• Skąd: Siedlce
  • Zarejestrowany: 2014-08-06
  • Posty: 27

Temat: Routing dwóch podsieci WAN

Witam,

od dłuższego czasu nie mogę poradzić sobie z poprawnym routingiem dwóch podsieci, które mam od strony WAN.

Adresacja sieci sub1 (WAN1):
172.16.2.0/23

Adresacja sieci sub2 (WAN2):
192.168.16.0/24

Adresacja lan:
192.168.1.0/24

Obydwie podsieci istnieją na jednym fizycznym kablu, nie są to vlany. Z pomocą narzędzi ip oraz macvlan utworzyłem wirtualny interface eth2.

Na tą chwilę pingi działają jak trzeba, dostęp do internetu jest, ale poza tym nie działa nic innego.


tabela routingu:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.16.0    *               255.255.255.0   U     0      0        0 eth2
172.16.2.0      *               255.255.254.0   U     0      0        0 eth0.1
default         172.16.2.1      0.0.0.0         UG    0      0        0 eth0.1

konfiguracja sieci:

config 'switch' 'eth0'
    option 'enable' '1'

config 'switch_vlan' 'eth0_0'
    option 'device' 'eth0'
    option 'vlan' '0'
    option 'ports' '1 2 3 4 5'

config 'switch_vlan' 'eth0_1'
    option 'device' 'eth0'
    option 'vlan' '1'
    option 'ports' '0 5'

config 'interface' 'loopback'
    option 'ifname' 'lo'
    option 'proto' 'static'
    option 'ipaddr' '127.0.0.1'
    option 'netmask' '255.0.0.0'

config 'interface' 'lan'
    option 'type' 'bridge'
    option 'ifname' 'eth0.0'
    option 'proto' 'static'
    option 'ipaddr' '192.168.1.1'
    option 'netmask' '255.255.255.0'

config 'interface' 'sub1'
    option 'ifname' 'eth0.1'
    option '_orig_ifname' 'eth0.1'
    option '_orig_bridge' 'false'
    option 'proto' 'static'
    option 'ipaddr' '172.16.2.2'
    option 'netmask' '255.255.254.0'
    option 'gateway' '172.16.2.1'
    option 'dns' '194.204.152.34 194.204.159.1'

config 'interface' 'sub2'
    option 'proto' 'static'
    option 'ifname' 'eth2'
    option 'ipaddr' '192.168.16.2'
    option 'netmask' '255.255.255.0'

konfiguracja firewalla:

config 'defaults'

config 'zone'
    option 'name' 'lan'
    option 'network' 'lan'
    option 'input' 'ACCEPT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'

config 'zone'
    option 'name' 'wan'
    option 'input' 'REJECT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'
    option 'masq' '1'
    option 'mtu_fix' '1'
    option 'network' 'sub1 sub2'

config 'forwarding'
    option 'src' 'lan'
    option 'dest' 'wan'

config 'rule'
    option 'name' 'Allow-DHCP-Renew'
    option 'src' 'wan'
    option 'proto' 'udp'
    option 'dest_port' '68'
    option 'target' 'ACCEPT'
    option 'family' 'ipv4'

config 'rule'
    option 'name' 'Allow-Ping'
    option 'src' 'wan'
    option 'proto' 'icmp'
    option 'icmp_type' 'echo-request'
    option 'family' 'ipv4'
    option 'target' 'ACCEPT'

config 'rule'
    option 'name' 'Allow-DHCPv6'
    option 'src' 'wan'
    option 'proto' 'udp'
    option 'src_ip' 'fe80::/10'
    option 'src_port' '547'
    option 'dest_ip' 'fe80::/10'
    option 'dest_port' '546'
    option 'family' 'ipv6'
    option 'target' 'ACCEPT'

config 'rule'
    option 'name' 'Allow-ICMPv6-Input'
    option 'src' 'wan'
    option 'proto' 'icmp'
    list 'icmp_type' 'echo-request'
    list 'icmp_type' 'destination-unreachable'
    list 'icmp_type' 'packet-too-big'
    list 'icmp_type' 'time-exceeded'
    list 'icmp_type' 'bad-header'
    list 'icmp_type' 'unknown-header-type'
    list 'icmp_type' 'router-solicitation'
    list 'icmp_type' 'neighbour-solicitation'
    option 'limit' '1000/sec'
    option 'family' 'ipv6'
    option 'target' 'ACCEPT'

config 'rule'
    option 'name' 'Allow-ICMPv6-Forward'
    option 'src' 'wan'
    option 'dest' '*'
    option 'proto' 'icmp'
    list 'icmp_type' 'echo-request'
    list 'icmp_type' 'destination-unreachable'
    list 'icmp_type' 'packet-too-big'
    list 'icmp_type' 'time-exceeded'
    list 'icmp_type' 'bad-header'
    list 'icmp_type' 'unknown-header-type'
    option 'limit' '1000/sec'
    option 'family' 'ipv6'
    option 'target' 'ACCEPT'

config 'include'
    option 'path' '/etc/firewall.user'

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,242

Odp: Routing dwóch podsieci WAN

Na tą chwilę pingi działają jak trzeba, dostęp do internetu jest, ale poza tym nie działa nic innego.

Zabrakło pytania. Co nie działa i czego oczekujesz?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez trolcio

  • Skąd: Siedlce
  • Zarejestrowany: 2014-08-06
  • Posty: 27

Odp: Routing dwóch podsieci WAN

Przepraszam, napisałem zbyt ogólnikowo. Wygląda na to, że oprócz pingów z LAN do SUB1 lub SUB2 żadne inne pakiety nie przechodzą. Dziwna sprawa, bo jest dostęp do internetu z SUB1, a nie można się połączyć z żadnym urządzeniem sieciowym, np. serwerem plikowym.

Chcę osiągną taki efekt:

W sieci SUB1 znajdują się komputery biurowe, skanery drukarki, serwery plikowe itd. przez nią jest również dostęp do internetu. W sieci SUB2 znajdują się urządzenia przemysłowe (sterowniki, panele operatorskie itd.)

Sieci SUB1 i SUB2 muszą być separowane (przynajmniej logicznie) z czasem rozdzielę je również fizycznie.

Chcę mieć możliwość pełnego dostępu do zasobów w SUB1 oraz SUB2, zza swojego LANu. Urządzenia z sieci SUB2 wymagają przeźroczystości od routera, tzn. komputer, który się z nimi łączy musi być "widziany" przez nie tak jakby był podłączony do nich bez routera, gniazdo w gniazdo.