1 Temat przez alossek (edytowany przez alossek 2017-04-13 09:18:02)

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Temat: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Cześć,

Mam postawiony n2n (v1), w skrócie:
- n2n (192.168.5.0/24)
- [lokalizacja1] na routerze (z opcją route=1) podsieć 192.168.1.0/24, edge0 (192.168.5.2)
- [lokalizacja2] na końcówce 192.168.2.10 (z opcją route=1) w podsieci 192.168.2.0/24, edge0 (192.168.5.3)

Mogę tak zdefiniować trasę w [lokalizacja1] (route add -net 192.168.2.0/24 dev edge0)
że widzę 192.168.2.10, ale pytanie jest:

Czy da się tak zrobić aby w [lokalizacja1] widać było CAŁY LAN (192.168.2.0/24) z [lokalizacja2] ?

Zdaje się, że nie było by z tym problemu gdyby n2n było w [lokalizacja2] postawione na routerze,
jednak niestety może być postawione tylko na kliencie podsieci 192.168.2.0/24.

Czy da się to zrobić ?
Jeśli tak proszę o pomoc.

Pozdrawiam!

UPDATE TL;DR:
http://eko.one.pl/forum/viewtopic.php?p … 10#p186210

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,890

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Powinno się dać, jak w lokalizacji 2 na końcówce zrobisz normalny nat (maskaradę) na siec lokalną z wyjściem przez vpn. Czyli po prostu zrób kolejny wan z n2n.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Próbowałem według tego (https://eko.one.pl/forum/viewtopic.php?id=7224)
Czyli w [lokalizacja2] na końcówce 192.168.2.10, zrobiłem 

iptables -t nat -I POSTROUTING -s 192.168.5.0/24 -o edge0 -j MASQUERADE

Czy to wystarczy ? Bo niestety nie działa ...

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,890

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Już lepiej w /etc/config/firewall to zrób.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez alossek (edytowany przez alossek 2017-04-10 14:42:16)

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Cezary napisał/a:

Już lepiej w /etc/config/firewall to zrób.

Jak dobrze rozumiem to w [lokalizacja2] miałem zrobić nat (maskaradę),
końcówkę mam na linux ale NIE jest to openwrt.

Czy tak utworzona maskarada nie zadziała ?

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,890

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Powinien zadziałać. I jeszcze n2n na końcówce powinien być uruchomiony z opcją -r

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Cezary napisał/a:

Powinien zadziałać. I jeszcze n2n na końcówce powinien być uruchomiony z opcją -r

Mam -r na kliencie, wcześniej miałem też w [lokalizacja1], ale to także nie działało.
Nie wiem co jest nie tak, może czegość oczywistego nie widzę.
To moja konfiuracja:

[lokalizacja1] - openwrt

sysctl net.ipv4.ip_forward

net.ipv4.ip_forward = 1

/etc/config/network

/*fragment*/

config interface 'wan_n2n'
    option proto 'static'
    option ifname 'edge0'

config route
        option interface 'wan_n2n'
        option target '192.168.2.0'
        option netmask '255.255.255.0'

/etc/config/firewall

/*fragment*/

config zone
    option name 'wan_n2n'
    option network 'wan_n2n'
    option masq '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config forwarding
    option src 'lan'
    option dest 'wan_n2n'

config edge
    option ipaddr     '192.168.5.2'
    option supernode  'x.x.x.x'
    option port       'yy'
    option community  'pass'
    option key        'key'
    option route      '0'

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         xx.57.171.1     0.0.0.0         UG    0      0        0 eth0.2
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 edge0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
192.168.5.0     0.0.0.0         255.255.255.0   U     0      0        0 edge0
xx.57.171.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0.2
xx.57.171.1     0.0.0.0         255.255.255.255 UH    0      0        0 eth0.2


[lokalizacja2] - linux

edge -a 192.168.5.3 -c pass -k key -l x.x.x.x:yy -f -r

iptables -t nat -L POSTROUTING

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.5.0/24      anywhere
OpenELEC:~ # ifconfig
/*fragment*/
edge0     Link encap:Ethernet  HWaddr 44:12:1A:13:1C:13
          inet addr:192.168.5.3  Bcast:192.168.5.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
          RX packets:14220 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14248 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1026464 (1002.4 KiB)  TX bytes:4564078 (4.3 MiB)

eth0      Link encap:Ethernet  HWaddr B1:21:E1:11:11:11
          inet addr:192.168.2.10  Bcast:192.168.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1122871 errors:0 dropped:0 overruns:0 frame:0
          TX packets:425275 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1115558647 (1.0 GiB)  TX bytes:79089465 (75.4 MiB)

sysctl net.ipv4.ip_forward

net.ipv4.ip_forward = 1

W takiej konfiuracji z [lokalizacja1] mogę pingować
- 192.168.5.3 (czyli [lokalizacja2])
- 192.168.2.10 (czyli [lokalizacja2]), to działa także bez maskarady

Ale nie mogę już pingować 192.168.2.1, tu miała ponoć pomóc maskarada, ale nie działa.

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

8 Odpowiedź przez snifer (edytowany przez snifer 2017-04-10 22:41:39)

  • snifer
  • Użytkownik
  • Nieaktywny
  • Skąd: Mikołów
  • Zarejestrowany: 2010-05-26
  • Posty: 268

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Powinno zadziałać jak na ruterze, który jest bramą w podsieci 192.168.2.0/24 dopiszesz ruting do podsieci 192.168.1.0/24 i 192.168.5.0/24 via 192.168.2.10
Po prostu z obydwu stron hosty musza wiedzieć gdzie szukać tej innej podsieci. W pierwszej nie ma problemu bo n2n stoi na ruterze więc wszystko przez niego leci, w drugiej hosty domyślnie lecą do swojej bramy i tam właśnie musisz dodać powyższy ruting.

Próbowałem według tego (https://eko.one.pl/forum/viewtopic.php?id=7224)
Czyli w [lokalizacja2] na końcówce 192.168.2.10, zrobiłem 

iptables -t nat -I POSTROUTING -s 192.168.5.0/24 -o edge0 -j MASQUERADE

Z natem na lokalizacji2 też może zadziałać ale musisz to zrobić odwrotnie, trzeba zamaskować na eth0 pakiety wpadające z tunelu:

iptables -t nat -I POSTROUTING -i edge0 -o eth0 -j MASQUERADE

Zależy co chcesz uzyskać, czy chcesz się widzieć hostami bezpośrednio po IP w obydwie strony czy wolisz maskować IP.
Jak nie zadziała to pokaż jeszcze route -n na hoście 192.168.2.10

Archer C7 v.2 + LEDE by Cezary http://beta.speedtest.net/pl/result/6621599402

9 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

snifer napisał/a:

Zależy co chcesz uzyskać, czy chcesz się widzieć hostami bezpośrednio po IP w obydwie strony czy wolisz maskować IP.
Jak nie zadziała to pokaż jeszcze route -n na hoście 192.168.2.10

Zależy mi aby [lokalizacja1] widziała posieć z [lokalizacja2] (a nie tylko 192.168.2.10) NIE potzebuję/NIE chcę aby [lokalizacja2] widziała cokolwiek z [lokalizacja1].

snifer napisał/a:

Powinno zadziałać jak na ruterze, który jest bramą w podsieci 192.168.2.0/24 dopiszesz ruting do podsieci 192.168.1.0/24 i 192.168.5.0/24 via 192.168.2.10

Nie wiem czy dobrze zrozmiałem cytowany fragment, chciałem widzieć podsieć [lokalizacja2]

wieć w [lokalizacja2] zrobiłem tak

iptables -t nat -I POSTROUTING -s 192.168.5.0/24 -o edge0 -j MASQUERADE

(do tego momentu działa mi TYLKO ping do 192.168.2.10)

w [lokalizacja1] zrobiłem cytowany routing tak (choć sugerowane trasy były chyba w drugim kierunku):

route add 192.168.2.10 dev edge0
ip route add 192.168.2.0/24 via 192.168.2.10

efekt w [lokalizacja1] route -n

/*fragment*/
192.168.2.0     192.168.2.10    255.255.255.0   UG    0      0        0 edge0
192.168.2.10    0.0.0.0         255.255.255.255 UH    0      0        0 edge0
192.168.5.0    0.0.0.0         255.255.255.0   U     0      0        0 edge0

nadal nie ma pingów do reszty 192.168.2.0/24

snifer napisał/a:

Z natem na lokalizacji2 też może zadziałać ale musisz to zrobić odwrotnie, trzeba zamaskować na eth0 pakiety wpadające z tunelu:

iptables -t nat -I POSTROUTING -i edge0 -o eth0 -j MASQUERADE

To miałbym zrobić w [lokalizacja1] czy [lokalizacja2] ?
Ale i tak zwarac błąd:

iptables -t nat -I POSTROUTING -i edge0 -o eth0 -j MASQUERADE
[lokalizacja1] iptables v1.4.21: Can't use -i with POSTROUTING
[lokalizacja2] iptables v1.6.0: Can't use -i with POSTROUTING
TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

10 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

snifer napisał/a:

Powinno zadziałać jak na ruterze, który jest bramą w podsieci 192.168.2.0/24 dopiszesz ruting do podsieci 192.168.1.0/24 i 192.168.5.0/24 via 192.168.2.10
Po prostu z obydwu stron hosty musza wiedzieć gdzie szukać tej innej podsieci. W pierwszej nie ma problemu bo n2n stoi na ruterze więc wszystko przez niego leci, w drugiej hosty domyślnie lecą do swojej bramy i tam właśnie musisz dodać powyższy ruting.

Czy dobrze rozumiem że ten routing mam dodać w routerze w podsieci 192.168.2.0/24 ?
(teo właśnie nie mogę zrobić bo nie kontroluję routera a tylko końcówkę),
stąd pytałem czy jest szansa na zobaczenie całej podsieci (mimo że jestem na końcówce tej podsieci a nie w routerze)

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

11 Odpowiedź przez snifer (edytowany przez snifer 2017-04-11 22:49:45)

  • snifer
  • Użytkownik
  • Nieaktywny
  • Skąd: Mikołów
  • Zarejestrowany: 2010-05-26
  • Posty: 268

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Jeżeli nie masz dostępu do rutera w lokalizacji2 to masz dwa wyjścia:
1. Dodajesz ruting do podsieci 192.168.1.0/24 gw 192.168.2.10 na każdym hoście w podsieci 192.168.2.0/24
lub
2. Robisz nat w lokalizacji2 na hoście 192.168.2.10, tak jak podałem tyle że lekko zmodyfikowany: 

iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.5.0/24 -o eth0 -j MASQUERADE

W opcji drugiej każdy host w sieci 192.168.2.0 będzie widział pakiety z n2n jakby wychodziły z hosta 192.168.2.10 i do niego będą odpowiadać tyle że wtedy będzie tak, że hosty w podsieci2 będą dostępne z podsieci1 ale w drugą stronę już nie bezpośrednio.

Jeżeli z lokalizacji2 chciałbyś mieć dostęp np do hosta 192.168.1.100 port 8080 to musiałbyś albo wykonać punkt 1 albo na hoście 192.168.2.10 zrobić przekierowanie portu 8080 od strony eth0 do hosta 192.168.1.100 i wywoływać go przez adres 192.168.2.10:8080

Archer C7 v.2 + LEDE by Cezary http://beta.speedtest.net/pl/result/6621599402

12 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

snifer napisał/a:

2. Robisz nat w lokalizacji2 na hoście 192.168.2.10, tak jak podałem tyle że lekko zmodyfikowany: 

iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.5.0/24 -o eth0 -j MASQUERADE

W opcji drugiej każdy host w sieci 192.168.2.0 będzie widział pakiety z n2n jakby wychodziły z hosta 192.168.2.10 i do niego będą odpowiadać tyle że wtedy będzie tak, że hosty w podsieci2 będą dostępne z podsieci1 ale w drugą stronę już nie bezpośrednio.

[lokalizacja1] - router

0.0.0.0        xx.yy.zz.1      0.0.0.0         UG    0      0        0 eth0.2
192.168.2.0    0.0.0.0         255.255.255.0   U     0      0        0 edge0
192.168.1.0    0.0.0.0         255.255.255.0   U     0      0        0 br-lan
192.168.5.0    0.0.0.0         255.255.255.0   U     0      0        0 edge0
xx.yy.zz.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0.2
xx.yy.zz.1     0.0.0.0         255.255.255.255 UH    0      0        0 eth0.2

Jest trasa do 192.168.2.0/24 przez egde0

[lokalizacja2] - host 192.168.2.10

0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.2.1     0.0.0.0         255.255.255.255 UH    0      0        0 eth0
192.168.5.0     0.0.0.0         255.255.255.0   U     0      0        0 edge0
iptables -t nat --list-rules POSTROUTING
-P POSTROUTING ACCEPT
-A POSTROUTING -s 192.168.5.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

To nie działa.

Myślałem też że może jest pomyłka w drugiej regule i zrobiłem jak wcześniej z "edge0" zamiast "eth0"

iptables -t nat -I POSTROUTING -s 192.168.5.0/24 -o edge0 -j MASQUERADE
iptables -t nat --list-rules POSTROUTING
-P POSTROUTING ACCEPT
-A POSTROUTING -s 192.168.5.0/24 -o edge0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

Ale nic to nie zmieniło, nadal nie działa.
W [lokalizacja1] mogę pingować tylko 192.168.2.10 ale np. do 192.168.2.1 już nie chcą.
A może problemem jest że z [lokalizacja1] zawsze pinguję 192.168.2.1 który jest w podsieci 192.168.2.0/24 routerem/bramą może powinenem pingować inne hosty z tamtej sieci ?
(tak mi było najwygodniej pingować bo wiem że tam zawsze jest 192.168.2.1 a inne trzeba szukać i nie zawsze są włączone)

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

13 Odpowiedź przez snifer

  • snifer
  • Użytkownik
  • Nieaktywny
  • Skąd: Mikołów
  • Zarejestrowany: 2010-05-26
  • Posty: 268

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Czy w lokalizacja1 masz jakiegoś nata na edge0? Jeżeli nie to tak zostaw i na hoście 192.168.2.10 musisz jeszcze dodać ruting do podsieci 192.168.1.0/24 via edge0, jeśli to nie zadziała to spróbuj w rutingu do podsieci 192.168.1.0 i 192.168.2.0 po obu stronach użyć jako GW konkretnego IP hosta po drugiej stronie tunelu a nie samego interfejsu edge0.
W lokalizacja2 zostaw nat taki jak Ci podałem wcześniej.

Archer C7 v.2 + LEDE by Cezary http://beta.speedtest.net/pl/result/6621599402

14 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

snifer napisał/a:

Czy w lokalizacja1 masz jakiegoś nata na edge0? Jeżeli nie to tak zostaw i na hoście 192.168.2.10 musisz jeszcze dodać ruting do podsieci 192.168.1.0/24 via edge0, jeśli to nie zadziała to spróbuj w rutingu do podsieci 192.168.1.0 i 192.168.2.0 po obu stronach użyć jako GW konkretnego IP hosta po drugiej stronie tunelu a nie samego interfejsu edge0.
W lokalizacja2 zostaw nat taki jak Ci podałem wcześniej.

Dla [lokalizacji1] moja konfiguracja związana z n2n jest parę postów wyżej http://eko.one.pl/forum/viewtopic.php?p … 72#p186072

Próbowałem zrobić routingi z wskazaniem konkretnego IP hosta - nie działa
W lokalizacja2 zrobiłem dokładnie to i w takiej kolejności

iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.5.0/24 -o eth0 -j MASQUERADE

także nie działa

Zrobiłem też w 192.168.2.10 ruting do podsieci 192.168.1.0/24 via edge0 - też nie działa.
Po tym kroku jest jednak pewna dodatkowa kicha, bo dodałem na [lokalizacja1] 

config forwarding
    option src 'wan_n2n'
    option dest 'lan'

config rule
    option enabled 'yes'
    option name 'wan_n2n:Allow-Ping'
    option src 'wan_n2n'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

/etc/init.d/firewall restart

Więc z 192.168.2.10 powinno być widać 192.168.1.1 a nie odpowiada.
(po stronie [lokalizacja1] użyłem option route = 1 i 0)

Czy może to jest jakiś trop że router w 192.168.1.1 nie jest widoczny z 192.168.2.10
i to powoduje że nie widać hostów ze strony 192.168.2.0/24 ?

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

15 Odpowiedź przez snifer

  • snifer
  • Użytkownik
  • Nieaktywny
  • Skąd: Mikołów
  • Zarejestrowany: 2010-05-26
  • Posty: 268

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Coś mi się wydaje, że zrobił Ci się tu jakiś bałagan.
1. Wyczyść wszystkie pododawane naty, usuń też opcję masq z zone wan_n2n z firewala na ruterze 1, dodaj accept na forward w obydwie strony między lan i edge0 na obydwu nodach n2n.
2. Następnie sprawdź czy z rutera 192.168.1.1/192.168.5.2 możesz pingować adresy 192.168.5.3 i 192.168.2.10 i w drugą stronę.
3. jeżeli nie ma pinga sprawdź czy masz odpowiednie rutingi po obu stronach.
4. Jeżeli masz ping między nodami w obie strony, zakładając, że 192.168.1.1 jest jednocześnie główną bramą dla całej podsieci 192.168.1.0/24, sprawdź czy masz ping z innego hosta w podsieci 192.168.1.0/24 do noda 192.168.2.10,jeżeli nie ma sprawdź zapory po obydwu stronach.
5. Jak jest ping, dodaj na jednym z hostów w sieci 192.168.2.0/24 ruting do podsieci 192.168.1.0/24 gw 192.168.2.10 (albo zmień mu na chwilę bramę domyślną na 192.168.2.10, nie powinno to mieć wpływu na działanie neta na tym hoście), upewnij się że na tym hoście firewall wpuszcza ping z dowolnej sieci (najlepiej na czas testu wyłącz zaporę), sprawdź czy możesz tego hosta pingować z podsieci 192.168.1.0/24 ale nie z rutera bo ten wychodzi adresem źródłowym 192.168.5.2.
6. Musi działać, jak nie działa posprawdzaj jeszcze raz reguły w zaporach po obu stronach.
7. Jak działa to zostają dwie opcje:

A. dodajesz takiego nata na hoście 192.168.2.10: 

iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

W takim układzie z lokalizacji 1 będziesz mieć dostęp do każdego hosta w lokalizacji2 za wyjątkiem dostępu z rutera 192.168.1.1 (bo on wychodzi z adresem źródłowym 192.168.5.2, jeżeli Ci na tym zależy to musisz jeszcze dodać drugą regułkę z -s 192.168.5.0/24
   lub
B. zmieniasz bramę domyślną lub dopisujesz ruting jak w p.5 na każdym hoście w lokalizacji2, który ma być osiągalny z lokalizacji1, jeżeli ma być dostęp też z rutera to musi być też ruting do adresacji 192.168.5.0/24

Nie ma wyjścia, musi działać.

Archer C7 v.2 + LEDE by Cezary http://beta.speedtest.net/pl/result/6621599402

16 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

snifer napisał/a:

Coś mi się wydaje, że zrobił Ci się tu jakiś bałagan.

pewnie tak

snifer napisał/a:

1. Wyczyść wszystkie pododawane naty,

lokalizacja2:

iptables -t nat -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
snifer napisał/a:

usuń też opcję masq z zone wan_n2n z firewala na ruterze 1,
dodaj accept na forward w obydwie strony między lan i edge0

config zone
    option name 'wan_n2n'
    option network 'wan_n2n'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config forwarding
    option src 'lan'
    option dest 'wan_n2n'

config forwarding
    option src 'wan_n2n'
    option dest 'lan'

config rule
    option name 'wan_n2n:Allow-Ping'
    option src 'wan_n2n'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

/etc/init.d/firewall restart

snifer napisał/a:

na obydwu nodach n2n.

lokalizacja2:

iptables --list-rules FORWARD
-P FORWARD ACCEPT
-A FORWARD -i edge0 -j ACCEPT
-A FORWARD -o edge0 -j ACCEPT
snifer napisał/a:

2. Następnie sprawdź czy z rutera 192.168.1.1/192.168.5.2 możesz pingować adresy 192.168.5.3 i 192.168.2.10 i w drugą stronę.

pingi przez 192.168.5.x w obie strony działają
ping do 192.168.2.10 - działa
ping do 192.168.1.1 - NIE działa

snifer napisał/a:

3. jeżeli nie ma pinga sprawdź czy masz odpowiednie rutingi po obu stronach.

lokalizacja1

route -n | grep edge0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 edge0
192.168.5.0    0.0.0.0         255.255.255.0   U     0      0        0 edge0

lokalizacja2

route -n | grep edge0
192.168.1.0    0.0.0.0         255.255.255.0   U     0      0        0 edge0
192.168.5.0    0.0.0.0         255.255.255.0   U     0      0        0 edge0

Wygląda na to że pingi nie docierają do routera w 192.168.1.1

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

17 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Szukam w obu firewallach ale czy jest tam cos podejrzanego ?

lokalizacja1:

iptables --list-rules | grep n2n
-N forwarding_wan_n2n_rule
-N input_wan_n2n_rule
-N output_wan_n2n_rule
-N zone_wan_n2n_dest_ACCEPT
-N zone_wan_n2n_forward
-N zone_wan_n2n_input
-N zone_wan_n2n_output
-N zone_wan_n2n_src_ACCEPT
-A delegate_forward -i edge0 -j zone_wan_n2n_forward
-A delegate_input -i edge0 -j zone_wan_n2n_input
-A delegate_output -o edge0 -j zone_wan_n2n_output
-A zone_lan_forward -m comment --comment "forwarding lan -> wan_n2n" -j zone_wan_n2n_dest_ACCEPT
-A zone_wan_n2n_dest_ACCEPT -o edge0 -j ACCEPT
-A zone_wan_n2n_forward -m comment --comment "user chain for forwarding" -j forwarding_wan_n2n_rule
-A zone_wan_n2n_forward -m comment --comment "forwarding wan_n2n -> lan" -j zone_lan_dest_ACCEPT
-A zone_wan_n2n_forward -m conntrack --ctstate DNAT -m comment --comment "Accept port forwards" -j ACCEPT
-A zone_wan_n2n_forward -j zone_wan_n2n_dest_ACCEPT
-A zone_wan_n2n_input -m comment --comment "user chain for input" -j input_wan_n2n_rule
-A zone_wan_n2n_input -p icmp -m icmp --icmp-type 8 -m comment --comment "wan_n2n:Allow-Ping" -j ACCEPT
-A zone_wan_n2n_input -m conntrack --ctstate DNAT -m comment --comment "Accept port redirections" -j ACCEPT
-A zone_wan_n2n_input -j zone_wan_n2n_src_ACCEPT
-A zone_wan_n2n_output -m comment --comment "user chain for output" -j output_wan_n2n_rule
-A zone_wan_n2n_output -j zone_wan_n2n_dest_ACCEPT
-A zone_wan_n2n_src_ACCEPT -i edge0 -j ACCEPT

lokalizacja2:

iptables --list-rules
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -i edge0 -j ACCEPT
-A FORWARD -o edge0 -j ACCEPT
TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

18 Odpowiedź przez snifer

  • snifer
  • Użytkownik
  • Nieaktywny
  • Skąd: Mikołów
  • Zarejestrowany: 2010-05-26
  • Posty: 268

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Z Twojego opisu wywnioskowałem, że ruter 192.168.1.1 to ten sam sprzęt, na którym masz noda n2n 192.168.5.2, nie mylę się?
Jeżeli tak i ping z 192.168.2.10 do adresu 192.168.5.2 i z 192.168.1.1 do 192.168.2.10 działa a ping z 192.168.2.10 do 192.168.1.1 (drugi interfejs tego samego hosta) już nie to jest jakiś problem z firewallem na ruterze 192.168.1.1, chyba że to całkiem inny ruter niż ten z n2n...
Co rozumiesz przez "ping przez 192.168.5.x...", pingowałeś to z innego hosta czy bezpośrednio z jednego noda n2n do drugiego (taki miał być pierwszy test, najpierw ping na adresy n2n a potem na adresy lan tych samych urządzeń) ?

Pewnie niewiele to pomoże ale możesz spróbować trochę zmienić ruting:
Na hoście 192.168.5.3 (192.168.2.10) robisz tak żeby wyglądało mniej więcej tak:

192.168.5.0    0.0.0.0           255.255.255.0       U   0   0   0   edge0
192.168.1.0    192.168.5.2       255.255.255.0       U   0   0   0   edge0

a po drugiej stronie na ruterze 192.168.1.1/192.168.5.2 odwrotnie:

192.168.5.0    0.0.0.0           255.255.255.0       U   0   0   0   edge0
192.168.2.0    192.168.5.3       255.255.255.0       U   0   0   0   edge0

I jeszcze pytanko, czy masz więcej edge nodów podpiętych do jednego supernoda w jednej podsieci 192.168.5.0/24 czy tylko te 2 razem spięte?

Archer C7 v.2 + LEDE by Cezary http://beta.speedtest.net/pl/result/6621599402

19 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

snifer napisał/a:

Z Twojego opisu wywnioskowałem, że ruter 192.168.1.1 to ten sam sprzęt, na którym masz noda n2n 192.168.5.2, nie mylę się?

Tak, ruter 192.168.1.1 to ten sam sprzęt, na którym mam noda n2n 192.168.5.2.

snifer napisał/a:

Jeżeli tak i ping z 192.168.2.10 do adresu 192.168.5.2 i z 192.168.1.1 do 192.168.2.10 działa

Działa

snifer napisał/a:

a ping z 192.168.2.10 do 192.168.1.1 (drugi interfejs tego samego hosta) już nie to jest jakiś problem z firewallem na ruterze 192.168.1.1, chyba że to całkiem inny ruter niż ten z n2n...

Nie za bardzo rozumiem, co masz na myśli pisząc "(drugi interfejs tego samego hosta)" w sensie drugi interfejs maszyny 192.168.2.10 ? Sugerujesz że ping z 192.168.2.10 do 192.168.1.1 próbuje strzelać w inny host niż ten w n2n ? tzn. że bez n2n i rutingów które dodałem w sieci 192.168.2.0/24 jest host 192.68.1.1 ? Jeśli tak to na lokalizacji1 zrobię interfejs 192.168.10.1. I wszystko przerobię pod tym kątem.

snifer napisał/a:

Co rozumiesz przez "ping przez 192.168.5.x...", pingowałeś to z innego hosta czy bezpośrednio z jednego noda n2n do drugiego (taki miał być pierwszy test, najpierw ping na adresy n2n a potem na adresy lan tych samych urządzeń) ?

Skrótowo odpowiedziałem na Twój scenariusz gdzie pisałeś aby sprawdzić:
z 192.168.2.10 do 192.168.5.2 - działa
z 192.168.1.1 do 192.168.5.3 - działa

snifer napisał/a:

I jeszcze pytanko, czy masz więcej edge nodów podpiętych do jednego supernoda w jednej podsieci 192.168.5.0/24 czy tylko te 2 razem spięte?

Tylko te 2.

A sugerowane routingi zaraz sprawdzę

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

20 Odpowiedź przez snifer

  • snifer
  • Użytkownik
  • Nieaktywny
  • Skąd: Mikołów
  • Zarejestrowany: 2010-05-26
  • Posty: 268

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

alossek napisał/a:

Nie za bardzo rozumiem, co masz na myśli pisząc "(drugi interfejs tego samego hosta)" w sensie drugi interfejs maszyny 192.168.2.10 ? Sugerujesz że ping z 192.168.2.10 do 192.168.1.1 próbuje strzelać w inny host niż ten w n2n ? tzn. że bez n2n i rutingów które dodałem w sieci 192.168.2.0/24 jest host 192.68.1.1 ? Jeśli tak to na lokalizacji1 zrobię interfejs 192.168.10.1. I wszystko przerobię pod tym kątem.

Nie, miałem na myśli ping z hosta 192.168.2.10 na adres 192.168.1.1 czyli na drugi interfejs rutera w lokalizacji1 (taki skrót myślowy).

Archer C7 v.2 + LEDE by Cezary http://beta.speedtest.net/pl/result/6621599402

21 Odpowiedź przez alossek (edytowany przez alossek 2017-04-13 09:03:42)

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

snifer:

Wielkie dzięki za pomoc, szacunek za cierpliwość i pomocną dłoń !

DZIAŁA

TL;DR:
totalnie wszystko po drodze było dobrze z wyjątkiem trasy
na [lokalizacji1] MUSI być

192.168.2.0    192.168.5.3       255.255.255.0       UG   0   0   0   edge0

tzn. ta trasa poniżej (działała dla 192.168.2.10 a NIE działała dla 192.168.2.0/24)

192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 edge0

W następnym poście napiszę dokładnie pełną konfigurację

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

22 Odpowiedź przez alossek (edytowany przez alossek 2017-04-13 09:38:39)

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Pełna poprawna konfiguracja:
[lokalizacja1]

/etc/config/firewall

config zone
    option name 'wan_n2n'
    option network 'wan_n2n'
    option masq '1'
    option mtu_fix '1'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'

config forwarding
    option src 'lan'
    option dest 'wan_n2n'

config rule
    option name 'wan_n2n:Allow-Ping'
    option src 'wan_n2n'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

/etc/config/network

config interface 'wan_n2n'
    option proto 'static'
    option ifname 'edge0'

config route
    option interface 'wan_n2n'
    option target '192.168.2.0'
    option gateway '192.168.5.3'
    option netmask '255.255.255.0'

/etc/config/n2n

config edge
    option ipaddr     '192.168.5.2'
    option supernode  'x.x.x.x'
    option port       'yy'
    option community  'pass'
    option key        'key'
    option route      '0'

[lokalizacja2]

Tu ważna jest opcja -r (bez tego nie będzie działać NAT)

edge -a 192.168.5.3 -c pass -k key -l x.x.x.x:yy -f -r
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.5.0/24 -o eth0 -j MASQUERADE
TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

23 Odpowiedź przez alossek (edytowany przez alossek 2017-04-13 09:39:05)

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: [SOLVED] N2N dostęp do LAN (poprzez końcówkę podsieci LAN) ?

Jeszcze tylko mały problemik (pierdoła)
za każdym razem gdy zrobię:

/etc/init.d/n2n stop
/etc/init.d/n2n start

nie wchodzi mi trasa zdefiniowana w /etc/config/network
dopóki nie zrobię:

/etc/init.d/network reload

Nie jest to wielki problem, ale działo to wcześniej (jak nie było tam gateway)

option gateway '192.168.5.3'

wówczas trasa się dodawała,
da się coś z tym zrobić ?

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)