-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Avevo una situazione simile:
[INTERNET]
|
|
|
[GATEWAY]
|10.10.1.1/24
|
|
[SWITCH]---10.10.1.2/24[ROUTER_1]192.168.1.1/24---[LAN1]
|
|
|10.10.1.3/24
[ROUTER_2]
|192.168.1.1/24
|
|
[LAN_2]
I client di LAN_1 e LAN_2 accedono ad Internet tramite il NAT dei router
collegati allo switch e quindi le richieste arrivano al gateway con l'ip
dei router e il gateway esegue un nuovo NAT per arrivare su Internet.
Siccome così facendo non è possibile loggare ciò che i client richiedono
perché sono maschearti dal NAT dei router, ho pensato di prendere una
classe IP privata e di fare varie subnet.
Siccome sono presenti altre LAN oltre a quelle di figura ma ogni LAN non
ha più di 100 utenti, partendo da:
net: 10.10.0.0/16
netmask: 255.255.0.0
Ho creato subnet che utilizzano come netmask 255.255.255.128 ed
utilizzato queste subnet:
Network: 10.10.1.0/25 Broadcast: 10.10.1.127
=> per la rete ex 10.10.1.0/24
Network: 10.10.2.0/25 Broadcast: 10.10.2.127
=> per la rete LAN1
Network: 10.10.3.0/25 Broadcast: 10.10.3.127
=> per la rete LAN2
Quindi l'attuale situazione è questa:
[INTERNET]
|
|
|
[GATEWAY]
|10.10.1.1/25
|
|
[SWITCH]---10.10.1.2/25[ROUTER_1]10.10.2.1/25---[LAN1]
|
|
|10.10.1.3/25
[ROUTER_2]
10.10.3.1/25
|
|
[LAN_2]
Disabilitando il masquerade da ROUTER_1 e dal ROUTER_2.
In dettaglio la configurazione è questa:
GATEWAY:
eth0:
ip 10.10.1.1
net 10.10.1.0/25
mask 255.255.255.128
eth1:
ip XXX.XXX.XXX.XXX
net XXX.XXX.XXX.XXX
mask 255.255.255.248
default gateway:
XXX.XXX.XXX.XXX
ROUTER_1:
eth0:
ip 10.10.1.2
net 10.10.1.0/25
mask 255.255.255.128
eth1:
ip 10.10.2.1
net 10.10.2.0/25
mask 255.255.255.128
default gateway:
10.10.1.1
CLIENT LAN_1:
eth0:
ip 10.10.2.5
net 10.10.2.0/25
mask 255.255.255.128
default gateway:
10.10.2.1
ROUTER_1:
eth0:
ip 10.10.1.3
net 10.10.1.0/25
mask 255.255.255.128
eth1:
ip 10.10.2.1
net 10.10.2.0/25
mask 255.255.255.128
default gateway:
10.10.1.1
CLIENT LAN_2:
eth0:
ip 10.10.3.5
net 10.10.2.0/25
mask 255.255.255.128
default gateway:
10.10.2.1
Ho riportato solo due client per semplicità...
Purtroppo però c'è qualcosa che non va.
dal GATEWAY:
- il gateway è raggiungibile (XXX.XXX.XXX.XXX)
- i router sono entrambi raggiungibili
- i client noon sono raggiungibili
da ROUTER_1 e ROUTER_2:
- il default gateway è raggiungibile (10.10.1.1)
- i client delle proprie reti sono raggiungibili ma da ROUTER_1 non
raggiungo i client di ROUTER_2 e viceversa.
da LAN_1 e LAN_2:
- il default gateway è raggiungibile (10.10.2.1 o 10.10.3.1)
- il gateway 10.10.1.1 non è raggiungibile e quindi nemmeno Internet
- i client appartenenti all'altra rete non sono raggiungibili
Dove sbaglio?
Non c'è nessun firewall (più volte ricontrollato iptables) è c'è
l'ip_forwarding ad 1.
Se dai client faccio un traceroute verso l'esterno arrivo al gateway
(10.10.2.1 o 10.10.3.1) e poi il nulla... * * * * * :(
Spero di essere stato chiaro e di ricevere un aiuto perché sto uscendo
pazzo.
Grazie,
Gianluca
p.s.: dimenticavo di dire che GATEWAY, ROUTER_1 e ROUTER_2 sono Debian
Sarge mentre i client sono in prevalenza macchine Windows e per comodità
ho riportato eth0 come nome dell'interfaccia di rete.
- --
echo aculnaiG | awk 'BEGIN { FS = "" }
{ for (i = NF; i >= 1; i-- )
printf $i }'; echo
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (Darwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFFgb23K1z3HmyB2QIRAgF5AJ9vletgm8rztVDAs3DbDwYZ7U5A9wCfXUX9
NHR9oWL0Tl5luPH2GWk1rqc=
=vCm/
-----END PGP SIGNATURE-----
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
[EMAIL PROTECTED] con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a [EMAIL PROTECTED]
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
