nickolasemp Δημοσ. 15 Δεκεμβρίου 2018 Δημοσ. 15 Δεκεμβρίου 2018 Έχω ένα modem/router Που έχει την διεύθυνση 192.168.0.1 Πάνω σε αυτό έχω δευτερεύον δίκτυο 192.168.1.1 που συνδέονται ασύρματα όλες οι συσκευές μου. Μια χαρά με βολεύει η συνδεσμολογία. Το router 192.168.1.1 έχει πάνω του tomato firmware και βάζω vpn, bittorrent, ftp server και minidlna, οπότε χρησιμεύει σχεδόν σε όλα. Στο 192.168.0.1 που είναι το modem/router συνδέονται όλα τα άλλα ενσύρματα. Το ζήτημα είναι πώς κάνω το modem να βλέπει τις 192.168.1.x διευθύνσεις; To modem αυτό είναι fritzbox 7490, τού έβαλα ipv4 static route να βλέπει το δίκτυο 192.168.1.x μέσω του 192.168.1.1 που στο τοπικό δίκτυο του fritzbox έχει την IP 192.168.0.5 Ξέρει κανείς τί κάνω λάθος;
nickolasemp Δημοσ. 15 Δεκεμβρίου 2018 Μέλος Δημοσ. 15 Δεκεμβρίου 2018 Όπως διαβάζω και από εδώ, το tomato που είναι πίσω από το fritzbox, δεν αφήνει να δω τους clients γιατί το έχω συνδέσει στην wan port. Για λόγους ασφαλείας, το router δεν αφήνει να προσπελάσεις τις IPs του tomato από την θύρα WAN(από τον έξω κόσμο, όποιος κι αν είναι αυτός). Μόνη λύση μάλλον το ssh και setάρισμα iptables...
M@dB0x Δημοσ. 16 Δεκεμβρίου 2018 Δημοσ. 16 Δεκεμβρίου 2018 Αν βαλεις ακομη ενα lan καλωδιο μεταξυ τους? Ισως να γινεται η δουλεια ετσι
nickolasemp Δημοσ. 20 Δεκεμβρίου 2018 Μέλος Δημοσ. 20 Δεκεμβρίου 2018 Τότε μετατρέπεται σε switch αντί για router στην ουσία. Εγώ θα ήθελα να έχω 2 subnets.
M@dB0x Δημοσ. 20 Δεκεμβρίου 2018 Δημοσ. 20 Δεκεμβρίου 2018 (επεξεργασμένο) Οχι φιλε το εχεις χασει λιγο. Μπορεις να εχεις και ετσι 2 subnet. Το δοκιμασες? Μπορει να θελει και κανονα route μετα. βασικα για να δεις ενα ρουτερ πισω απο αλλο ρουτερ θες 2 πραγματα....... 1) ενα route add ......... dst.add (192.168.1.1)>gateway(192.168.0.1) 2) Ενα nat του τυπου src.add>masquerade αν το πρωτο ρουτερ εχει και αυτο nat. ΑΥτη η επιλογη συνηθως δε δινεται σε home access routers, αλλα μπορει να επιτευχθει με κανονα firewall. Επεξ/σία 20 Δεκεμβρίου 2018 από M@dB0x
instasomniac Δημοσ. 20 Δεκεμβρίου 2018 Δημοσ. 20 Δεκεμβρίου 2018 (επεξεργασμένο) Εκτος αν κατι δεν κανω καλα, το 192.168.0.1/255.255.254.0 εχει broadcast 192.168.1.255. αυτο ειναι εσκεμμενο; Δεν μπορω να καταλαβω τι προσπαθεις να κανεις. Εκτος αν βγαλεις καποια θυρα απο το bridge που σιγουρα εχει το φριτζ, δεν εχει νοημα το νατ για τις ασυρματες, καθως θα ειναι προσβασιμο στο μπροαντκαστ λεηερ. Ακομα και αν το σκεφτεσαι για ασφαλεια, θα πρεπει να βαλεις καποιο πυρινο τειχος (firewall) ενδιαμεσα αλλιως δεν εχει νοημα. Για να εχεις διαφορετικα subnet για ασυρματες-ενσυρματες, το πιο απλο ειναι να τραβηξεις εξτρα καλωδιο αλλα πρεπει να κανεις τις αντιστοιχες ρυθμισεις στο φριτζ ή οποιο ειναι πιο κοντα στο ιντερνετ. Αν θες το access point να δινει σε δικο του subnet, αλλα επικοινωνια μεσω του fritz/edge router θα πρεπει να εχει route και να γινεται και masquadare. Το πως γινονται αυτες οι ρυθμισεις στο fritz και στο αλλο που εχεις, δεν εχω την παραμικροτερη ιδεα Επεξ/σία 20 Δεκεμβρίου 2018 από instasomniac
nickolasemp Δημοσ. 21 Δεκεμβρίου 2018 Μέλος Δημοσ. 21 Δεκεμβρίου 2018 (επεξεργασμένο) 23 ώρες πριν, M@dB0x είπε Οχι φιλε το εχεις χασει λιγο. Μπορεις να εχεις και ετσι 2 subnet. Το δοκιμασες? Μπορει να θελει και κανονα route μετα. βασικα για να δεις ενα ρουτερ πισω απο αλλο ρουτερ θες 2 πραγματα....... 1) ενα route add ......... dst.add (192.168.1.1)>gateway(192.168.0.1) 2) Ενα nat του τυπου src.add>masquerade αν το πρωτο ρουτερ εχει και αυτο nat. ΑΥτη η επιλογη συνηθως δε δινεται σε home access routers, αλλα μπορει να επιτευχθει με κανονα firewall. Ίσως το έχω χάσει. Υποθέτω από την μαμά τους ότι και τα δύο έχουν NAT enabled. Τα δύο routers είναι συνδεδεμένα με lan καλώδιο ως εξής: Internet-> fritzbox (192.168.0.1)---> <---(192.168.0.5) tomato (192.168.1.x)----> ασύρματες συσκευές. Έχω ήδη κάνει την ρύθμιση στο fritzbox να στέλνει ό,τι request παίρνει για 192.168.1.x και να το στέλνει στην 192.168.0.5. 1) Από το 192.168.1.1 στο 192.168.0.1 δεν έχω πρόβλημα. Το 192.168.0.1 είναι το modem/router fritzbox. Οτιδήποτε από το 192.168.1.1 βγαίνει στο δίκτυο έξω (192.168.0.1 και έπειτα Internet). 2) δεν το λέχω καθόλου αυτό. Αλλά το fritzbox(192.168.0.1) μού δίνει την δυνατότητα να κάνω forward όλα τα του 192.168.1.x μέσω του gateway 192.168.0.5 που είναι στην ουσία η IP που έχει πάρει το router με το tomato. Παρακάτω παραθέτω τα iptables και το NAT του tomato (192.168.1.x). root@TomatoUSB:/tmp/home/root# iptables -nvL --table nat --line-numbers Chain PREROUTING (policy ACCEPT 336K packets, 77M bytes) num pkts bytes target prot opt in out source destination 1 12856 757K WANPREROUTING all -- * * 0.0.0.0/0 192.168.0.5 2 3651 551K DROP all -- vlan2 * 0.0.0.0/0 192.168.1.0/24 Chain POSTROUTING (policy ACCEPT 34970 packets, 2225K bytes) num pkts bytes target prot opt in out source destination 1 62920 10M MASQUERADE all -- * tun11 192.168.1.0/24 0.0.0.0/0 2 25170 3344K MASQUERADE all -- * vlan2 0.0.0.0/0 0.0.0.0/0 3 72 23627 SNAT all -- * br0 192.168.1.0/24 192.168.1.0/24 to:192.168.1.1 Chain OUTPUT (policy ACCEPT 43928 packets, 2822K bytes) num pkts bytes target prot opt in out source destination Chain WANPREROUTING (1 references) num pkts bytes target prot opt in out source destination 1 0 0 DNAT icmp -- * * 0.0.0.0/0 0.0.0.0/0 to:192.168.1.1 2 1 60 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:32400:32401 to:192.168.1.13 3 26 1220 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 to:192.168.1.1 4 38 1952 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9091 to:192.168.1.1 root@TomatoUSB:/tmp/home/root# iptables -nvL -t mangle Chain PREROUTING (policy ACCEPT 16M packets, 14G bytes) pkts bytes target prot opt in out source destination 8034K 7344M DSCP all -- vlan2 * 0.0.0.0/0 0.0.0.0/0 DSCP set 0x00 0 0 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 set vpnrouting311 dst,src MARK set 0x137 0 0 MARK all -- * * 192.168.0.5 0.0.0.0/0 MARK set 0x137 12 1818 MARK all -- * * 192.168.1.1 0.0.0.0/0 MARK set 0x137 Chain INPUT (policy ACCEPT 11M packets, 11G bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 5184K packets, 3685M bytes) pkts bytes target prot opt in out source destination 75001 4406K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU Chain OUTPUT (policy ACCEPT 8489K packets, 6573M bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 14M packets, 10G bytes) pkts bytes target prot opt in out source destination 21 ώρες πριν, instasomniac είπε Εκτος αν κατι δεν κανω καλα, το 192.168.0.1/255.255.254.0 εχει broadcast 192.168.1.255. αυτο ειναι εσκεμμενο; Δεν μπορω να καταλαβω τι προσπαθεις να κανεις. Εκτος αν βγαλεις καποια θυρα απο το bridge που σιγουρα εχει το φριτζ, δεν εχει νοημα το νατ για τις ασυρματες, καθως θα ειναι προσβασιμο στο μπροαντκαστ λεηερ. Ακομα και αν το σκεφτεσαι για ασφαλεια, θα πρεπει να βαλεις καποιο πυρινο τειχος (firewall) ενδιαμεσα αλλιως δεν εχει νοημα. Για να εχεις διαφορετικα subnet για ασυρματες-ενσυρματες, το πιο απλο ειναι να τραβηξεις εξτρα καλωδιο αλλα πρεπει να κανεις τις αντιστοιχες ρυθμισεις στο φριτζ ή οποιο ειναι πιο κοντα στο ιντερνετ. Αν θες το access point να δινει σε δικο του subnet, αλλα επικοινωνια μεσω του fritz/edge router θα πρεπει να εχει route και να γινεται και masquadare. Το πως γινονται αυτες οι ρυθμισεις στο fritz και στο αλλο που εχεις, δεν εχω την παραμικροτερη ιδεα Σωστός για το Broadcast... το οποίο βέβαια δεν δουλεύει για το fritzbox αλλά στο tomato εφόσον αυτό είναι από πίσω του. Αυτό που θέλω να κάνω είναι να δώσω στο tomato (192.168.1.x) και στο fritzbox (192.168.0.x) να καταλάβουν ότι υπάρχει και δίκτυο 192.168.0.x και 192.168.1.x Από το fritzbox (192.168.0.x) δεν μπορεί να προσπελάσει το tomato (192.168.1.x) γιατί υποθέτω ότι κόβει (i.e το tomato) τις "εξωτερικές" IP από το να βλέπουν τις IP του δικτύου του, δηλαδή το 192.168.1.x. Από την άλλη το tomato, βλέπει κανονικά τις IP του (λογικό) και μετά βγαίνει στο wan για να βρει ο,τι άλλο, από το 192.168.0.x μέχρι IP internet. Άρα ό,τι είναι συνδεδεμένο πίσω από το tomato είναι μια χαρά. Δεν καταλαβαίνω γιατί δεν έχει νόημα το nat για τις ασύρματες του Tomato. Συγγνώμη για την άγνοια. Νομίζω, νομίζω, ότι το πρόβλημα είναι στο tomato, που όπως είπα και πριν, κόβει ό,τι έρχεται από το wan. Εάν αφαιρέσω το --table nat μού βγάζει και τα chains wanin και wanout... Το χάνω ειλικρινα. Ευπρόσδεκτη η κάθε βοήθεια. root@TomatoUSB:/tmp/home/root# iptables -nvL Chain INPUT (policy DROP 8 packets, 344 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 219 32992 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 shlimit tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW 4 264 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 145 12355 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 192.168.0.0/23 0.0.0.0/0 tcp dpt:2525 0 0 ACCEPT tcp -- * * 192.168.0.0/23 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 192.168.0.0/23 0.0.0.0/0 tcp dpt:21 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:51515 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9091 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 194 14920 all -- * * 0.0.0.0/0 0.0.0.0/0 account: network/netmask: 192.168.1.0/255.255.255.0 name: lan 0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0 42 2052 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 38 2395 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0 114 10473 wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0 114 10473 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 249 packets, 68847 bytes) pkts bytes target prot opt in out source destination Chain shlimit (1 references) pkts bytes target prot opt in out source destination 0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 recent: SET name: shlimit side: source 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source Chain wanin (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.13 tcp dpts:32400:32401 Chain wanout (1 references) pkts bytes target prot opt in out source destination Επεξ/σία 21 Δεκεμβρίου 2018 από nickolasemp
jkoukos Δημοσ. 21 Δεκεμβρίου 2018 Δημοσ. 21 Δεκεμβρίου 2018 Έχεις ορίσει κανόνα Static Route και στα 2 TomatoUSB Router προς το Fritz (όπως έκανες στο Fritz προς αυτά);
nickolasemp Δημοσ. 22 Δεκεμβρίου 2018 Μέλος Δημοσ. 22 Δεκεμβρίου 2018 18 ώρες πριν, jkoukos είπε Έχεις ορίσει κανόνα Static Route και στα 2 TomatoUSB Router προς το Fritz (όπως έκανες στο Fritz προς αυτά); Δεν είναι δύο, ένα είναι. Ίσως το σχήμα μου να μην είναι καλό... 😕 Η απάντηση είναι όχι. Γιατί το tomatoUSB router βλέπει τα δικά του (192.168.1.x) και για ό,τι δεν ξέρει, πάει στην gateway 192.168.0.1 (που είναι το modem/router).
jkoukos Δημοσ. 22 Δεκεμβρίου 2018 Δημοσ. 22 Δεκεμβρίου 2018 Θέλει και στα 2 router κανόνες static route. Και αυτό διότι έχουμε 2πλό NAT: α. Ο Β router, όταν η επικοινωνία ξεκινά από το LANαυτού, γνωρίζει ποιος την ξεκίνησε και που θα την στείλει (στον Α router) και παράλληλα την μαρκάρει, έτσι όταν θα έρθει η απάντηση, ξέρει που πρέπει να την προωθήσει και ολοκληρώνεται η αμφίδρομη επικοινωνία. β. Όμως στην περίπτωση που η επικοινωνία δεν ξεκινά από το LAN του B router, αλλά είναι αρχικά εισερχόμενη σε αυτόν (μέσω της WAN θύρας) από το LAN του A router, τότε τα πακέτα ναι μεν προωθούνται προς το εσωτερικό δίκτυο, αλλά η απάντηση δεν επιστρέφει ποτέ αφού δεν υπάρχει κατάλληλος κανόνας (static route) ώστε οι συσκευές να γνωρίζουν που θα στείλουν την απάντηση. Φτιάξε αντίστοιχο κανόνα και στον TomatoUSB προς το υποδίκτυο του Fritz.
nickolasemp Δημοσ. 8 Ιανουαρίου 2019 Μέλος Δημοσ. 8 Ιανουαρίου 2019 Στις 22/12/2018 στις 5:57 ΜΜ, jkoukos είπε Θέλει και στα 2 router κανόνες static route. Και αυτό διότι έχουμε 2πλό NAT: α. Ο Β router, όταν η επικοινωνία ξεκινά από το LANαυτού, γνωρίζει ποιος την ξεκίνησε και που θα την στείλει (στον Α router) και παράλληλα την μαρκάρει, έτσι όταν θα έρθει η απάντηση, ξέρει που πρέπει να την προωθήσει και ολοκληρώνεται η αμφίδρομη επικοινωνία. β. Όμως στην περίπτωση που η επικοινωνία δεν ξεκινά από το LAN του B router, αλλά είναι αρχικά εισερχόμενη σε αυτόν (μέσω της WAN θύρας) από το LAN του A router, τότε τα πακέτα ναι μεν προωθούνται προς το εσωτερικό δίκτυο, αλλά η απάντηση δεν επιστρέφει ποτέ αφού δεν υπάρχει κατάλληλος κανόνας (static route) ώστε οι συσκευές να γνωρίζουν που θα στείλουν την απάντηση. Φτιάξε αντίστοιχο κανόνα και στον TomatoUSB προς το υποδίκτυο του Fritz. Πώς το ελέγχω ότι τούς έχω βάλει σωστά; Στο tomato πλέον δείχνει αυτό:
Επισκέπτης Δημοσ. 8 Ιανουαρίου 2019 Δημοσ. 8 Ιανουαρίου 2019 #iptables -t mangle -L -nv #ip rule list #ip route show #ip route show table <table> #ip route get <destination> mark 0x137
nickolasemp Δημοσ. 9 Ιανουαρίου 2019 Μέλος Δημοσ. 9 Ιανουαρίου 2019 Από το tomato να υποθέσω ότι δουλεύει: root@TomatoUSB:/tmp/home/root# ip route show 192.168.0.1 dev vlan2 scope link 192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1 192.168.0.0/24 via 192.168.0.1 dev vlan2 192.168.0.0/24 dev vlan2 proto kernel scope link src 192.168.0.5 127.0.0.0/8 dev lo scope link default via 192.168.0.1 dev vlan2
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα