Re: [rlug] routing :: NAT non gateway

[Adrian Sevcenco]

On 12/13/2016 07:25 PM, Adrian Sevcenco wrote:

On 12/13/2016 07:05 PM, alex alex wrote:

Salut,

Salut!


Push route functioneza cind un client  se conecteaza la un server
openvpn.
Aici se conecteaza doua servere openvpn. Clientii din lan ai lui
Adrian nu
stiu sa intoarca pachetele catre o retea necunoscuta pentru ei, asa ca
arunca pachetele la def. gateway. care le dropeaza, gateway-ul probabil
nestiind nici el de retaua respectiva.
Deci fie ruta de intoarcere specifica pentru lan-ul remote pe statii, fie
NAT (caz in care calculatoarele replica catre ip-ul gateway-ului openvpn,
din moment ce sursa vine dinspe acesta)

mda, make sense! acum imi dau seama ca singura solutie e NAT pe serverul
openvpn remote (sau solutia de haproxy data de Iulian)
dar mai intii incerc cu NAT :)
Salut! Am incercat sa fac NAT dar imi scapa ceva (cel mai probabil 
intoarcerea de la clienti la sursa)


situatia e asha :
192.168.1.100 - acasa
10.1.1.2 - acasa tun10
10.1.1.1 - office tun10
172.20.0.200 - office privat

am ping de la 192.168.1.100 la 172.20.0.200 si invers
scopul e sa am ping de la 192.168.1.100 la oricare altele din 172.20.0/24

am in iptables urmatoarele :
*nat
-A POSTROUTING -s 192.168.1.0/24 -d 172.20.0.0/24,10.10.8.0/22 -j MASQUERADE

*filter
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i tun10 -j ACCEPT

-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,SNAT,DNAT -j ACCEPT

-A FORWARD -s 192.168.1.0/24 -d 172.20.0.0/24,10.10.8.0/22 -m conntrack 
--ctstate NEW -j ACCEPT


Nu imi dau seama ce anume lipseste ...

Multumesc frumos!
Adrian




Multumesc!
Adrian



2016-12-12 17:09 GMT+02:00 manuel "lonely wolf" wolfshant

:



On 12/12/2016 03:57 PM, Mihai Badici wrote:

Poti sa pui ruta inversa cu "push route":

push "route 10.10.0.0 255.255.0.0"  in configul de server. Cred ca
merge

si

in acel fisier in care ai pus iroute.
( exemplele mele nu sunt consistente, sunt din configuri diferite)


config functional de ani de zile in curtea mea:

push "route 192.168.10.201 255.255.255.255"
push "route 192.168.5.1 255.255.255.255"
push "route 192.168.5.24 255.255.255.255"
push "route 192.168.5.29 255.255.255.255"
push "dhcp-option DNS 192.168.10.11"

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug


___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug






___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug




--
--
Adrian Sevcenco, Ph.D.   |
Institute of Space Science - ISS, Romania|
adrian.sevcenco at {cern.ch,spacescience.ro} |
--

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] Întrebare newbie: conectare redundantă la Internet cu BGP

[Iulian Murgulet]

În 2016-12-22 11:16, manuel "lonely wolf" wolfshant a scris:
> On 12/22/2016 08:49 AM, Iulian Murgulet wrote:
>> În 2016-12-21 19:01, manuel "lonely wolf" wolfshant a scris:
>>> si pe linux tot in max 10 min se face. doar ca in loc sa dai
>>> click-click
>>> in interfata mikrotikului, dai citeva comenzi in interfata zebrei.
>>> pardon, a lui quagga. been there, done that.
>> NU se face in 10 minute cand faci pentru prima data.
> daca nu citesti inainte, nu se face. cu un tutorial sau instructor bun,
> se face in 2 minute. Am zis 10 ca sa fie si timp de citit
> 
> 
> 
>> Eu la cazul
>> asta m-am referit. Iar tutorialele
>> despre subiect(care sunt pt linux) sunt infioratoare(lipsesc cazuri
>> simple, dar abunda cele f. complicate).
> Oi fi eu mai norocos.

... sau sunt eu ghinionist ;)

> 
> 
>>Daca ai noroc gasesti ceva protrivit pt cineva care incerca sa faca 
>> pt
>> prima data. Si explicatiile sunt subtirele. De regula, cand vreau sa 
>> fac
>> ceva nou in OSPF(ce n-am mai facut), intai caut
>> pt mikrotik, pt ca de regula au exemple mai bune(si destul de simple 
>> ca
>> sa intelegi) si sunt mai bine explicate.
>> Apoi incep sa caut ceva echivalent pt linux. Mi-a crescut barba, pana 
>> de
>> exemplu am gasit cum se face o ruta de tip null(ospf) in linux !
> adica ceva de genul ip ro a unreachable 172.16.0.0/12  ?

da

> 
> 
>> 
>>> wolfy
>>> 
>>> PS: linux stie de ani buni de ip route add default via ISP1 metric
>>> $METRIC1 via ISP2 metric $METRIC2.
>> Posibil. Acu cativa ani la mine pe debian(un 6.x) nu a mers.
> root@naoufel-b:~# cat /etc/debian_version
> 6.0.2
> root@naoufel-b:~# ip r replace default via 192.168.6.1 metric 1 via
> 192.168.6.2 metric 100
> root@naoufel-b:~# ip r l
> 192.168.6.0/24 dev eth0  proto kernel  scope link  src 192.168.6.25
> default via 192.168.6.1 dev eth0
> default via 192.168.6.2 dev eth0  metric 100
> 

frumos ...!

> 
> 
> FWIW: eu cu mikrotikul dintr-un sediu din afara tarii am avut probleme.
> Nu a fost stabil decit dupa al 3lea upgrade de firmware. Si inca se mai
> blocheaza din cind in cind.
> 

Ce model e?



   Am in productie in mai multe locatii pe la 40-50 de bucati - pe la 
diversi clienti
(unii lucreaza in foc continuu, 24h/24h, doar la Craciun/Paste, si de 
Anul nou nu se lucreaza acolo),
  la mine acasa, si inca pe la diversi prieteni,rude. In total, cred ca 
mi-au trecut prin mana
  cam in jur de 100. Singurele situatii vazute de mine cand o iau pe 
aratura este daca ai probleme
pe partea de curent electric. Daca le pui pe un UPS cu AVR, nu ai 
treaba. Eu mai fac un lucru
din cand in cand. Salvez configuratia, le fac un reset hardware, apoi le 
fac upgrade la ultima
versiune, si incarc configuratia salvata la final.


   Poate am eu mana mai buna la ele cand le cumpar ;)




> ___
> RLUG mailing list
> RLUG@lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug
 ATENTIONARI =

- nu trimiteti date personale (CNP, copii dupa acte de identitate etc).

 O lista completa cu reguli de utilizare exista la:

http://gw.casbv.ro/forum_smf/index.php?topic=2000.msg3106#msg3106

C.A.S.J. Brasov - B-dul Mihail Kogalniceanu, nr. 11,Brasov
[web-site]: http://www.casbv.ro
[forum]: http://gw.casbv.ro/forum_smf/index.php

==

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] Întrebare newbie: conectare redundantă la Internet cu BGP

[Răzvan Sandu]

La 22.12.2016 12:10, Abibula Aygun a scris:
> Inteleg ! 
> Pe serverul ala tineti diverse proiecte 

> Ca sa nu mai zic ca probabil serverul ala e ALL IN ONE , server de fisiere , 
> ftp , cine stie ce evidente sau softuri de facturari la care au acces remote 
> , etc , etc.


Nu, nu-i chiar așa, și nu-i vorba despre compania aceea :)

Serverele-s specializate. Dar ca să poți face, de exemplu, raportări,
fără să încarci mașina de producție, trebuie să muți, din când în când,
content-ul în alte părți ale LAN-ului.

Și ce te faci dacă își aduce aminte vreunul că vrea raportări cu date nu
mai vechi de 5 s?  ;-)

Răzvan

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] Întrebare newbie: conectare redundantă la Internet cu BGP

[Abibula Aygun]

Inteleg !
Pe serverul ala tineti diverse proiecte , design mobilier , alea trebuie
preluate si trimise la masina CNC , prelucrate cat mairapid in AutoCAD dupa
necesitatile clientului , salvate iar acolo ...
O adevarata incurcatura de mate .
Ca sa nu mai zic ca probabil serverul ala e ALL IN ONE , server de fisiere
, ftp , cine stie ce evidente sau softuri de facturari la care au acces
remote , etc , etc.

2016-12-22 11:43 GMT+02:00 Răzvan Sandu :

> Vă mulțumesc tuturor, :)
>
>
> La 22.12.2016 09:25, Iulian Murgulet a scris:
>
> >   O idee e cam asa pt traficul IN, fara BGP. La mine a mers. Clientul
> > avea un server web,
>
> Din păcate, la mine nu e vorba despre vreo aplicație web, gestionabilă
> din DNS, ci despre unele vechi (legacy), full-desktop, care au nevoie nu
> doar de VPN-uri și securizare (peste legătura asta Internet pe care, la
> nevoie, vreau s-o comut *automat* prin BGP...), ci și de condiții
> speciale de fiabilitate a comunicației. Aplicațiile au fost scrise doar
> pentru un LAN clasic, deci sunt destul de „fițoase” la orice pierdere de
> pachet, întrerupere sau creștere de latență, inclusiv „vârfuri”
> (instantanee).
>
>
> >  Daca sunt bani, inchiriezi un server fizic sau mai multe la unii
> > seriosi, si ai uitat de problema
> > asta, solutie f bina daca tu esti singur(one man show admin - cum zic
> > eu), si iti concentrezi resursele
> > si mai ales timpul pe alte lucruri utile. Si financiar e destul de ok,
> > pt ca nu platesti toti banii odata
> > ca in cazul in care cumperi un server.
>
> Altă limitare nefericită (pe care n-o controlez eu...) este că serverul
> ăla nu poate fi mutat de unde e acum (are nevoie de legături de foarte
> mare viteză spre altele din același LAN, deci ar trebui să mut toată
> subrețeaua aceea într-un centru de date extern). Ceea ce nu-i
> permis/dorit prin politica generală de companie...
>
>
> Crăciun frumos să aveți,
> Răzvan
>
>
> ___
> RLUG mailing list
> RLUG@lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug
>
>
___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] Întrebare newbie: conectare redundantă la Internet cu BGP

[Răzvan Sandu]

Vă mulțumesc tuturor, :)


La 22.12.2016 09:25, Iulian Murgulet a scris:

>   O idee e cam asa pt traficul IN, fara BGP. La mine a mers. Clientul
> avea un server web,

Din păcate, la mine nu e vorba despre vreo aplicație web, gestionabilă
din DNS, ci despre unele vechi (legacy), full-desktop, care au nevoie nu
doar de VPN-uri și securizare (peste legătura asta Internet pe care, la
nevoie, vreau s-o comut *automat* prin BGP...), ci și de condiții
speciale de fiabilitate a comunicației. Aplicațiile au fost scrise doar
pentru un LAN clasic, deci sunt destul de „fițoase” la orice pierdere de
pachet, întrerupere sau creștere de latență, inclusiv „vârfuri”
(instantanee).


>  Daca sunt bani, inchiriezi un server fizic sau mai multe la unii
> seriosi, si ai uitat de problema
> asta, solutie f bina daca tu esti singur(one man show admin - cum zic
> eu), si iti concentrezi resursele
> si mai ales timpul pe alte lucruri utile. Si financiar e destul de ok,
> pt ca nu platesti toti banii odata
> ca in cazul in care cumperi un server.

Altă limitare nefericită (pe care n-o controlez eu...) este că serverul
ăla nu poate fi mutat de unde e acum (are nevoie de legături de foarte
mare viteză spre altele din același LAN, deci ar trebui să mut toată
subrețeaua aceea într-un centru de date extern). Ceea ce nu-i
permis/dorit prin politica generală de companie...


Crăciun frumos să aveți,
Răzvan

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] Întrebare newbie: conectare redundantă la Internet cu BGP

[manuel "lonely wolf" wolfshant]

On 12/22/2016 08:49 AM, Iulian Murgulet wrote:
> În 2016-12-21 19:01, manuel "lonely wolf" wolfshant a scris:
>> si pe linux tot in max 10 min se face. doar ca in loc sa dai
>> click-click
>> in interfata mikrotikului, dai citeva comenzi in interfata zebrei.
>> pardon, a lui quagga. been there, done that.
> NU se face in 10 minute cand faci pentru prima data.
daca nu citesti inainte, nu se face. cu un tutorial sau instructor bun, 
se face in 2 minute. Am zis 10 ca sa fie si timp de citit



> Eu la cazul
> asta m-am referit. Iar tutorialele
> despre subiect(care sunt pt linux) sunt infioratoare(lipsesc cazuri
> simple, dar abunda cele f. complicate).
Oi fi eu mai norocos.


>Daca ai noroc gasesti ceva protrivit pt cineva care incerca sa faca pt
> prima data. Si explicatiile sunt subtirele. De regula, cand vreau sa fac
> ceva nou in OSPF(ce n-am mai facut), intai caut
> pt mikrotik, pt ca de regula au exemple mai bune(si destul de simple ca
> sa intelegi) si sunt mai bine explicate.
> Apoi incep sa caut ceva echivalent pt linux. Mi-a crescut barba, pana de
> exemplu am gasit cum se face o ruta de tip null(ospf) in linux !
adica ceva de genul ip ro a unreachable 172.16.0.0/12  ?


>
>> wolfy
>>
>> PS: linux stie de ani buni de ip route add default via ISP1 metric
>> $METRIC1 via ISP2 metric $METRIC2.
> Posibil. Acu cativa ani la mine pe debian(un 6.x) nu a mers.
root@naoufel-b:~# cat /etc/debian_version
6.0.2
root@naoufel-b:~# ip r replace default via 192.168.6.1 metric 1 via 
192.168.6.2 metric 100
root@naoufel-b:~# ip r l
192.168.6.0/24 dev eth0  proto kernel  scope link  src 192.168.6.25
default via 192.168.6.1 dev eth0
default via 192.168.6.2 dev eth0  metric 100



FWIW: eu cu mikrotikul dintr-un sediu din afara tarii am avut probleme. 
Nu a fost stabil decit dupa al 3lea upgrade de firmware. Si inca se mai 
blocheaza din cind in cind.

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] Întrebare newbie: conectare redundantă la Internet cu BGP

[Abibula Aygun]

Serghei Amelian ( ex-colegul nostru care acum trece prin ceva perioada
dificila din punct de vedere al sanatatii ) are magazinul online wifimag.ro
Iti poate explica in detaliu ce poti face cu Mikrotik si surogatele.

Cum spuneau si colegii mai sus , cu Mikrotik in 5 minute eram gata cu tot
cu balancer , fail-over and stuff.
Iti arata si graficele pe balancer cat trafic face pe un ce iti da un ISP
si ce trafic face pe cel de-al doilea astfel incat stii cum sa jonglezi cu
ele ulterior.

Succes!


2016-12-22 8:49 GMT+02:00 Iulian Murgulet :

> În 2016-12-21 19:01, manuel "lonely wolf" wolfshant a scris:
> > On 12/21/2016 06:41 PM, Iulian Murgulet wrote:
> >> Uite mai jos varianta "saracului", dar sunt ceva detalii care
> >> lipsesc
> >> din descrierea ta, mai exact CE vrei sa obtii de fapt,
> >> pt ca tu ai ceva de rezolvat, si crezi(poate ai dreptate si BGP e
> >> solutia cea mai buna, dar poate nu e asa - ca sa zic altfel
> >> ca bati un cui intr-un perete e suficient un ciocan bun, dar daca tii
> >> neaprat sigur ca poti folosi si o cupa de la un excavator - exagerand,
> >> ca sa intelegi ideea)
> >>
> >> Daca doresti sa dai NET la clientii din LAN(adica trafic care
> >> pleaca
> >> din LAN-ul tau catre net, si nu ai ceva servicii la care astepti
> >> clienti din Internet), de
> >> departe cea mai simpla solutie care o stiu eu, e sa cumperi un router
> >> MikroTik(face cam ce face un Cisco, dar nu-ti ia pielea de pe tine
> >> cand
> >> vine vorba de pret)
> >> care sa poata duce traficul tau(de la 100 RON .pana la mii de RON
> >> -
> >> stie si BGP si OSPF si "draci si laci", daca asta vrei/ai nevoie).
> >> Sunt
> >> tutoriale garla 
> >> cum se pot seta in scenarii multi-ISP(fail-over, load-balancing, etc).
> >> In cel mai simplu caz(fail-over), totul se reduce la maxim 20
> >> secunde e dezarmant de simplu:
> >> - se pune default gw pe ISP-ul primar, si inca un default-gw sau inca
> >> 10
> >> daca ai nevoie, doar ca adaugi un cost > 0(0 e pentru primar)
> >> - asta e tot, a sa nu uit, trebuie sa bagi cate un cablu ethernet de
> >> la
> >> fiecare ISP in parte, si cam asta e tot
> >>
> >>
> >>Am in "curte" cam 30 de bucati din astea, de la 300 RON, pana la
> >> 2400
> >> RON(16 CPU la 1200 MHz/ 2GB Ram / suport hardware AES), sunt stabile,
> >> nu
> >> crapa daca ai grija de ele. Cele mai
> >> vechi le am de 4-5 ani, si merg si acum. Daca vrei sa vezi, i-ati
> >> modelul cel mai ieftin, si daca te multumeste, apoi cumpara ce ai
> >> intradevar nevoie(pt ca indiferent de pret, toate pot
> >> face exact acelasi lucru, diferenta e doar la performanta/capabilitati
> >> hardware/dotare - ethernet, fibra pe 10G, pe 1.25 G, samd). Marele
> >> castig din pucnctul meu de vedere, este ca
> >> poti face cam ce face un linux(pe partea de networking evident), cu
> >> deosebire ca termini mult mai repede. Ca sa ai o idee, un ospf pe
> >> linux
> >> l-am facut in cateva ore. Pe Mikrotik, a fost
> >> gata exact acelasi lucru in 10 minute(5 minute de citit pe net si inca
> >> 5
> >> de setat). Pe linux am citit cam o ora pana m-am prins cum e
> >> mersul.
> >> Cel mai mult o sa-ti placa interfetele
> >> de administrare(ssh/scripturi/etc) sau aplicatie desktop - winbox(daca
> >> vrei ceva grafic), sau http/https. Winbox-ul e una din cele mai bine
> >> facute aplicatii pt un router din cate am vazut eu pana acum(f. bine
> >> gandita si organizata). Daca ai ceva experienta pe networking, te
> >> descurci usor si fara sa te rupi cautand in doucumentatii/tutoriale.
> >> Si
> >> mai are un mare avantaj, e usor de depanat daca ceva nu iti
> >> iese(capturi
> >> de pachete/port-mirroring, flow-ri de pachete,
> >> ping/traceroute/ip-scan/discovery erori pe orice interfata, log-ri
> >> bune).
> >>
> > si pe linux tot in max 10 min se face. doar ca in loc sa dai
> > click-click
> > in interfata mikrotikului, dai citeva comenzi in interfata zebrei.
> > pardon, a lui quagga. been there, done that.
>
>NU se face in 10 minute cand faci pentru prima data. Eu la cazul
> asta m-am referit. Iar tutorialele
> despre subiect(care sunt pt linux) sunt infioratoare(lipsesc cazuri
> simple, dar abunda cele f. complicate).
>   Daca ai noroc gasesti ceva protrivit pt cineva care incerca sa faca pt
> prima data. Si explicatiile sunt subtirele. De regula, cand vreau sa fac
> ceva nou in OSPF(ce n-am mai facut), intai caut
> pt mikrotik, pt ca de regula au exemple mai bune(si destul de simple ca
> sa intelegi) si sunt mai bine explicate.
> Apoi incep sa caut ceva echivalent pt linux. Mi-a crescut barba, pana de
> exemplu am gasit cum se face o ruta de tip null(ospf) in linux !
>
>
> >
> > wolfy
> >
> > PS: linux stie de ani buni de ip route add default via ISP1 metric
> > $METRIC1 via ISP2 metric $METRIC2.
>
> Posibil. Acu cativa ani la mine pe debian(un 6.x) nu a mers.
>
>
> >
> >
> > ___
> > RLUG mailing list
> > RLUG@lists.lug.ro
> > http://lists.lug.ro/mailman