Ho la seguente situazione:

Rete A con i seguenti PC:
192.168.0.11
192.168.0.12
192.168.0.13
........

Rete B invece con:
192.168.100.11
192.168.100.12
192.168.100.13
........

Computer C con due schede rete:
eth0: 192.168.0.10
eth1: 192.168.100.10

Il computer C vede tutte e due le reti, ma vorrei che mi permettesse di far vedere le due reti tra loro.
Ho inserito nel pc con IP 192.168.100.11 il comando:

route add -net 192.168.0.0 netmask 255.255.255.0 eth0

Il problema è che in questo modo riesco a pingare solo il 192.168.0.10 (che sarebbe la seconda scheda rete del computer C, ma non riesco a pingare il resto della rete 192.168.0.xx (Destination host unreachable).

Tutto questo mi servirebbe per far arrivare la rete 192.168.100.xx al gateway (router adsl) che è il 192.168.0.254.
Potreste darmi qualche aiutino?
Grazie.

:muro:

Il computer C deve fare il forward dei pacchetti, e una piccola nat:
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
Informazioni dettagliate le trovi qui:
http://www.netfilter.org/documentation/HOWTO/it/NAT-HOWTO.html

NOTA: La rete A _deve_ impostare come gateway il computer C, non il router!!

nel pc con 2 skede di rete imposti come gateway l'ip del router
negli altri pc metti come gateway l'ip della skeda di rete ke interessa quella sottorete (nb come netmask 255.255.0.0)

Originariamente inviato da pigio
(nb come netmask 255.255.0.0)
No ;)

Originariamente inviato da ilsensine

NOTA: La rete A _deve_ impostare come gateway il computer C, non il router!!



secondo me non dovresti nattare le connessioni tra le due reti, hai solo svantaggi.

su ogni pc della rete A giustamente devi impostare una regola che utilizzi il pc C come router

route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.0.10

e sulla rete B
route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.100.10

una maniera più elegante e funzionale sarebbe quello di trasformare il pc C in un bridge tra le due reti e non in un router, ma non l'ho mai fatto :fagiano:

Originariamente inviato da kingv
secondo me non dovresti nattare le connessioni tra le due reti, hai solo svantaggi.

su ogni pc della rete A giustamente devi impostare una regola che utilizzi il pc C come router

route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.0.10

e sulla rete B
route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.100.10
Sì forse funziona (devi comunque abilitare l'ip forward su C). In ogni caso la nat è necessaria per uscire su internet.

Originariamente inviato da ilsensine
Sì forse funziona (devi comunque abilitare l'ip forward su C). In ogni caso la nat è necessaria per uscire su internet.


no, mi sembra di aver capito che il router è a parte (su una delle reti) e si occuperà lui di nattare le connessioni verso l'esterno (internet).
l'ip_forward lo devi abilitare.


se pensi a una config così (dove R e' il router per andare su internet:

R----rete A ----- C ----- rete B

se natti dalla rete B alla A quando esci su internet c'e' un altro NAT e potrebbe non funzionare nulla.

Originariamente inviato da kingv
no, mi sembra di aver capito che il router è a parte (su una delle reti) e si occuperà lui di nattare le connessioni verso l'esterno (internet).
l'ip_forward lo devi abilitare.
Non ne sono sicuro, mi sembra che il gateway di default debba sempre essere a distanza metrica 1.


se natti dalla rete B alla A quando esci su internet c'e' un altro NAT e potrebbe non funzionare nulla.
No funziona tranquillamente, di questo sono sicuro. Puoi fare quante nat in catena ti pare.

Originariamente inviato da ilsensine
Non ne sono sicuro, mi sembra che il gateway di default debba sempre essere a distanza metrica 1.


questo non lo sapevo, dopo faccio una ricerca.


No funziona tranquillamente, di questo sono sicuro. Puoi fare quante nat in catena ti pare.

ok, ma ammesso anche che funzioni sulla intranet non ne avresti necessità (nè vantaggi) :tie: ;)

Originariamente inviato da kingv
questo non lo sapevo, dopo faccio una ricerca.

Fammi sapere se scopri qualcosa, una volta ho fatto una sorta di prova e non mi funzionava.

Originariamente inviato da ilsensine
Fammi sapere se scopri qualcosa, una volta ho fatto una sorta di prova e non mi funzionava.


da una veloce ricerca sembra che sia possibile avere più di un default gateway con metriche diverse .
e' parecchio interessante, su una macchina che fa il router verso internet per una lan si potrebbe avere più di una connessione utilizzando quella piu' veloce come primaria e nel caso non fosse disponibile una più lenta.

Più default gw sì, una volta l'ho testato. Con metrica > 1 non ci ero riuscito...

Originariamente inviato da ilsensine
Più default gw sì, una volta l'ho testato. Con metrica > 1 non ci ero riuscito...


Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.24.80.0 * 255.255.255.0 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth0
default 172.24.80.254 0.0.0.0 UG 0 0 0 eth0
default 172.24.80.253 0.0.0.0 UG 20 0 0 eth0


purtroppo la 172.24.80.253 non e' un router per cui non riesco a testarlo ora

Originariamente inviato da kingv

purtroppo la 172.24.80.253 non e' un router per cui non riesco a testarlo ora

adesso che ci penso anche se fosse un router per testarlo dovrei spegnere l'altro (il 254) sarei crocifisso in sala mensa seduta stante :stordita:

mmm credo che con "metric" ho usato il termine sbagliato, intendevo che il default gw deve trovarsi nella subnet direttamente connessa al computer che ne usufruisce, come è il tuo caso:

172.24.80.0 * 255.255.255.0 U 0 0 0 eth0
...
default 172.24.80.254 0.0.0.0 UG 0 0 0 eth0
default 172.24.80.253 0.0.0.0 UG 20 0 0 eth0

Se c'è di mezzo un pc che effettua l'ip forward, non sono sicuro se puoi raggiungere il gw...almeno, è questo ciò che non ero riuscito a fare.

Guarda ad es. questo:
http://www.linuxsa.org.au/meetings/1998-02/conflinux/defgateway.html
Coincide con il caso stefanoxjx, se al posto della subnet 10.0.3.x metti "internet".

Originariamente inviato da ilsensine

Se c'è di mezzo un pc che effettua l'ip forward, non sono sicuro se puoi raggiungere il gw...almeno, è questo ciò che non ero riuscito a fare.

ho capito cosa intendi :doh: penso anch'io che non funzioni.

forse l'idea di usare la linux box come un bridge potrebbe avere un senso :O

Vi ringrazio per l'aiuto.
Adesso provo e poi vi so dire.
Nel frattempo, vorrei esporvi esattamente cosa devo fare in modo che se ho sbagliato qualcosa nel mio ragionamento, mi possiate correggere.
Se guardate lo schema che ho allegato (in formato pdf), vedrete che esistono due reti distinte che (per ora) usano lo stesso segmento di rete.
Una delle due ha un collegamento ADSL ed è per questo che mi interessa fare tutto questo lavoro.
Le due reti vengono unite tra loro tramite due access point configurati in modalità bridge.
La mia idea era quella di aggiungere un pc (computer C menzionato nel primo post) con due schede ethernet e cambiare gli ip in 192.168.100.xx alla mia rete.
Il computer C servirebbe poi per filtrare i pacchetti in modo che la rete remota (non mia) non possa accedere ai miei pc.
Che ne dite??? è fattibile???

Grazie.

mmm qualcosa non mi è chiaro...in particolare, la freccia che _dal_ router va all'access point 253...
Cosa vorresti fare, in sintesi? Eliminare gli access point?

Per non metterci troppo tempo, nello schema non ho messo gli switch che ovviamente devono esserci.
In pratica, immaginati una classica rete con i suoi pc, il router e il tutto collegato allo switch.
A questo punto, io devo aggiungere gli access point su entrambe le reti in modo da farle dialogare tra loro (sono a circa 2Km. di distanza) e aggiungere nella mia rete, un pc che farà da firewall e visto che c'è anche altre funzioni.
Spero di essermi spiegato bene :confused:

Comincio ad avvicinarmi credo...
Innanzitutto ti consiglio di mettere su la rete senza il fw per controllare che tutto funzioni; poi cambi subnet alla tua rete (ma non al tuo AP!) e tra la rete e l'AP metti un PC che fa nat, firewall, ecc.
Dovrebbe andare, no?

nb 2km non sono un pò troppi per una connessione wireless?

Originariamente inviato da ilsensine
Comincio ad avvicinarmi credo...
Innanzitutto ti consiglio di mettere su la rete senza il fw per controllare che tutto funzioni; poi cambi subnet alla tua rete (ma non al tuo AP!) e tra la rete e l'AP metti un PC che fa nat, firewall, ecc.
Dovrebbe andare, no?


E' proprio quello che voglio fare.


nb 2km non sono un pò troppi per una connessione wireless?


Non con antenne apposite montate sopra i rispettivi tetti (salvo ostacoli imprevisti) :D

Originariamente inviato da stefanoxjx
Non con antenne apposite montate sopra i rispettivi tetti (salvo ostacoli imprevisti) :D

:sofico:
http://www.jpl.nasa.gov/images/dsn/gavrt_dish-browse.jpg

Le mie, sono leggermente più piccole, si parla comunque di una manciata di millimetri :sofico: :D

Ricapitolando, ho fatto tutto quello che mi hai detto e sembra funzionare, dico sembra perchè vedo il router isdn (impostato come gateway) che tenta di collegarsi.
Purtroppo la connessione con il router è attiva da mezzanotte, quindi fino a tale ora non posso verificare se oltre a collegarsi naviga.
Una curiosità, ma è normale che riesca ad andare in internet ma non a pingare l'altra rete?
Non che mi dispiaccia, anzi, le due reti in questo modo risultano già separate senza bisogno di regole apposite :confused: :D

Mi auto quoto per dirti che:

Originariamente inviato da stefanoxjx
Le mie, sono leggermente più piccole, si parla comunque di una manciata di millimetri :sofico: :D


Confermo questa prima notizia :sofico:


Ricapitolando, ho fatto tutto quello che mi hai detto e sembra funzionare, dico sembra perchè vedo il router isdn (impostato come gateway) che tenta di collegarsi.
Purtroppo la connessione con il router è attiva da mezzanotte, quindi fino a tale ora non posso verificare se oltre a collegarsi naviga.


Ora che è passata la mezzanotte e ho la connessione funzionante, ho fatto un po di prove e confermo, con un ping 1.1.1.1, il router si è collegato a internet, però non naviga perchè......................


Una curiosità, ma è normale che riesca ad andare in internet ma non a pingare l'altra rete?


..................la regola per il nat puntava alla rete sbagliata, è bastato ridigitare la regola con il giusto segmento di rete (192.168.100.0/24) e tutto è andato a buon fine.


Non che mi dispiaccia, anzi, le due reti in questo modo risultano già separate senza bisogno di regole apposite :confused: :D


"Purtroppo" con la nuova regola per il nat, riesco a pingare tutti i pc delle due reti e quindi dovrò scrivere delle apposite regole per bloccare il traffico che arriva dalla rete 192.168.0.0, tranne il 192.168.0.252, 192.168.0.253 e 192.168.0.254.

Ti ringrazio, mi sei stato di grande aiuto.
Adesso non mi resta che provare a piazzare le due antenne e vedere se tutto funziona. :eekk:

stefanoxjx,
ho seguito con interesse tutto il thread, pero alcuni passaggi non li ho compresi bene.
potresti gentilmente postare un riassunto delle regole e dei passaggi da te effettuati per collegare le due reti ?
vorrei imbattermi in qualcosa di simile.
ti ringrazio in anticipo ciaoooo :sofico:

_YTS_

Una volta capito, il discorso è abbastanza semplice.

Tu hai una rete che viaggia su segmento di rete xxx.xxx.xxx.xxx e devi collegarti a una rete che viaggia su segmento di rete yyy.yyy.yyy.yyy.
Io ho aggiunto un PC con due schede rete una configurata con xxx.xxx.xxx.1 e l'altra con yyy.yyy.yyy.1
Questo pc mi permette di unire le due reti e di poterne filtrare anche i pacchetti.

Le regole da usare sono:

Attivare il forward con:
echo "1" > /proc/sys/net/ipv4/ip_forward

Poi inserisci la regola per il nat
iptables -t nat -A POSTROUTING -s xxx.xxx.xxx.0/24 -j MASQUERADE

Comunque ilsensine mi ha indicato anche questo link che spiega un po' il meccanismo.
http://www.netfilter.org/documentat.../NAT-HOWTO.html

Se hai bisogno di utilizzare un gateway per la connessione a internet, nel pc con due schede rete, inserisci come default gateway il codice ip del router, mentre nella rete dove non hai il router, inserisci come default gateway il codice ip della macchina con due schede rete (xxx.xxx.xxx.1).
Spero di essermi spiegato.
L'unica cosa da fare per capire bene, è mettersi su banco di prova con un po' di pc e provare sul campo :D

Ciao.

ti sei spiegato benissimo!! :D
e ti ringrazio perche non si sa mai che mi possa tornare utile.
ciao

_YTS_