doppia rete

crasca · 16-03-2012, 11:36

Buongiorno a tutti dunque ho un problema per me difficile ma che magari a qualcuno è già capitato e risolto:

ho una rete privata in ufficio blindata nel senso che non posso modificare cosi configurata 10.97.4.160 mask 255.255.255.224 i cui device collegati hanno praticamente riempito; devo aggiungere altre apparecchiature (telefoni VOIP e centralino asterisk) senza possibilmente dover ricablare tutto l'ufficio.
quindi la domanda è, inannzitutto, possibile far girare sullo stesso cavo pacchetti di sottoreti private diverse ? (la risposta dovrebbe essere si).
Ora la mia idea sarebbe prendere una uscita lan del router collegato ad internet (R1) e collegarla all'ingresso wan del router della rete secondaria (R2),
quindi collegare una uscita di R1 ed una uscita di R2 ad uno switch al quale sono collegate tutte le apparecchiature dell'ufficio sia di una rete che dell'altra. Ovviamente il R2 avrà come indirizzo WAN un ip privato della rete di R1. Altrettanto ovviamente il router R1 immagino dovrà avere impostata la route statica verso l'altra sottorete (es. R1 avrà 192.168.0.0/24 -> 10.97.4.X (WAN R2) ). Che ne pensate ? Ogni risposta sarà estremamente gradita .... Ciao a tutti.

nuovoUtente86 · 16-03-2012, 12:55

nessuna route statica, basta un dispositivo che faccia NAT su un IP valido nella subnet aziendale.

crasca · 17-03-2012, 12:07

si ma fisicamente come dovrebbero essere connesse ? cioe se un pc 192 è collegato fisicamente ad una porta lan del router R1 come fa ad uscire nattato su internet l'R1 non lo fa perchè presuppone che solo i pacchetti 10 debbano essere tradotti. Bisognerebbe che tutti i device 192 fossero separati fisicamente e direttamente connessi all'apparato che dici tu e quest'ultimo ad una porta lan del R1 e comunque che R1 sappia che sotto all'apparato ci sia un'altra rete 192 se no i pc aziendali come fanno a raggiungere i device 192.
Che ne pensi ?
Ho provato a fare test con un Draytek 2820VN come R1 e con un Netgear FVS318 vecchiotto che avevo in casa ma collegandoli in tutte le maniere la cosa non mi sembra comunque stabile.

Dumah Brazorf · 17-03-2012, 12:52

Non potresti semplicemente mettere tutto sotto il secondo router?

nuovoUtente86 · 17-03-2012, 14:36

Quote:

Originariamente inviato da crasca

si ma fisicamente come dovrebbero essere connesse ? cioe se un pc 192 è collegato fisicamente ad una porta lan del router R1 come fa ad uscire nattato su internet l'R1 non lo fa perchè presuppone che solo i pacchetti 10 debbano essere tradotti. Bisognerebbe che tutti i device 192 fossero separati fisicamente e direttamente connessi all'apparato che dici tu e quest'ultimo ad una porta lan del R1 e comunque che R1 sappia che sotto all'apparato ci sia un'altra rete 192 se no i pc aziendali come fanno a raggiungere i device 192.
Che ne pensi ?
Ho provato a fare test con un Draytek 2820VN come R1 e con un Netgear FVS318 vecchiotto che avevo in casa ma collegandoli in tutte le maniere la cosa non mi sembra comunque stabile.

E' tutto molto più semplice: tutti i pc nella subnet privata del router/natter saranno visti dalla rete aziendale come un unico ip valido.

crasca · 17-03-2012, 20:25

Per Dumah

eh no non posso perchè la rete principale deve essere riconoscibile dal resto dei pc dell'azienda nel resto del mondo

Per nuovoUtente86

ok ma se da un pc classe 10 voglio configurare un telefono voip attraverso la sua interfaccia web che ha indirizzo classe 192 come faccio ? Quando il pacchetto arriva al router R2 questo cosa fa ? lo rimette in Lan ?

Vediamo se riesco a fare uno schizzo ....

Le "S" sono spazi vuoti perchè ho provato con gli spazi ma l'html me li ammucchia tutti a a sinistra.

WAN
SS|SSSSSSSSSSSSS+---------------+ porta Wan ip 10.
---------- SSSSSSSS|SSSSSSSSS-----------
|R1 10. | SSSSSSSS|SSSSSSSS| R2 192. |
---------- SSSSSSSS|SSSSSSSSS-----------
SS|S +-------------- |
SS--------------------------------------
SSSSS|SSSS|SSSS|SSSS|SSSS|
Tutti i device di ogni classe

Ora vediamo se ho capito :
la config di un device in classe 10 dovrebbe essere:
IP 10.x.x.x
NMask 255.255.255.224
Gateway 10.X.X.X del R1

la config di un device in classe 192 dovrebbe essere:
IP 192.X.X.X
NMask 255.255.255.224
Gateway 192.X.X.X del R2
perche cosi il pacchetto viene nattato due volte prima di uscire su internet.

Se un pc in classe 10 vuole contattare la porta Web di un telefono
in classe 192 passa ovviamente dal R1 il quale, a meno che non abbia una rotta statica verso R2, butta la richiesta sulla sua default route cioè la Wan.
Se invece ha una route statica dovrebbe girarla verso R2 il quale vedendosi arrivare un pacchetto per la sua lan sottostante cosa fa? la gira di nuovo in lan.
E' corretto ? Dovrebbe funzionare ?
Per completezza il DNS sta nella rete 10.X.X.X

Scusate ma è la prima volta che mi capita ho sempre avuto spazio in ogni subnet in cui ho dovuto agire.

nuovoUtente86 · 17-03-2012, 21:22

Quote:

Originariamente inviato da crasca

Per Dumah

eh no non posso perchè la rete principale deve essere riconoscibile dal resto dei pc dell'azienda nel resto del mondo

Per nuovoUtente86

ok ma se da un pc classe 10 voglio configurare un telefono voip attraverso la sua interfaccia web che ha indirizzo classe 192 come faccio ? Quando il pacchetto arriva al router R2 questo cosa fa ? lo rimette in Lan ?

Vediamo se riesco a fare uno schizzo ....

Le "S" sono spazi vuoti perchè ho provato con gli spazi ma l'html me li ammucchia tutti a a sinistra.

WAN
SS|SSSSSSSSSSSSS+---------------+ porta Wan ip 10.
---------- SSSSSSSS|SSSSSSSSS-----------
|R1 10. | SSSSSSSS|SSSSSSSS| R2 192. |
---------- SSSSSSSS|SSSSSSSSS-----------
SS|S +-------------- |
SS--------------------------------------
SSSSS|SSSS|SSSS|SSSS|SSSS|
Tutti i device di ogni classe

Ora vediamo se ho capito :
la config di un device in classe 10 dovrebbe essere:
IP 10.x.x.x
NMask 255.255.255.224
Gateway 10.X.X.X del R1

la config di un device in classe 192 dovrebbe essere:
IP 192.X.X.X
NMask 255.255.255.224
Gateway 192.X.X.X del R2
perche cosi il pacchetto viene nattato due volte prima di uscire su internet.

Se un pc in classe 10 vuole contattare la porta Web di un telefono
in classe 192 passa ovviamente dal R1 il quale, a meno che non abbia una rotta statica verso R2, butta la richiesta sulla sua default route cioè la Wan.
Se invece ha una route statica dovrebbe girarla verso R2 il quale vedendosi arrivare un pacchetto per la sua lan sottostante cosa fa? la gira di nuovo in lan.
E' corretto ? Dovrebbe funzionare ?
Per completezza il DNS sta nella rete 10.X.X.X

Scusate ma è la prima volta che mi capita ho sempre avuto spazio in ogni subnet in cui ho dovuto agire.

Nel secondo caso non servono ancora route statiche, ma regole di forward sul secondo router.

crasca · 18-03-2012, 19:28

Cioe' un inoltro porte oppure una regola di routing. Fra l'altro penso che nel mio caso specifico il problema sia il NETGEAR FVS318 ha essendo firewall e un po vecchiotto mi permette solo un inoltro porte ma e' un po' limitante. Hai mica conoscenza di qualche router che possa fare al caso mio. Ciao e grazie....

nuovoUtente86 · 18-03-2012, 19:41

il portforwarding è implementato da tutti gli apparati che fanno routing,se è presente un firewall va ricreata la medisima regola di forward anche nel firewall, nulla di complicato.

slowped · 18-03-2012, 20:10

Quote:

Originariamente inviato da nuovoUtente86

il portforwarding è implementato da tutti gli apparati che fanno routing,se è presente un firewall va ricreata la medisima regola di forward anche nel firewall, nulla di complicato.

Forse mi sono perso qualcosa. Per quale motivo la 192 deve essere nattata?
Configurando semplicemente il routing tra la 10 e la 192 si evita il NAT degli host che sono dietro R2 e il conseguente port forwarding verso di essi per essere raggiungibili dalla 10. Senza considerare che esso (il PF) può essere configurato per verso un solo host per ogni porta (ossia, per fare un esempio, solo un host della 192 sarà raggiungibile sulla porta 80). Cui prodest?

crasca · 18-03-2012, 20:48

cosa intendi per "configurando semplicemente il routing ..." ?

io credevo che bastasse solamente configurare la porta wan con indirizzo 10.x.x.x e le porte lan con 192.x.x.x perche' la tabella di routing fosse creata e rispettata.

Ma mi succede che se tento di pingare un 192.x.x.x da un 10.x.x.x l,echo non torna indietro ma credo come dicevo nel post precedente che sia l'FVS318 che non gira i pacchetti verso la lan forse perche' e' firewall.

Forse che la route statica debba essere forzata sull'R2 ?

Per esempio se un telefono voip richiede aggiornamento ora via ntp ed e' sulla rete 192 dovra fare doppio nat prima di uscire sulla ADSL del R1.
Inoltre il mio problema e che tutti i telefoni sono sulla 192 mentre tutti i PC sono sulla 10 per motivi aziendali quindi per configurare 18 telefoni via web non e' che posso modificare ogni volta il PF dell'R2. Oppure mi son perso qualcosa anch'io nella logicadel routing.
Grazie ancora.

slowped · 18-03-2012, 23:12

Quote:

Originariamente inviato da crasca

cosa intendi per "configurando semplicemente il routing ..." ?

Intendo impostare su R1 una route verso la 192 indicando come gateway l'IP assegnato all'interfaccia WAN di R2.

Quote:

Originariamente inviato da crasca

io credevo che bastasse solamente configurare la porta wan con indirizzo 10.x.x.x e le porte lan con 192.x.x.x perche' la tabella di routing fosse creata e rispettata.

Se hai fatto solo questo non è sufficiente. Devi dire a R1 qual è il gateway attraverso il quale giungere alla 192 (ossia l'indirizzo IP della WAN di R2).

Quote:

Originariamente inviato da crasca

Forse che la route statica debba essere forzata sull'R2 ?

Se per "forzare la route statica su R2" intendi quanto ho scritto poco sopra, allora la risposta è sì.

Quote:

Originariamente inviato da crasca

Per esempio se un telefono voip richiede aggiornamento ora via ntp ed e' sulla rete 192 dovra fare doppio nat prima di uscire sulla ADSL del R1.
Inoltre il mio problema e che tutti i telefoni sono sulla 192 mentre tutti i PC sono sulla 10 per motivi aziendali quindi per configurare 18 telefoni via web non e' che posso modificare ogni volta il PF dell'R2. Oppure mi son perso qualcosa anch'io nella logicadel routing.

È esattamente il problema che ho indicato nel mio precedente messaggio. Se a R2 fai fare il NAT tutti gli host della 192 saranno visti con l'unico IP della WAN di R2. E se devi raggiungere 18 telefoni tutti sulla porta 80 non hai alternative:

(poco pratica) cambi il port forwarding alla bisogna
mappi altre porte sulla 80 dei singoli telefoni sulla 192 (p. es 80 sul phone1, 81 sul phone2, e così via)

nuovoUtente86 · 19-03-2012, 00:04

Quote:

Originariamente inviato da slowped

Forse mi sono perso qualcosa. Per quale motivo la 192 deve essere nattata?
Configurando semplicemente il routing tra la 10 e la 192 si evita il NAT degli host che sono dietro R2 e il conseguente port forwarding verso di essi per essere raggiungibili dalla 10. Senza considerare che esso (il PF) può essere configurato per verso un solo host per ogni porta (ossia, per fare un esempio, solo un host della 192 sarà raggiungibile sulla porta 80). Cui prodest?

I problemi sono fondamentalmente 2:

1)Dalla descrizione fatta nel primo post, si presume che per policy aziendale la rete debba restare unicamente con lo schema di indirizzamento sussitente. Almeno io ho inteso ciò
2)La subnet già esistente, insistendo su una subnet ad indirizzamente privato è già soggetta a NAT, e di norma (a default) i natter accettano solo indirizzi sorgente afferenti unicamente alla loro subnet (A tal proprosito esiste una interessante discussione di qualche anno fa, relativa al funzionamento dei gateway zyxel connessi a più subnet.)

slowped · 19-03-2012, 11:23

Quote:

Originariamente inviato da nuovoUtente86

1)Dalla descrizione fatta nel primo post, si presume che per policy aziendale la rete debba restare unicamente con lo schema di indirizzamento sussitente. Almeno io ho inteso ciò

Se così fosse sarebbe interessante fare una chiacchierata con chi ha progettato la rete castrando una classe A privata (che può avere fino a 65k network da 254 host) con una subnet mask da 27 bit che consente al max 30 host.

Quote:

Originariamente inviato da nuovoUtente86

2)La subnet già esistente, insistendo su una subnet ad indirizzamente privato è già soggetta a NAT, e di norma (a default) i natter accettano solo indirizzi sorgente afferenti unicamente alla loro subnet

Basterebbe fare una verifica empirica. Se funzionasse, i vantaggi del routing rispetto al nat sarebbero notevoli in termini di maggiore semplicità di gestione.

Quote:

Originariamente inviato da nuovoUtente86

A tal proprosito esiste una interessante discussione di qualche anno fa, relativa al funzionamento dei gateway zyxel connessi a più subnet.)

Credo di aver partecipato a una discussione su router Zyxel pseudo-multi-homed. Sarà la stessa a cui fai riferimento tu?

crasca · 19-03-2012, 12:07

Beh inannzitutto grazie mille per tutte le risposte.
Stanotte comunque c'ero arrivato anch'io (probabilmente
la pizza di ieri sera mi è rimasta sullo stomaco).
Dunque come dice nuovoUtente86 esendo la rete aziendale privata
il router R1 natta solo quegli indirizzi, per cui non c'e' modo
(salvo avere un router in grado di farlo) di nattare due subnet diverse.
A questo proposito Vi chiederei se secondo voi i firmware DD-WRT
sono in grado di farlo ma credo non sia questo il thread giusto.
In risposta a slowped in effetti lo ho stramaledetto anch'io il progettista
della rete aziendale ma tieni conto che hanno da gestire circa termila agenzie
con la loro rete privata in tutta Italia.
L'unica cosa di sbagliato che hanno fatto secondo me è che hanno assegnato
subnet consecutive a diversi uffici per cui se a me allargano la rete,
a quello dopo di me gliele devono spostare chissa dove con conseguente aggiornamento di tutti i pc e di tutti i router.
Vabbè tanto è così...
Direi che alla fine modifichero' il port forwarding alla bisogna come accennato da slowped.
P.s. certo che una gestione di doppia subnet sui router non sarebbe male.
Ciao a tutti.

slowped · 20-03-2012, 12:05

Con gli indirizzi privati in classe A (10.x.y.z/n con n >=8) ci stanno larghe le VPN di organizzazioni con decine di migliaia di nodi e centinaia di host per nodo). Nel tuo caso credo si sia trattato solo di mancanza di lungimiranza, di incapacità di vedere e prevedere in pieno le conseguenze delle scelte progettuali.

crasca · 21-03-2012, 06:45

esatto ......ciao!!

16-03-2012, 11:36	#1
crasca Junior Member Iscritto dal: Jun 2006 Messaggi: 7	doppia rete Buongiorno a tutti dunque ho un problema per me difficile ma che magari a qualcuno è già capitato e risolto: ho una rete privata in ufficio blindata nel senso che non posso modificare cosi configurata 10.97.4.160 mask 255.255.255.224 i cui device collegati hanno praticamente riempito; devo aggiungere altre apparecchiature (telefoni VOIP e centralino asterisk) senza possibilmente dover ricablare tutto l'ufficio. quindi la domanda è, inannzitutto, possibile far girare sullo stesso cavo pacchetti di sottoreti private diverse ? (la risposta dovrebbe essere si). Ora la mia idea sarebbe prendere una uscita lan del router collegato ad internet (R1) e collegarla all'ingresso wan del router della rete secondaria (R2), quindi collegare una uscita di R1 ed una uscita di R2 ad uno switch al quale sono collegate tutte le apparecchiature dell'ufficio sia di una rete che dell'altra. Ovviamente il R2 avrà come indirizzo WAN un ip privato della rete di R1. Altrettanto ovviamente il router R1 immagino dovrà avere impostata la route statica verso l'altra sottorete (es. R1 avrà 192.168.0.0/24 -> 10.97.4.X (WAN R2) ). Che ne pensate ? Ogni risposta sarà estremamente gradita .... Ciao a tutti.

17-03-2012, 20:25	#6
crasca Junior Member Iscritto dal: Jun 2006 Messaggi: 7	Per Dumah eh no non posso perchè la rete principale deve essere riconoscibile dal resto dei pc dell'azienda nel resto del mondo Per nuovoUtente86 ok ma se da un pc classe 10 voglio configurare un telefono voip attraverso la sua interfaccia web che ha indirizzo classe 192 come faccio ? Quando il pacchetto arriva al router R2 questo cosa fa ? lo rimette in Lan ? Vediamo se riesco a fare uno schizzo .... Le "S" sono spazi vuoti perchè ho provato con gli spazi ma l'html me li ammucchia tutti a a sinistra. WAN SS\|SSSSSSSSSSSSS+---------------+ porta Wan ip 10. ---------- SSSSSSSS\|SSSSSSSSS----------- \|R1 10. \| SSSSSSSS\|SSSSSSSS\| R2 192. \| ---------- SSSSSSSS\|SSSSSSSSS----------- SS\|S +-------------- \| SS-------------------------------------- SSSSS\|SSSS\|SSSS\|SSSS\|SSSS\| Tutti i device di ogni classe Ora vediamo se ho capito : la config di un device in classe 10 dovrebbe essere: IP 10.x.x.x NMask 255.255.255.224 Gateway 10.X.X.X del R1 la config di un device in classe 192 dovrebbe essere: IP 192.X.X.X NMask 255.255.255.224 Gateway 192.X.X.X del R2 perche cosi il pacchetto viene nattato due volte prima di uscire su internet. Se un pc in classe 10 vuole contattare la porta Web di un telefono in classe 192 passa ovviamente dal R1 il quale, a meno che non abbia una rotta statica verso R2, butta la richiesta sulla sua default route cioè la Wan. Se invece ha una route statica dovrebbe girarla verso R2 il quale vedendosi arrivare un pacchetto per la sua lan sottostante cosa fa? la gira di nuovo in lan. E' corretto ? Dovrebbe funzionare ? Per completezza il DNS sta nella rete 10.X.X.X Scusate ma è la prima volta che mi capita ho sempre avuto spazio in ogni subnet in cui ho dovuto agire. Ultima modifica di crasca : 17-03-2012 alle 20:30.

18-03-2012, 20:48	#11
crasca Junior Member Iscritto dal: Jun 2006 Messaggi: 7	cosa intendi per "configurando semplicemente il routing ..." ? io credevo che bastasse solamente configurare la porta wan con indirizzo 10.x.x.x e le porte lan con 192.x.x.x perche' la tabella di routing fosse creata e rispettata. Ma mi succede che se tento di pingare un 192.x.x.x da un 10.x.x.x l,echo non torna indietro ma credo come dicevo nel post precedente che sia l'FVS318 che non gira i pacchetti verso la lan forse perche' e' firewall. Forse che la route statica debba essere forzata sull'R2 ? Per esempio se un telefono voip richiede aggiornamento ora via ntp ed e' sulla rete 192 dovra fare doppio nat prima di uscire sulla ADSL del R1. Inoltre il mio problema e che tutti i telefoni sono sulla 192 mentre tutti i PC sono sulla 10 per motivi aziendali quindi per configurare 18 telefoni via web non e' che posso modificare ogni volta il PF dell'R2. Oppure mi son perso qualcosa anch'io nella logicadel routing. Grazie ancora. Ultima modifica di crasca : 18-03-2012 alle 20:56.

19-03-2012, 12:07	#15
crasca Junior Member Iscritto dal: Jun 2006 Messaggi: 7	Beh inannzitutto grazie mille per tutte le risposte. Stanotte comunque c'ero arrivato anch'io (probabilmente la pizza di ieri sera mi è rimasta sullo stomaco). Dunque come dice nuovoUtente86 esendo la rete aziendale privata il router R1 natta solo quegli indirizzi, per cui non c'e' modo (salvo avere un router in grado di farlo) di nattare due subnet diverse. A questo proposito Vi chiederei se secondo voi i firmware DD-WRT sono in grado di farlo ma credo non sia questo il thread giusto. In risposta a slowped in effetti lo ho stramaledetto anch'io il progettista della rete aziendale ma tieni conto che hanno da gestire circa termila agenzie con la loro rete privata in tutta Italia. L'unica cosa di sbagliato che hanno fatto secondo me è che hanno assegnato subnet consecutive a diversi uffici per cui se a me allargano la rete, a quello dopo di me gliele devono spostare chissa dove con conseguente aggiornamento di tutti i pc e di tutti i router. Vabbè tanto è così... Direi che alla fine modifichero' il port forwarding alla bisogna come accennato da slowped. P.s. certo che una gestione di doppia subnet sui router non sarebbe male. Ciao a tutti. Ultima modifica di crasca : 19-03-2012 alle 12:17.

20-03-2012, 12:05	#16
slowped Senior Member Iscritto dal: Nov 2007 Messaggi: 1779	Con gli indirizzi privati in classe A (10.x.y.z/n con n >=8) ci stanno larghe le VPN di organizzazioni con decine di migliaia di nodi e centinaia di host per nodo). Nel tuo caso credo si sia trattato solo di mancanza di lungimiranza, di incapacità di vedere e prevedere in pieno le conseguenze delle scelte progettuali. __________________ slowped

16-03-2012, 12:55	#2
nuovoUtente86 Senior Member Iscritto dal: Mar 2007 Messaggi: 7863	nessuna route statica, basta un dispositivo che faccia NAT su un IP valido nella subnet aziendale.

17-03-2012, 12:07	#3
crasca Junior Member Iscritto dal: Jun 2006 Messaggi: 7	si ma fisicamente come dovrebbero essere connesse ? cioe se un pc 192 è collegato fisicamente ad una porta lan del router R1 come fa ad uscire nattato su internet l'R1 non lo fa perchè presuppone che solo i pacchetti 10 debbano essere tradotti. Bisognerebbe che tutti i device 192 fossero separati fisicamente e direttamente connessi all'apparato che dici tu e quest'ultimo ad una porta lan del R1 e comunque che R1 sappia che sotto all'apparato ci sia un'altra rete 192 se no i pc aziendali come fanno a raggiungere i device 192. Che ne pensi ? Ho provato a fare test con un Draytek 2820VN come R1 e con un Netgear FVS318 vecchiotto che avevo in casa ma collegandoli in tutte le maniere la cosa non mi sembra comunque stabile.

17-03-2012, 12:52	#4
Dumah Brazorf Bannato Iscritto dal: Oct 2002 Messaggi: 29264	Non potresti semplicemente mettere tutto sotto il secondo router?

18-03-2012, 19:28	#8
crasca Junior Member Iscritto dal: Jun 2006 Messaggi: 7	Cioe' un inoltro porte oppure una regola di routing. Fra l'altro penso che nel mio caso specifico il problema sia il NETGEAR FVS318 ha essendo firewall e un po vecchiotto mi permette solo un inoltro porte ma e' un po' limitante. Hai mica conoscenza di qualche router che possa fare al caso mio. Ciao e grazie....

18-03-2012, 19:41	#9
nuovoUtente86 Senior Member Iscritto dal: Mar 2007 Messaggi: 7863	il portforwarding è implementato da tutti gli apparati che fanno routing,se è presente un firewall va ricreata la medisima regola di forward anche nel firewall, nulla di complicato.

21-03-2012, 06:45	#17
crasca Junior Member Iscritto dal: Jun 2006 Messaggi: 7	esatto ......ciao!!

Strumenti
Mostra una versione stampabile Invia questa pagina per email