route functioneza cind un client se conecteaza la un server openvpn. Aici se conecteaza doua servere openvpn. Clientii din lan ai lui Adrian nu stiu sa intoarca pachetele catre o retea necunoscuta pentru ei, asa ca arunca pachetele la def. gateway. care le dropeaza, gateway-ul probabil nestiind nici el de retaua respectiva. Deci fie ruta de intoarcere specifica pentru lan-ul remote pe statii, fie NAT (caz in care calculatoarele replica catre ip-ul gateway-ului openvpn, din moment ce sursa vine dinspe acesta) mda, make sense! acum imi dau seama ca singura solutie e NAT pe serverul openvpn remote (sau solutia de haproxy data de Iulian) dar mai intii incerc cu NAT :) Salut! Am incercat sa fac NAT dar imi scapa ceva (cel mai probabil intoarcerea de la clienti la sursa) situatia e asha : 192.168.1.100 - acasa 10.1.1.2 - acasa tun10 10.1.1.1 - office tun10 172.20.0.200 - office privat am ping de la 192.168.1.100 la 172.20.0.200 si invers scopul e sa am ping de la 192.168.1.100 la oricare altele din 172.20.0/24 am in iptables urmatoarele : *nat -A POSTROUTING -s 192.168.1.0/24 -d 172.20.0.0/24,10.10.8.0/22 -j MASQUERADE *filter -A FORWARD -p icmp -j ACCEPT -A FORWARD -i tun10 -j ACCEPT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,SNAT,DNAT -j ACCEPT -A FORWARD -s 192.168.1.0/24 -d 172.20.0.0/24,10.10.8.0/22 -m conntrack --ctstate NEW -j ACCEPT Nu imi dau seama ce anume lipseste ... Multumesc frumos! Adrian Multumesc! Adrian 2016-12-12 17:09 GMT+02:00 manuel "lonely wolf" wolfshant : On 12/12/2016 03:57 PM, Mihai Badici wrote: Poti sa pui ruta inversa cu "push route": push "route 10.10.0.0 255.255.0.0" in configul de server. Cred ca merge si in acel fisier in care ai pus iroute. ( exemplele mele nu sunt consistente, sunt din configuri diferite) config functional de ani de zile in curtea mea: push "route 192.168.10.201 255.255.255.255" push "route 192.168.5.1 255.255.255.255" push "route 192.168.5.24 255.255.255.255" push "route 192.168.5.29 255.255.255.255" push "dhcp-option DNS 192.168.10.11" ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug -- -- Adrian Sevcenco, Ph.D. | Institute of Space Science - ISS, Romania| adrian.sevcenco at {cern.ch,spacescience.ro} | -- ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Întrebare newbie: conectare redundantă la Internet cu BGP
În 2016-12-22 11:16, manuel "lonely wolf" wolfshant a scris: > On 12/22/2016 08:49 AM, Iulian Murgulet wrote: >> În 2016-12-21 19:01, manuel "lonely wolf" wolfshant a scris: >>> si pe linux tot in max 10 min se face. doar ca in loc sa dai >>> click-click >>> in interfata mikrotikului, dai citeva comenzi in interfata zebrei. >>> pardon, a lui quagga. been there, done that. >> NU se face in 10 minute cand faci pentru prima data. > daca nu citesti inainte, nu se face. cu un tutorial sau instructor bun, > se face in 2 minute. Am zis 10 ca sa fie si timp de citit > > > >> Eu la cazul >> asta m-am referit. Iar tutorialele >> despre subiect(care sunt pt linux) sunt infioratoare(lipsesc cazuri >> simple, dar abunda cele f. complicate). > Oi fi eu mai norocos. ... sau sunt eu ghinionist ;) > > >>Daca ai noroc gasesti ceva protrivit pt cineva care incerca sa faca >> pt >> prima data. Si explicatiile sunt subtirele. De regula, cand vreau sa >> fac >> ceva nou in OSPF(ce n-am mai facut), intai caut >> pt mikrotik, pt ca de regula au exemple mai bune(si destul de simple >> ca >> sa intelegi) si sunt mai bine explicate. >> Apoi incep sa caut ceva echivalent pt linux. Mi-a crescut barba, pana >> de >> exemplu am gasit cum se face o ruta de tip null(ospf) in linux ! > adica ceva de genul ip ro a unreachable 172.16.0.0/12 ? da > > >> >>> wolfy >>> >>> PS: linux stie de ani buni de ip route add default via ISP1 metric >>> $METRIC1 via ISP2 metric $METRIC2. >> Posibil. Acu cativa ani la mine pe debian(un 6.x) nu a mers. > root@naoufel-b:~# cat /etc/debian_version > 6.0.2 > root@naoufel-b:~# ip r replace default via 192.168.6.1 metric 1 via > 192.168.6.2 metric 100 > root@naoufel-b:~# ip r l > 192.168.6.0/24 dev eth0 proto kernel scope link src 192.168.6.25 > default via 192.168.6.1 dev eth0 > default via 192.168.6.2 dev eth0 metric 100 > frumos ...! > > > FWIW: eu cu mikrotikul dintr-un sediu din afara tarii am avut probleme. > Nu a fost stabil decit dupa al 3lea upgrade de firmware. Si inca se mai > blocheaza din cind in cind. > Ce model e? Am in productie in mai multe locatii pe la 40-50 de bucati - pe la diversi clienti (unii lucreaza in foc continuu, 24h/24h, doar la Craciun/Paste, si de Anul nou nu se lucreaza acolo), la mine acasa, si inca pe la diversi prieteni,rude. In total, cred ca mi-au trecut prin mana cam in jur de 100. Singurele situatii vazute de mine cand o iau pe aratura este daca ai probleme pe partea de curent electric. Daca le pui pe un UPS cu AVR, nu ai treaba. Eu mai fac un lucru din cand in cand. Salvez configuratia, le fac un reset hardware, apoi le fac upgrade la ultima versiune, si incarc configuratia salvata la final. Poate am eu mana mai buna la ele cand le cumpar ;) > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug ATENTIONARI = - nu trimiteti date personale (CNP, copii dupa acte de identitate etc). O lista completa cu reguli de utilizare exista la: http://gw.casbv.ro/forum_smf/index.php?topic=2000.msg3106#msg3106 C.A.S.J. Brasov - B-dul Mihail Kogalniceanu, nr. 11,Brasov [web-site]: http://www.casbv.ro [forum]: http://gw.casbv.ro/forum_smf/index.php == ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Întrebare newbie: conectare redundantă la Internet cu BGP
La 22.12.2016 12:10, Abibula Aygun a scris: > Inteleg ! > Pe serverul ala tineti diverse proiecte > Ca sa nu mai zic ca probabil serverul ala e ALL IN ONE , server de fisiere , > ftp , cine stie ce evidente sau softuri de facturari la care au acces remote > , etc , etc. Nu, nu-i chiar așa, și nu-i vorba despre compania aceea :) Serverele-s specializate. Dar ca să poți face, de exemplu, raportări, fără să încarci mașina de producție, trebuie să muți, din când în când, content-ul în alte părți ale LAN-ului. Și ce te faci dacă își aduce aminte vreunul că vrea raportări cu date nu mai vechi de 5 s? ;-) Răzvan ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Întrebare newbie: conectare redundantă la Internet cu BGP
Inteleg ! Pe serverul ala tineti diverse proiecte , design mobilier , alea trebuie preluate si trimise la masina CNC , prelucrate cat mairapid in AutoCAD dupa necesitatile clientului , salvate iar acolo ... O adevarata incurcatura de mate . Ca sa nu mai zic ca probabil serverul ala e ALL IN ONE , server de fisiere , ftp , cine stie ce evidente sau softuri de facturari la care au acces remote , etc , etc. 2016-12-22 11:43 GMT+02:00 Răzvan Sandu : > Vă mulțumesc tuturor, :) > > > La 22.12.2016 09:25, Iulian Murgulet a scris: > > > O idee e cam asa pt traficul IN, fara BGP. La mine a mers. Clientul > > avea un server web, > > Din păcate, la mine nu e vorba despre vreo aplicație web, gestionabilă > din DNS, ci despre unele vechi (legacy), full-desktop, care au nevoie nu > doar de VPN-uri și securizare (peste legătura asta Internet pe care, la > nevoie, vreau s-o comut *automat* prin BGP...), ci și de condiții > speciale de fiabilitate a comunicației. Aplicațiile au fost scrise doar > pentru un LAN clasic, deci sunt destul de „fițoase” la orice pierdere de > pachet, întrerupere sau creștere de latență, inclusiv „vârfuri” > (instantanee). > > > > Daca sunt bani, inchiriezi un server fizic sau mai multe la unii > > seriosi, si ai uitat de problema > > asta, solutie f bina daca tu esti singur(one man show admin - cum zic > > eu), si iti concentrezi resursele > > si mai ales timpul pe alte lucruri utile. Si financiar e destul de ok, > > pt ca nu platesti toti banii odata > > ca in cazul in care cumperi un server. > > Altă limitare nefericită (pe care n-o controlez eu...) este că serverul > ăla nu poate fi mutat de unde e acum (are nevoie de legături de foarte > mare viteză spre altele din același LAN, deci ar trebui să mut toată > subrețeaua aceea într-un centru de date extern). Ceea ce nu-i > permis/dorit prin politica generală de companie... > > > Crăciun frumos să aveți, > Răzvan > > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Întrebare newbie: conectare redundantă la Internet cu BGP
Vă mulțumesc tuturor, :) La 22.12.2016 09:25, Iulian Murgulet a scris: > O idee e cam asa pt traficul IN, fara BGP. La mine a mers. Clientul > avea un server web, Din păcate, la mine nu e vorba despre vreo aplicație web, gestionabilă din DNS, ci despre unele vechi (legacy), full-desktop, care au nevoie nu doar de VPN-uri și securizare (peste legătura asta Internet pe care, la nevoie, vreau s-o comut *automat* prin BGP...), ci și de condiții speciale de fiabilitate a comunicației. Aplicațiile au fost scrise doar pentru un LAN clasic, deci sunt destul de „fițoase” la orice pierdere de pachet, întrerupere sau creștere de latență, inclusiv „vârfuri” (instantanee). > Daca sunt bani, inchiriezi un server fizic sau mai multe la unii > seriosi, si ai uitat de problema > asta, solutie f bina daca tu esti singur(one man show admin - cum zic > eu), si iti concentrezi resursele > si mai ales timpul pe alte lucruri utile. Si financiar e destul de ok, > pt ca nu platesti toti banii odata > ca in cazul in care cumperi un server. Altă limitare nefericită (pe care n-o controlez eu...) este că serverul ăla nu poate fi mutat de unde e acum (are nevoie de legături de foarte mare viteză spre altele din același LAN, deci ar trebui să mut toată subrețeaua aceea într-un centru de date extern). Ceea ce nu-i permis/dorit prin politica generală de companie... Crăciun frumos să aveți, Răzvan ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Întrebare newbie: conectare redundantă la Internet cu BGP
On 12/22/2016 08:49 AM, Iulian Murgulet wrote: > În 2016-12-21 19:01, manuel "lonely wolf" wolfshant a scris: >> si pe linux tot in max 10 min se face. doar ca in loc sa dai >> click-click >> in interfata mikrotikului, dai citeva comenzi in interfata zebrei. >> pardon, a lui quagga. been there, done that. > NU se face in 10 minute cand faci pentru prima data. daca nu citesti inainte, nu se face. cu un tutorial sau instructor bun, se face in 2 minute. Am zis 10 ca sa fie si timp de citit > Eu la cazul > asta m-am referit. Iar tutorialele > despre subiect(care sunt pt linux) sunt infioratoare(lipsesc cazuri > simple, dar abunda cele f. complicate). Oi fi eu mai norocos. >Daca ai noroc gasesti ceva protrivit pt cineva care incerca sa faca pt > prima data. Si explicatiile sunt subtirele. De regula, cand vreau sa fac > ceva nou in OSPF(ce n-am mai facut), intai caut > pt mikrotik, pt ca de regula au exemple mai bune(si destul de simple ca > sa intelegi) si sunt mai bine explicate. > Apoi incep sa caut ceva echivalent pt linux. Mi-a crescut barba, pana de > exemplu am gasit cum se face o ruta de tip null(ospf) in linux ! adica ceva de genul ip ro a unreachable 172.16.0.0/12 ? > >> wolfy >> >> PS: linux stie de ani buni de ip route add default via ISP1 metric >> $METRIC1 via ISP2 metric $METRIC2. > Posibil. Acu cativa ani la mine pe debian(un 6.x) nu a mers. root@naoufel-b:~# cat /etc/debian_version 6.0.2 root@naoufel-b:~# ip r replace default via 192.168.6.1 metric 1 via 192.168.6.2 metric 100 root@naoufel-b:~# ip r l 192.168.6.0/24 dev eth0 proto kernel scope link src 192.168.6.25 default via 192.168.6.1 dev eth0 default via 192.168.6.2 dev eth0 metric 100 FWIW: eu cu mikrotikul dintr-un sediu din afara tarii am avut probleme. Nu a fost stabil decit dupa al 3lea upgrade de firmware. Si inca se mai blocheaza din cind in cind. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Întrebare newbie: conectare redundantă la Internet cu BGP
Serghei Amelian ( ex-colegul nostru care acum trece prin ceva perioada dificila din punct de vedere al sanatatii ) are magazinul online wifimag.ro Iti poate explica in detaliu ce poti face cu Mikrotik si surogatele. Cum spuneau si colegii mai sus , cu Mikrotik in 5 minute eram gata cu tot cu balancer , fail-over and stuff. Iti arata si graficele pe balancer cat trafic face pe un ce iti da un ISP si ce trafic face pe cel de-al doilea astfel incat stii cum sa jonglezi cu ele ulterior. Succes! 2016-12-22 8:49 GMT+02:00 Iulian Murgulet : > În 2016-12-21 19:01, manuel "lonely wolf" wolfshant a scris: > > On 12/21/2016 06:41 PM, Iulian Murgulet wrote: > >> Uite mai jos varianta "saracului", dar sunt ceva detalii care > >> lipsesc > >> din descrierea ta, mai exact CE vrei sa obtii de fapt, > >> pt ca tu ai ceva de rezolvat, si crezi(poate ai dreptate si BGP e > >> solutia cea mai buna, dar poate nu e asa - ca sa zic altfel > >> ca bati un cui intr-un perete e suficient un ciocan bun, dar daca tii > >> neaprat sigur ca poti folosi si o cupa de la un excavator - exagerand, > >> ca sa intelegi ideea) > >> > >> Daca doresti sa dai NET la clientii din LAN(adica trafic care > >> pleaca > >> din LAN-ul tau catre net, si nu ai ceva servicii la care astepti > >> clienti din Internet), de > >> departe cea mai simpla solutie care o stiu eu, e sa cumperi un router > >> MikroTik(face cam ce face un Cisco, dar nu-ti ia pielea de pe tine > >> cand > >> vine vorba de pret) > >> care sa poata duce traficul tau(de la 100 RON .pana la mii de RON > >> - > >> stie si BGP si OSPF si "draci si laci", daca asta vrei/ai nevoie). > >> Sunt > >> tutoriale garla > >> cum se pot seta in scenarii multi-ISP(fail-over, load-balancing, etc). > >> In cel mai simplu caz(fail-over), totul se reduce la maxim 20 > >> secunde e dezarmant de simplu: > >> - se pune default gw pe ISP-ul primar, si inca un default-gw sau inca > >> 10 > >> daca ai nevoie, doar ca adaugi un cost > 0(0 e pentru primar) > >> - asta e tot, a sa nu uit, trebuie sa bagi cate un cablu ethernet de > >> la > >> fiecare ISP in parte, si cam asta e tot > >> > >> > >>Am in "curte" cam 30 de bucati din astea, de la 300 RON, pana la > >> 2400 > >> RON(16 CPU la 1200 MHz/ 2GB Ram / suport hardware AES), sunt stabile, > >> nu > >> crapa daca ai grija de ele. Cele mai > >> vechi le am de 4-5 ani, si merg si acum. Daca vrei sa vezi, i-ati > >> modelul cel mai ieftin, si daca te multumeste, apoi cumpara ce ai > >> intradevar nevoie(pt ca indiferent de pret, toate pot > >> face exact acelasi lucru, diferenta e doar la performanta/capabilitati > >> hardware/dotare - ethernet, fibra pe 10G, pe 1.25 G, samd). Marele > >> castig din pucnctul meu de vedere, este ca > >> poti face cam ce face un linux(pe partea de networking evident), cu > >> deosebire ca termini mult mai repede. Ca sa ai o idee, un ospf pe > >> linux > >> l-am facut in cateva ore. Pe Mikrotik, a fost > >> gata exact acelasi lucru in 10 minute(5 minute de citit pe net si inca > >> 5 > >> de setat). Pe linux am citit cam o ora pana m-am prins cum e > >> mersul. > >> Cel mai mult o sa-ti placa interfetele > >> de administrare(ssh/scripturi/etc) sau aplicatie desktop - winbox(daca > >> vrei ceva grafic), sau http/https. Winbox-ul e una din cele mai bine > >> facute aplicatii pt un router din cate am vazut eu pana acum(f. bine > >> gandita si organizata). Daca ai ceva experienta pe networking, te > >> descurci usor si fara sa te rupi cautand in doucumentatii/tutoriale. > >> Si > >> mai are un mare avantaj, e usor de depanat daca ceva nu iti > >> iese(capturi > >> de pachete/port-mirroring, flow-ri de pachete, > >> ping/traceroute/ip-scan/discovery erori pe orice interfata, log-ri > >> bune). > >> > > si pe linux tot in max 10 min se face. doar ca in loc sa dai > > click-click > > in interfata mikrotikului, dai citeva comenzi in interfata zebrei. > > pardon, a lui quagga. been there, done that. > >NU se face in 10 minute cand faci pentru prima data. Eu la cazul > asta m-am referit. Iar tutorialele > despre subiect(care sunt pt linux) sunt infioratoare(lipsesc cazuri > simple, dar abunda cele f. complicate). > Daca ai noroc gasesti ceva protrivit pt cineva care incerca sa faca pt > prima data. Si explicatiile sunt subtirele. De regula, cand vreau sa fac > ceva nou in OSPF(ce n-am mai facut), intai caut > pt mikrotik, pt ca de regula au exemple mai bune(si destul de simple ca > sa intelegi) si sunt mai bine explicate. > Apoi incep sa caut ceva echivalent pt linux. Mi-a crescut barba, pana de > exemplu am gasit cum se face o ruta de tip null(ospf) in linux ! > > > > > > wolfy > > > > PS: linux stie de ani buni de ip route add default via ISP1 metric > > $METRIC1 via ISP2 metric $METRIC2. > > Posibil. Acu cativa ani la mine pe debian(un 6.x) nu a mers. > > > > > > > > ___ > > RLUG mailing list > > RLUG@lists.lug.ro > > http://lists.lug.ro/mailman