маршрутизация

[negative_creep90]

Добрый день, ситуация такова - есть 2 сети с адресами 192.168.0.x

и сеть с адресом 192.168.1.0 сети одноранговые. задача объединить их прозрачно для пользователей с помощью роутера. Какой роутер посоветуете и как в нем прописать примерно маршруты?

[negative_creep90]

так же в сети 192.168.0.x в ближайшее время появится Domain Controller.

[kvazimoda]

Можно в обоих сетях изменить маску подсети на 255.255.254.0 и соединить их коммутатором. Более прозрачно ни каким роутером не сделаешь :)

Если всё же хочется с помощью роутера, то из домашнего сектора придётся брать то, что можно перепрошить не оргинальной прошивкой. Например ASUS WL-500чего-то_там_с_буковками. Под него есть несколько не оригинальных прошивок, с помощью которых можно будет настроить маршрутизацию в обе стороны. С профессиональными роутерами не знаком совсем, т.к. сам использую для этого небольшой сервер под линуксом.

Маршруты придётся прописывать через консоль вручную.

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.0.0/24 -j SNAT --to-source 192.168.0.1

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.1.0/24 -j SNAT --to-source 192.168.1.1

iptables -I FORWARD 1 -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT

iptables -I FORWARD 2 -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT

Веделенное жирным надо будет заменить на адреса роутера в этих сетях. Роутер подключается разъёмом WAN в одну сеть, а одним из разъёмов LAN в другую.

На компьютерах в сети 192.168.1.0 надо будет прописать маршрут:

route add 192.168.0.0 mask 255.255.255.0 192.168.1.1

На компьютерах в сети 192.168.0.0 надо будет прописать маршрут:

route add 192.168.1.0 mask 255.255.255.0 192.168.0.1

Для постоянного хранения маршрутов в винде, надо добавить к последним двум командам ключик -p.

В роутере же, с неоригинальной прошивкой те четыре команды придётся вручную прописывать в автозагрузку. Куда прописывать зависит от прошивки.

Широковещательный трафик при таких настройках роутера ходить между сетями не будет. Как сделать чтобы ходил, я не знаю, но, вроде, это сделать можно.

Изменено 14 августа, 2012 пользователем kvazimoda

[negative_creep90]

спасибо за совет. но отчего то руководств отказывается от шлюза на лнуксе((( вот и приходится думать какое выбрать оборудование. dlink dir 300 dd wrt есть. как думаете его можно пустить под эти цели? кстати а нат в данном случае зачем?

[kvazimoda]

но отчего то руководств отказывается от шлюза на лнуксе(((

В вашем случае это и будет шлюз на линуксе, только линукс будет стоять не на нормальном компе, а на обрезанной медленной железке. Которая ещё и при большой нагрузке может скорость резать из-за нехватки производительности.

dlink dir 300 dd wrt есть. как думаете его можно пустить под эти цели?

Ничего не скажу по поводу DD WRT - никогда не использовал, но есть большое подозрение, что можно будет осуществить. Ещё раз предупреждаю, настраивать придётся вручную и от компа на линуксе это будет отличаться только формой исполнения. Был опыт работы с прошивкой от Олега, там такое можно провернуть.

кстати а нат в данном случае зачем?

Как ни странно, для трансляции IP адресов :)

А как вы ещё хотите обращаться из сети с одним адресным пространнством к компам в другую сеть со своим адресным пространством. Только через шлюз, шлюз в свою очередь будет преобразовывать IP адреса, что и есть NAT. :)

Поэтому тут только два варианта, первый - это расширить адресное пространство каждой сети, чтобы они пересекались, для этого достаточно отредактировать маску подсети на всех компьютерах и после этого объединить их с помощью свитча.

Второй вариант - шлюз.

Я думаю, надо донести до руководства, что устанавливая дешёвый роутер, они установят тот же шлюз под линуксом. Если это доходчиво объяснить, а ещё расписать какие плюсы нормального компа, причём необязательно покупать что-то сумашедшее, можно же поставить обычный системник, тока воткнуть в него две сетевухи (в вашем случае три). И при этом он сможет и инет раздавать, и сайты ненужные блокировать для определённых сотрдников, и быть файловой помойкой, если надо. Да хоть почтовый сервер на нём держи. На мой взгляд это будет дешевле и проще, нежели три роутера держать. Да ещё и потоянно следить за тем, чтобы маршруты были правильно прописаны на всех компах, т.к. с DHCP маршруты, на сколько я знаю, особо не пораздаёшь.

Изменено 14 августа, 2012 пользователем kvazimoda

[Timba]

Добрый день, ситуация такова - есть 2 сети с адресами 192.168.0.x

и сеть с адресом 192.168.1.0 сети одноранговые. задача объединить их прозрачно для пользователей с помощью роутера. Какой роутер посоветуете и как в нем прописать примерно маршруты?

Все-таки мало информации по этим 3-м сетям. Сколько хостов в каждой из них?

Может и не надо закручивать что-либо сложное? Если этих хостов меньше чем 200,

то почему бы не ввести их в одну сеть?

Тогда никакой маршрутизатор не понадобится.

И потом, эти сети территориально распределены или все находятся в одном здании?

[negative_creep90]

Все-таки мало информации по этим 3-м сетям. Сколько хостов в каждой из них?

Может и не надо закручивать что-либо сложное? Если этих хостов меньше чем 200,

то почему бы не ввести их в одну сеть?

Тогда никакой маршрутизатор не понадобится.

И потом, эти сети территориально распределены или все находятся в одном здании?

сети находятся в одном помещении,но адресного пространства в 192.168.0.x не осталось. поэтому собственно и приходится морочиться

[kvazimoda]

сети находятся в одном помещении,но адресного пространства в 192.168.0.x не осталось. поэтому собственно и приходится морочиться

Ну, так расширь адресное пространство. Поменяй маску подсети. Сделай не 255.255.255.0, а например 255.255.128.0 и у тебя ещё 128 таких сеток влезет в это адресное пространство и никаких дополнительных шлюзов не надо.

[Timba]

negative_creep90:

Было бы интересно, чем закончился этот вопрос? Заменой маски, как предложил выше kvazimoda, с чем я полностью согласен, или другим путем, может были какие-то требования, которые такому решению препятствовали. Может все-таки потребовались маршрутизаторы на Linux. Или НЕ потребовались. Или решение было аппаратным. В любом случае, было бы интересно узнать какое было окончательное решение.

[negative_creep90]

пока что данный вопрос остался без решения, но скорее всего будет изменена маска подсети и поставлен какой либо роутер для глушения широковещательного трафика

[kvazimoda]

поставлен какой либо роутер для глушения широковещательного трафика

Может для этих целей стоит использовать уже не роутер, а нормальный управляемый свитч?

[Timba]

но скорее всего будет изменена маска подсети и поставлен какой либо роутер для глушения широковещательного трафика

Если будете глушить широковещательный трафик, я не думаю, что это решение будет "прозрачно для пользователей", о чем в самом начале говорилось. Но это исходя из изначальной задачи. Сам я не сторонник широковещательного трафика, а просто сторонник того, чтобы все сервисы работали в этих сетях, неважно, видит пользователь "сетевое окружение" или не видит. У меня сложилось так, что большую часть 3-х сетей он видит, но сетевых проблем нет. Часть не видит, ему и не надо. Что касается управляемых свичей, вышеупомянутых, то да, есть возможность существенно ограничить видимость и, что главное, доступ к ресурсам. Вам решать.

[negative_creep90]

нашел dir 300 с dd wrt как поднять на нем iptables правила?

[kvazimoda]

нашел dir 300 с dd wrt как поднять на нем iptables правила?

Заходишь на него по SSH, для этого можно использовать Putty если из венды работаешь. Также неплохо бы изучить Руководство по iptables, если ещё не знаком.

Ну и поискать в описании прошивки, куда надо прописывать команды, которые будут выполняться при старте роутера и/или при поднятии его (роутера) сетевых интерфейсов. Вот нашёл кое-какую документацию на эту прошивку: http://www.dd-wrt.com/wiki/index.php/%D0%94%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%D1%86%D0%B8%D1%8F_DD-WRT_%28RU%29

Изменено 7 сентября, 2012 пользователем kvazimoda