routing ubuntu 9.04 how-to????

[lamerone]

ciao raga, na domanda semplice semplice.sono un paio di giorni che ci sbatto la testa.allora questa è la mia lan

ora(come scritto in un altro 3d) vorrei farsì che le due subnet si possano vedere e che il server linux funzioni anche da gateway.
fino a qualche settimana fa il tutto era implementato con un server2003 e funzionava.
io ho cominciato a smanettare con iptables ma non sono riuscito ad ottenere nulla....posto quello che ho fatto (editando il file /etc/init.d/bootmisc.sh)
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT
itables -A FORWARD -o eth1 -j ACCEPT
iptables -t nat A POSTROUTING -o eth1 -j MASQUERADE
grazie ragazzi

p.s. nel disegno ho dimenticato di aggiungere il modem adsl (interfaccia ehternet collegato alla switch)

[HexDEF6]

cosa non funziona?

ovviamente la tua rete di "sinistra" non vedra' quella di "destra" a meno che tu sul server linux non abbia impostato una route del tipo:
ip route add 192.168.x.x/24 dev eth0
comunque io sinceramente darei 2 ip al server (uno della classe 10.0.x.x e una della classe 192.168.x.x) perche' secondo me avere qualcosa come 192.168.x.x/24 e un gw fuori rete mi sembra una "sporcacciata", e facendo cosi dovresti rispramiarti la regola di sopra

poi a occhio e croce dovresti riuscire a navigare.... almeno dalla parte di sinistra, quella di destra secondo me ha problemi, visto che un pacchetto che arriva sul server, una volta "snattato" e ha come destinazione 192.168.x.x riesce da eth1 (e quindi va al becco)...

[masand]

Quote:

Originariamente inviato da lamerone

ciao raga, na domanda semplice semplice.sono un paio di giorni che ci sbatto la testa.allora questa è la mia lan
http://aief11.interfree.it/situazione.png

ora(come scritto in un altro 3d) vorrei farsì che le due subnet si possano vedere e che il server linux funzioni anche da gateway.
fino a qualche settimana fa il tutto era implementato con un server2003 e funzionava.
io ho cominciato a smanettare con iptables ma non sono riuscito ad ottenere nulla....posto quello che ho fatto (editando il file /etc/init.d/bootmisc.sh)
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT
itables -A FORWARD -o eth1 -j ACCEPT
iptables -t nat A POSTROUTING -o eth1 -j MASQUERADE
grazie ragazzi

Per favore edita l'immagine mettendone una più piccola o un thumb, così com'è spagina il forum

[lamerone]

Quote:

Originariamente inviato da HexDEF6

cosa non funziona?

ovviamente la tua rete di "sinistra" non vedra' quella di "destra" a meno che tu sul server linux non abbia impostato una route del tipo:
ip route add 192.168.x.x/24 dev eth0
comunque io sinceramente darei 2 ip al server (uno della classe 10.0.x.x e una della classe 192.168.x.x) perche' secondo me avere qualcosa come 192.168.x.x/24 e un gw fuori rete mi sembra una "sporcacciata", e facendo cosi dovresti rispramiarti la regola di sopra

poi a occhio e croce dovresti riuscire a navigare.... almeno dalla parte di sinistra, quella di destra secondo me ha problemi, visto che un pacchetto che arriva sul server, una volta "snattato" e ha come destinazione 192.168.x.x riesce da eth1 (e quindi va al becco)...

grazie hex.in effetti il server ha 2 schede di rete e quindi vede le due classi, ma non riesco a farle pingare tra loro.prima con un server 2003 e RRAS impostato era semplicissimo, bastava implementare un protocollo di routing(rip) ed il gioco era fatto...ma con ubuntu sto avendo difficolta...potresti aiutarmi?

[lamerone]

Quote:

Originariamente inviato da masand

Per favore edita l'immagine mettendone una più piccola o un thumb, così com'è spagina il forum

800x250 va bene?????scusa per prima ma non sapevo che spaginasse

[HexDEF6]

ciao...
dovresti spiegare un pelino meglio la situazione....
- il server ha 2 schede di rete o 3 (una per internet + 1 per ogni sottorete?)
- perche' questa configurazione di rete? (sono 2 sottoreti o solo 2 pc?) qual'e' il tuo vero obbiettivo (a volte si mettono in piedi soluzioni strambe che creano piu' problemi di quanti se ne risolvano)
- configurazione attuale del server linux (un ip route show sarebbe gradito... magari anche un ifconfig)

[lamerone]

raga.. sto studiando iptables....è troppo bello (ma complesso)...ma non riuscito a fare routing....uffi

[lamerone]

raga....ho cancellato per errore editando il messaggio...cmq... come ho scritto ieri l'output di iptables è settato per inp/out/forw ACCEPT, ho 2 schede di rete e questa configurazione mi serve perchè uno dei 2 segmenti non deve connettersi ad internet(so che basterebbe cambiare il gateway) ma vorrei realizzare questa cosa per una sorta di sfida...

[HexDEF6]

scusa ma in questi giorni ho all'incirca 30 secondi liberi
ancora non ho capito una cosa, ma le 2 schede del server sono entrambe attaccate allo switch?
quello che vuoi realizzare e':
- segmento A che vede segmento B e va in internet (da dove??? il server ha una terza scheda di rete?... scusa ma ancora non ho capito)
- segmento B che vede segmento A e niente internet

giusto?


Comunque per prima cosa, lascerei perdere iptables e metterei tutto in accept in modo da sistemare come prima cosa il routing... e una volta funzionante, inizi a mettere limitazioni

EDIT: ho riguardato il primo messaggio....

se ho capito bene la tua configurazione hai un bel casino... se sul server una rete e' verso internet e una verso lo switch, quello che devi fare e':
impostare su una scheda di rete 2 ip, uno della classe 10 e uno della 192.168 in modo che facciano da GATEWAY per le due reti...
quindi la stessa scheda fisica fa da GATEWAY per entrambe le reti...
l'altra scheda la puoi configurare come vuoi (attaccata al router/modem o quello che e' per navigare in internet) con un ip che NON deve stare in nessuna delle due classi usate per le due LAN

e' molto piu' facile di quello che sembra... quello che hai fatto (se ovviamente ho capito giusto io!) e' un pastrocchio!

[lamerone]

Quote:

Originariamente inviato da HexDEF6

scusa ma in questi giorni ho all'incirca 30 secondi liberi
ancora non ho capito una cosa, ma le 2 schede del server sono entrambe attaccate allo switch?
quello che vuoi realizzare e':
- segmento A che vede segmento B e va in internet (da dove??? il server ha una terza scheda di rete?... scusa ma ancora non ho capito)
- segmento B che vede segmento A e niente internet

giusto?


Comunque per prima cosa, lascerei perdere iptables e metterei tutto in accept in modo da sistemare come prima cosa il routing... e una volta funzionante, inizi a mettere limitazioni

EDIT: ho riguardato il primo messaggio....

se ho capito bene la tua configurazione hai un bel casino... se sul server una rete e' verso internet e una verso lo switch, quello che devi fare e':
impostare su una scheda di rete 2 ip, uno della classe 10 e uno della 192.168 in modo che facciano da GATEWAY per le due reti...
quindi la stessa scheda fisica fa da GATEWAY per entrambe le reti...
l'altra scheda la puoi configurare come vuoi (attaccata al router/modem o quello che e' per navigare in internet) con un ip che NON deve stare in nessuna delle due classi usate per le due LAN

e' molto piu' facile di quello che sembra... quello che hai fatto (se ovviamente ho capito giusto io!) e' un pastrocchio!

allora.. innanzitutto grazie per la disponibilità, ho rigatto lo schemino in maniera + kiara(spero)
allora..pur essendo sullo stesso switch io vorrei instradare i pacchetti in maniera tale che possano transitare da un segmento all'altro tramite il server ubuntu, come ho detto in precedenza, prima lo facevo con un server rras senza problemi.non è un problema reale (lo sto facendo per studio da sistemista) e quindi vorrei vedere se funziona.grazie ancora

[HexDEF6]

visto che e' un layer 3 potresti fare routing con lo switch

comunque, le 2 schede di rete del server sono entrambe attaccate allo switch?

[HexDEF6]

per fare un po di cose farei cosi:

metterei solo una scheda di rete nello switch (l'altra la lascerei perdere... o al massimo ci attaccherei direttamente il modem/router per internet ma per adesso seguo il tuo metodo di attaccare tutto allo switch) e ci configurerei 3 ip: (2 schede di rete "virtuali") eth0:1 192.168.10.1, eth0:2 192.168.20.1 (netmask 255.255.255.0) e eth0 con 10.0.0.2 (netmask 255.0.0.0... o comunque la stessa che usi per il router).. il default gw dovrebbe essere impostato attraverso eth0 e deve essere 10.0.0.1 (l'ip del router) altra cosa, abilita l'ip_forward

OPZIONALE: configurare la porta dello switch di eth0 in trunk per la vlan 10,20 e 100, riconfigurare le interfacce di rete in modo che escano direttamente con le vlan impostate (esempio per la configurazione con ubuntu: http://www.mysidenotes.com/?p=6 e' il primo link che ho trovato con google...) eth0:1 con vlan 10 eth0:2 con vlan 20 e eth0 con vlan 100

nel server per adesso lascerei perdere iptables (cioe' metterei tutto su ACCEPT) visto che prima e' meglio sistemare il routing e poi vediamo il firewall

metterei un PC con ip 192.168.10.X (solita netmask) con gw 192.168.10.1 (OPZIONALE: configura lo switch per questa porta in access con vlan 10) l'altro pc con ip 192.168.20.x gw 192.168.20.1 (OPZIONALE: configura la porta dello switch in access con VLAN 20)
(anche la porta del router va in access con vlan 100)

Una volta fatto questo, se il tuo router fa NAT, gia' dovresti navigare.... da tutti i pc, e pure pingare da un pc sotto una rete ad uno sotto l'altra rete

se c'e' qualche rogna ti metti con tcpdump a vedere cosa passa sulla scheda eth0 del server

EDIT: OPZIONALE ovviamente se il tuo switch lo supporta, il top sarebbe VLANIZZARE in base all'ip (ip 192.168.10.x --> vlan 10.... ip 192.168.20.x -> vlan 20)

[flisi71]

Se lo switch è un Layer3 significa che - come ha già detto HexDEF6 - sa fare routing e quindi ti basta configurarlo, abilitando "ip routing" fra le Vlan distinte.

Ciao

Federico

[lamerone]

beh..per adesso è uno sfizio di farlo con linux.ho anche un 2610 della cisco per ovviare...ma ripeto è un caso di studio che vorrei completare.
questa sera provo la tua configurazione (adesso sono al lavoro) grazie ancora (spero di riuscirci)

[lamerone]

Quote:

Originariamente inviato da lamerone

beh..per adesso è uno sfizio di farlo con linux.ho anche un 2610 della cisco per ovviare...ma ripeto è un caso di studio che vorrei completare.
questa sera provo la tua configurazione (adesso sono al lavoro) grazie ancora (spero di riuscirci)

allora... ho cercato di decifrare il post....e come dicevo vorrei evitare di usare switch o router esterni(per motivi economici), per il firewall sto studiando iptables ma ho visto che si fa molto più velocemente ad usare ipcop mentre per il routing girando sui forum ho trovato questo script ma non funziona
Esempio per permettere ad un pacchetto con IP sorgente 10.0.0.4 di raggiungere il server
iptables -I FORWARD -s 10.0.0.4 -d 192.168.0.1 -j ACCEPT
sto cominciando a scoraggiarmi(visto hce con rras è davvero semplice)

[HexDEF6]

Quote:

Originariamente inviato da lamerone

allora... ho cercato di decifrare il post....e come dicevo vorrei evitare di usare switch o router esterni(per motivi economici), per il firewall sto studiando iptables ma ho visto che si fa molto più velocemente ad usare ipcop mentre per il routing girando sui forum ho trovato questo script ma non funziona
Esempio per permettere ad un pacchetto con IP sorgente 10.0.0.4 di raggiungere il server
iptables -I FORWARD -s 10.0.0.4 -d 192.168.0.1 -j ACCEPT
sto cominciando a scoraggiarmi(visto hce con rras è davvero semplice)

secondo me e' tutto molto piu' semplice di come sembra...
e' come al solito che agli inizi di qualcosa di nuovo, tutto sembra un casino...

la configurazione che ti ho detto io (lasciando perdere la configurazione dello switch), e' assolutamente banale....

anche se io farei una cosa diversa:

attaccherei i pc della LAN-A allo switch, anche quelli della LAN-B, una scheda di rete del server linux allo switch con assegnati 2 IP (i 2 default gateway delle due reti) e la seconda scheda di rete del server linux la attaccherei al router (che cosi non e' attaccato allo switch)...
cosi secondo me avrebbe piu' senso...

poi come ho gia detto, per adesso lascia stare iptables... vedi se funziona il tutto... e poi inizia a fare esperimenti con iptables!

[lamerone]

Quote:

Originariamente inviato da HexDEF6

secondo me e' tutto molto piu' semplice di come sembra...
e' come al solito che agli inizi di qualcosa di nuovo, tutto sembra un casino...

la configurazione che ti ho detto io (lasciando perdere la configurazione dello switch), e' assolutamente banale....

anche se io farei una cosa diversa:

attaccherei i pc della LAN-A allo switch, anche quelli della LAN-B, una scheda di rete del server linux allo switch con assegnati 2 IP (i 2 default gateway delle due reti) e la seconda scheda di rete del server linux la attaccherei al router (che cosi non e' attaccato allo switch)...
cosi secondo me avrebbe piu' senso...

poi come ho gia detto, per adesso lascia stare iptables... vedi se funziona il tutto... e poi inizia a fare esperimenti con iptables!

guarda in fin dei conti ho pensato anke io di fare la stessa cosa.router dietro al modem ed attaccato allo switch, l'unica cosa che non ho capito della tua configurazione è che se aggiungendo ip virtuali posso fare routing e poi come si aggiungono ip virtuali(ma per questo mi cerco qualche guida).
grazie ancora

[lamerone]

Quote:

Originariamente inviato da HexDEF6

per fare un po di cose farei cosi:

metterei solo una scheda di rete nello switch (l'altra la lascerei perdere... o al massimo ci attaccherei direttamente il modem/router per internet ma per adesso seguo il tuo metodo di attaccare tutto allo switch) e ci configurerei 3 ip: (2 schede di rete "virtuali") eth0:1 192.168.10.1, eth0:2 192.168.20.1 (netmask 255.255.255.0) e eth0 con 10.0.0.2 (netmask 255.0.0.0... o comunque la stessa che usi per il router).. il default gw dovrebbe essere impostato attraverso eth0 e deve essere 10.0.0.1 (l'ip del router) altra cosa, abilita l'ip_forward

hex....sarò tarato io.. ho provato la tua configurazione ma giustamente mi son bloccato...se metto la skeda di rete 1 del server nel router internet e la scheda 2 nello switch con 3 ip (di cui 2 virtuali) il server riesce a navigare perchè ha il gw impostato con dhcp dal router ma come faccio a far capire ai pc della rete che devono usare come gw e dns il server???? non potranno mai navigare così, no???
se provo " route add default gw 10.0.0.1 " i pc della rete non navigano

[HexDEF6]

Quote:

Originariamente inviato da lamerone

hex....sarò tarato io.. ho provato la tua configurazione ma giustamente mi son bloccato...se metto la skeda di rete 1 del server nel router internet e la scheda 2 nello switch con 3 ip (di cui 2 virtuali) il server riesce a navigare perchè ha il gw impostato con dhcp dal router ma come faccio a far capire ai pc della rete che devono usare come gw e dns il server???? non potranno mai navigare così, no???
se provo " route add default gw 10.0.0.1 " i pc della rete non navigano

allora, se metti la scheda di rete 1 nel router (e si becca l'ip via dhcp nella classe 10.x.x.x)
la scheda 2 va impostata con 2 ip (e non 3), che devono essere i GW delle due sottoreti quindi avrai una cosa del genere:

eth0 : 10.0.0.2/8 preso in dhcp dal router (l'ip del router sara anche il default GW del server)
eth1 : 192.168.10.1/24 che sara' il default gw per la rete 192.168.10.0/24
eth1:1 192.168.20.1/24 che sara' il default gw per la rete 192.168.20.0/24

ovviamente devi abilitare l'ip forwarding....
se adesso il tuo router/modem fa da NAT, in teoria non devi fare un tubo di altro e dovrebbe funzionare il tutto...
altrimenti, ti consiglio di imparare ad usare tcpdump, che e' un tool fondamentale se vuoi imparare a mettere in piedi qualche rete! (vedi se i pacchetti inviati dai pc della lan 1 arrivano sulla eth1.. e poi vedi se gli stessi pacchetti escono dalla eth0)

Se il tuo obiettivo finale e' imparare a fare qualcosa, ti consiglio di armarti di pazienza, che all'inizio sembra tutto difficilissimo... e poi la cosa che: "con windows funziona" interessa poco... mi spiego meglio (non sono un antiwindows ecc.)... la domanda a cui devi rispondere (se veramente vuoi capire qualcosa di una rete) e' PERCHE'?
perche' la rete con windows funziona?
perche' questa configurazione con linux non funziona?

quando avrai risposto a queste domande (dopo qualche centinaio di sbattute di testa contro il muro... ci sono passati tutti quelli che adesso fanno questo lavoro!), allora avrai fatto qualcosa di utile! e per arrivare a quello, dovrai aver passato del tempo a studiare come funziona una rete (parlo proprio di teoria), e a studiare ed usare i tool per capire come una rete funziona in pratica (tcpdump, lft, wireshark, ping) e poi potrai iniziare a fare cose complicate con iptables e iproute2, o metterci di mezzo firewall hardware, switch layer 3 (proprio oggi ho sballato 8 6248 della DELL e 10 3524P senza contare le 10 M610 per il cluster ) ecc.

Ciao!

[lamerone]

grazie hex.... soprattutto per le considerazioni... il mio con windows funziona però non era una critica a linux, anzi, credo che la frustrazione sia dovuta al fatto che con windows sto finendo l'mcsa e quindi di teoria sulle reti ne sto facendo a josa, con linux a volte mi sembra di non capire neanche cosa sia un un gw... cmq.. questa mattina... ci riprovo..
scusate l'OT... tornando a noi devo solo capire come impostare la scheda collegata allo switch come gw per tutta la rete...
se imposto da shell come default gw "eth1 : 192.168.10.1/24 che sara' il default gw per la rete 192.168.10.0/24" credo che non navigherà neanche il server, no??quindi il tutto sta nel far capire a linux che deve fare dal gw per un segmento della rete.
speriamo bene