Premessa: non è una condivisione illegale di adsl via wifi, si deve distribuire l'adsl sui tre piani di una villa.

Fisicamente la rete è così configurata:

router 2------------subnet 192.168.2.X
|
|
|
router 1-------------subnet 192.168.1.X
|
|
|
router 3------------subnet 192.168.3.X


Il router 1 è connesso ad internet in PPPoA (non è possibile tramite PPPoE).

Il router 1 è un D-link 624T con firmware routertech 2.91.1 router 2 e 3 sono delle fonera 2200 con firmware DD-wrt v24-sp1


Voglio innanzitutto creare le 2 subnet: le fonera hanno ip statico sul router 1 del tipo 192.168.1.X e devono rilasciare ip dal dhcp come 192.168.2.X e 192.168.3.X

Poi voglio che queste 3 subnet non siano visibili tra di loro.

Infine devo poter assegnare una certa quantità di banda in UP e in DOWN (differenti) alle due subnet dei router 2 e 3.

Consigli?

Grazie

Voglio innanzitutto creare le 2 subnet: le fonera hanno ip statico sul router 1 del tipo 192.168.1.X e devono rilasciare ip dal dhcp come 192.168.2.X e 192.168.3.X

È sufficiente configurare opportunamente i server dhcp delle due fonera

Poi voglio che queste 3 subnet non siano visibili tra di loro.

Non è possibile nascondere completamente le tre subnet in quanto in quanto il router 1 deve poter vedere il 2 e il 3 (e viceversa) altrimenti non potrebbe instradare i pacchetti verso internet. Per cui router 1 deve essere i default gateway di router 2 e 3.

Potresti lavorare a livello di firewall

1) su router 1, bloccando tutto il traffico proveniente dalla altre due subnet e diretto verso la propria subnet

oppure

2) sui router delle subnet 2 e 3, bloccando il traffico diretto verso la subnet 1 (ad eccezione di quello diretto verso router 1, ovviamente)

Infine devo poter assegnare una certa quantità di banda in UP e in DOWN (differenti) alle due subnet dei router 2 e 3.


Dipende dal firmware presente nei router se consente di fare trafic shaping o bandwidth management. Da quanto ne so io, il routertech consente di farlo.

infatti a lui potrebbe bastare il più semplice bandwidth management, perchè da quanto emerge nel post gli interessa controllare la banda totale sui link che collegano le 2 subnet al router, non tanto come tale traffico venga suddiviso tra i singoli host.

infatti a lui potrebbe bastare il più semplice bandwidth management

Però in questo modo l'allocazione della banda viene definita a priori e rimane fissa a prescindere dalle condizioni dinamiche. Cioè, anche in assenza di traffico sulle altre due subnet, la banda assegnata a una di esse viene limitata a un valore predefinito.

Credo che il routertech abbia un meccanismo chiamato "bandwidth throttle" che poi possa essere configurato dinamicamente con degli script (per esempio se una subnet supera una certa banda B1 per N secondi allora limitala a B2 per i prossimi N2 secondi).

È sufficiente configurare opportunamente i server dhcp delle due fonera
ma se do l'ip alla fonera 192.168.1.X il dhcp non mi fa assegnare degli ip nella subnet 192.168.2.X ma solo sulla 192.168.1.X

Oppure devo dare ip alla fonera 192.168.2.1 con gateway 192.168.1.1 (cioè il primo router)? Andrebbe su internet così la rete assegnata dalla fonera?


Non è possibile nascondere completamente le tre subnet in quanto in quanto il router 1 deve poter vedere il 2 e il 3 (e viceversa) altrimenti non potrebbe instradare i pacchetti verso internet. Per cui router 1 deve essere i default gateway di router 2 e 3.
mi interessa solo che un pc della "rete 2" non veda i pc della "rete 1" e "rete 3" (e viceversa). Si ottiene questo dando subnet diverse ai pc?

EDIT: nel senso che sulle schede di rete dei vari pc non saranno mai impostati 2 ip di classe 192.168.1.X e 192.168.2.X per vedere entrambe le subnet... diciamo che con un ip solo non si devono vedere le altre due reti, tutto qui.

Dipende dal firmware presente nei router se consente di fare trafic shaping o bandwidth management. Da quanto ne so io, il routertech consente di farlo.
dovrebbe essere il netshaper, giusto?
L'ho provato, ma mi fa settare un limite per ip totale, mentre io vorrei dare, per esempio, 30kB/sec in upload e 400kB/sec in dowload ad una rete (quindi come destinazione il solo ip della fonera).

I comandi -s (host sorgente) o -d (host destinazione) non hanno differenza :(

infatti a lui potrebbe bastare il più semplice bandwidth management, perchè da quanto emerge nel post gli interessa controllare la banda totale sui link che collegano le 2 subnet al router, non tanto come tale traffico venga suddiviso tra i singoli host.
non mi interessa tra i vari host, mi interessa che arrivi un X kB/sec in up e un X kB/sec in down, ma a valori diversi altrimenti con l'adsl asimmetrica che ho limito solo l'up castrando inutilmente il down...

Però in questo modo l'allocazione della banda viene definita a priori e rimane fissa a prescindere dalle condizioni dinamiche. Cioè, anche in assenza di traffico sulle altre due subnet, la banda assegnata a una di esse viene limitata a un valore predefinito.
non è importante, mi basta che la rete 2 non superi i kB/sec assegnati in up e down (diversi).

Credo che il routertech abbia un meccanismo chiamato "bandwidth throttle" che poi possa essere configurato dinamicamente con degli script (per esempio se una subnet supera una certa banda B1 per N secondi allora limitala a B2 per i prossimi N2 secondi).

mai sentito... dopo pranzo ci do un occhio.

Però in questo modo l'allocazione della banda viene definita a priori e rimane fissa a prescindere dalle condizioni dinamiche. Cioè, anche in assenza di traffico sulle altre due subnet, la banda assegnata a una di esse viene limitata a un valore predefinito.

Credo che il routertech abbia un meccanismo chiamato "bandwidth throttle" che poi possa essere configurato dinamicamente con degli script (per esempio se una subnet supera una certa banda B1 per N secondi allora limitala a B2 per i prossimi N2 secondi).

Non avevo dato attenzione al fatto che suggerivi di centralizzare il managment sul router1.
La mia idea era di farlo a monte su router2 e 3 ed è per questo che optavo per una soluzione statica, in quanto mi è capito con diverse (quasi tutte) implementazioni di "traffic shaping" senza supporto diretto al "bandwidth managment" che il tutto (in un contesto simile a questo) funzionasse finchè c' era il match di tutte le regole ma sballasse all' atto della ripartizione della banda inutilizzata, quando qualche host andava down(in pratica veniva considerata anche la banda che con le regole precedenti era stata esclusa) .

"bandwidth throttle" a quanto so, si utilizza solitamente in quei segmenti di rete dove sono allocati dei serventi, in quanto, come spiegavi, lo scopo è principalmente quello di tenere un carico di traffico, sul link, statisticamente medio sul lungo periodo.

"bandwidth throttle" a quanto so, si utilizza solitamente in quei segmenti di rete dove sono allocati dei serventi, in quanto, come spiegavi, lo scopo è principalmente quello di tenere un carico di traffico, sul link, statisticamente medio sul lungo periodo.
Dovrebbe essere questo comando:

bandwidth.sh - allows you to throttle the bandwidths of those who have exceeded a specified transfer bandwidth (default 500mb), and to display bandwidth usage data. Run it without any parameter to see the syntax. Requires IP Account to be enabled

Se è così (senza provarlo perchè non ho l'ip account attivo, che cmq mi pare sia possibile solo su un ip locale, mentre io avrei due ip delle due fonera) non mi sembra ciò di cui ho bisogno, si parla di una quantità di byte totale, non per limitare up e down separatamente.

ma se do l'ip alla fonera 192.168.1.X il dhcp non mi fa assegnare degli ip nella subnet 192.168.2.X ma solo sulla 192.168.1.X

Scusa ma non conosco la fonera, credevo che fosse un router con una interfaccia wan su ethernet.


Oppure devo dare ip alla fonera 192.168.2.1 con gateway 192.168.1.1 (cioè il primo router)? Andrebbe su internet così la rete assegnata dalla fonera?


Non puoi a meno che, come dicevo prima, la fonera non abbia una intefaccia wan. Nel qual caso dovresti dare un indirizzo sulla 192.168.2.0/24 lato lan e una sulla 192.168.1.0/24 sull'interfaccia wan.



mi interessa solo che un pc della "rete 2" non veda i pc della "rete 1" e "rete 3" (e viceversa). Si ottiene questo dando subnet diverse ai pc?


Oltre a dare subnet diverse alle tre reti devi anche disabilitare il routing tra di esse. Ma se lo fai allora dalle reti 2 e 3 non vedresti la 1 e di conseguenza il router che dà l'accesso a internet.



dovrebbe essere il netshaper, giusto?
L'ho provato, ma mi fa settare un limite per ip totale, mentre io vorrei dare, per esempio, 30kB/sec in upload e 400kB/sec in dowload ad una rete (quindi come destinazione il solo ip della fonera).


Non ho capito questo comando se lo imposti sul router della rete 1 o sulla fonera della rete 2 o 3. Nel primo caso infatti è sufficiente assegnare tale limite all'ip della fonera e ottieni di limitare la banda a tutta la subnet a essa connessa.

Se è così (senza provarlo perchè non ho l'ip account attivo, che cmq mi pare sia possibile solo su un ip locale, mentre io avrei due ip delle due fonera)

Se la fonera ha una interfaccia wan, considerando l'ipotesi che avevo avanzato nel mio primo messaggio, a questa interfaccia sarà assegnato un indirizzo IP locale del routertech. E quindi risponderebbe pienamente alle tue esigenze.

Ribadisco una cosa che forse non ho sottolineato a sufficienza: se vuoi segmentare la tua rete in tre subnet hai bisogno di altri due router, altrimenti le subnet non possono comunicare. Se la fonera non può operare come router con interfaccia wan ethernet, il tuo progetto non può essere realizzato.

non mi sembra ciò di cui ho bisogno, si parla di una quantità di byte totale, non per limitare up e down separatamente.

Tratto dalle faq del routertech (http://www.routertech.org/firmware-faq/):

Q. One of my children always hogs the router from his laptop with heavy downloads. How can I ensure that everyone else can also surf the net while he is downloading his stuff?
A. Throttle the bandwidth of his laptop with the rshaper function.


First of all, enable the rshaper module by going to the "RT Configurations" menu and enabling rshaper (or with this command: setenv "rshaper_enable 1" && /sbin/reboot)
Then throttle his bandwidth to about 256kb or whatever. Assuming his laptop has the IP address of 192.168.1.5, you can run this: rshaperctl 192.168.1.5 262144



"bandwidth throttle" a quanto so, si utilizza solitamente in quei segmenti di rete dove sono allocati dei serventi, in quanto, come spiegavi, lo scopo è principalmente quello di tenere un carico di traffico, sul link, statisticamente medio sul lungo periodo.

Nella terminologia del routertech credo che con detto termine indichino una funzione di allocazione di banda massima verso un certo IP.

Ribadisco una cosa che forse non ho sottolineato a sufficienza: se vuoi segmentare la tua rete in tre subnet hai bisogno di altri due router, altrimenti le subnet non possono comunicare. Se la fonera non può operare come router con interfaccia wan ethernet, il tuo progetto non può essere realizzato.
sì, ha una porta ethernet che può operare come WAN.
Ho messo questi settaggi:
http://img410.imageshack.us/img410/8633/wan.jpg

Corretto?

A questo punto setto il router ip in questo modo:

http://img18.imageshack.us/img18/5761/laniro.jpg

Mi sono connesso facendomi assegnare un ip dal dhcp della fonera che mi ha dato, giustamente un 192.168.2.9 e navigo su internet.

Però pingo anche gli indirizzi 192.168.1.X
E' una cosa che non voglio, guarderò sul firewall del router 1. Se non bloccassi il traffico tra le due subnet non ci potrebbe essere il caso che un pc in ingresso sulla wireless della fonera prenda gli ip dagli altri 2 dhcp in rete?


Tratto dalle faq del routertech (http://www.routertech.org/firmware-faq/):
sì, ho provato con quello, ma anche con il più nuovo netshaper, però entrambi limitano la banda senza poter discriminare tra up e down.

Cioè se gli do, mettiamo 20kB/sec per non saturare la banda di up dall'adsl (che ne ha 50kB/sec totali), gli host su quella rete avrebbero massimo 20kB/sec TOTALI tra up e down. Farei cioè uno shape simmetrico, a me serve uno shape asimmetrico (come l'adsl che ho).


Nella terminologia del routertech credo che con detto termine indichino una funzione di allocazione di banda massima verso un certo IP.

esatto, massima... ma globale. Come detto già mi serve asimmetrico.

Idee?

sì, ha una porta ethernet che può operare come WAN.
Ho messo questi settaggi:

Corretto?


Direi proprio di sì.


Mi sono connesso facendomi assegnare un ip dal dhcp della fonera che mi ha dato, giustamente un 192.168.2.9 e navigo su internet.

Però pingo anche gli indirizzi 192.168.1.X


Questo è normale, i router servono a questo. ;-)
Per ovviare a questo problema, dovresti agire sul firewall. O su quello della fonera, bloccando tutto il traffico diretto verso la subnet 192.168.1.0/24 tranne che ovviamente quello diretto al gateway 192.168.1.1/32, oppure sul firewall del routertech, bloccando tutto il traffico proveniente dalla subnet 2 e 3 destinato alla subnet 1, tranne anche in questo caso quello diretto al gateway 192.168.1.1

Se non bloccassi il traffico tra le due subnet non ci potrebbe essere il caso che un pc in ingresso sulla wireless della fonera prenda gli ip dagli altri 2 dhcp in rete?


No. Normalmente le richieste DHCP non passano i router. Per cui chi si connette a una subnet riuscirà a dialogare solo con il server DHCP presente su quella subnet.

subnet 192.168.1.0/24 tranne che ovviamente quello diretto al gateway 192.168.1.1/32
scusami, mi imbatto spesso in questo /24 e ora anche in /32... mi spiegheresti che sono e come si usano? Grazie.

Le subnet ci sono... rimane da isolarle e dargli uno shape asimmetrico...

Mi sa che le regole nel firewall le dovrò scrivere come comandi da shell e metterli in esecuzione automatica all'avvio :( Vado ad informarmi...

Credo sia conveniente farlo sul routertech così disattivo i firewall sulle fonera che sarebbero inutili e libererei risorse per questo mini-routerino.

scusami, mi imbatto spesso in questo /24 e ora anche in /32... mi spiegheresti che sono e come si usano?


Quella notazione indica di quanti bit è composta la parte network di un indirizzo IP. In altre parole indica la lunghezza della subnet mask.

Sui classici indirizzi privati di classe C normalmente utilizzati per le reti domestiche le subnet mask sono lunghe 24 bit. La notazione 192.168.0.1/24 è equivalente a dire 192.168.0.1 con subnet mask 255.255.255.0

Per una definizione http://en.wikipedia.org/wiki/Subnetwork
Se poi vuoi approfondire un pelino di più http://www.tcpipguide.com/free/t_IPSubnetMasksNotationandSubnetCalculations.htm


Le subnet ci sono... rimane da isolarle e dargli uno shape asimmetrico...

Non so se troverai il modo di realizzarlo. Tieni comunque presente che anche avendo la possibilità di limitare solo la banda totale, ottieni comunque, almeno in parte, il risultato desiderato.

In condizioni normali, le attività di una rete domestica o "small office" sono caratterizzate dalla prevalenza dei download sugli upload. Sotto queste circostanza, il traffico generato in uscita è costituito principalmente dall'invio dei pacchetti di acknowledgement (si chiamano in un altro modo, ma per i nostri fini è equivalente) che costituiscono quindi una frazione minima della banda totale utilizzata e soprattutto difficilmente saturano quella a disposizione (anche questa è una approssimazione ma sufficiente per i nostri scopi).

Possiamo quindi dire che, con un utilizzo come quello descritto, dividendo opportunamente la banda tra le tre subnet (in modo che la somma della banda assegnata a ciascuna di esse sia uguale alla somma della banda disponibile ossia download+upload) difficilmente dovrebbe portare alla saturazione della banda in upload.

Chiaramente, se l'attività tipica anche solo di una delle tre subnet vede dei massicci upload, allora la necessità di uno shaping più sofisticato diviene stringente.

Chiaramente, se l'attività tipica anche solo di una delle tre subnet vede dei massicci upload, allora la necessità di uno shaping più sofisticato diviene stringente.

La configurazione così fatta è proprio per non dover sapere sempre cosa fanno gli host connessi alle due fonera ed avere sempre una rete funzionante per tutti.

Non è utile configurare una sottorete con uno shape così grezzo, dovrei avere la possibilità di controllare tutti gli host di continuo perchè potrebbero intasarmi tutto, mentre senza divisione dalla rete (con il controllo degli host) sarebbe molto meglio impostare delle regole di qos.

Uffa...

Eventualmente, conosci un buon modem/router che mi permetta di fare tutto questo (dhcp con subnet diverse su porte ethernet diverse, lan isolation e shaping asimmetrico) che non costi una follia?

Grazie

pacchetti di acknowledgement (si chiamano in un altro modo, ma per i nostri fini è equivalente)
expectational acknowledgement, comunemente detti ACK

Eventualmente, conosci un buon modem/router che mi permetta di fare tutto questo (dhcp con subnet diverse su porte ethernet diverse, lan isolation e shaping asimmetrico) che non costi una follia?


Se intendi un appliance (uno scatolotto) no, non ne conosco. Esigenze di questo tipo sono peculiari di un target piuttosto sofisticato e, purtroppo, i prodotti di fascia professionale costano.
Un'alternativa sicuramente più economica è rappresentata da un PC con una distro Linux dedicata.