Сообщения без ответов | Активные темы Текущее время: 12 дек 2019, 17:39



Ответить на тему  [ Сообщений: 12 ] 
Маршрутизация между пирами. 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 103
Вопрос, может дурацкий.
Пока без конфигов. Т.к. может сразу скажете, что нельзя.
Есть сеть с пирами.

Есть центр. Есть пиры. Пиры с центром связан туннельным интерфейсом. У туннельных интерфейсов своя адресация.
Роутинг настроен статический. У пира роутинг до центра через туннельный интерфейс. У цента роутинг до сети за пиром через туннельный интерфейс.
Пиры друг друга не "видят" и не должны. Т.е. это как бы dmvpn, но не dmvpn.
Но есть один пир, назовем его "суперпир", который должен видеть все остальные пиры через центр. Причем на пирах настройки менять нельзя.
Блин, наверное, запутал..
Если пропишу роутинг на этом суперпире до сетей за пирами, через туннельный интерфейс, ничего работать не будет. Наверное, это очевидно.
Может быть как-то можно крипто-мэпами сделать?
Спасибо заранее.

P.S. Сразу извините за столь, возможно, непонятное изложение. Сама достаточно задача запутанная.

P.P.S.
Напишу адресацию на всякий случай.

Сеть за пиром (192.168.12.0/24) - тунн. инт-с на пире tun0 (10.0.12.2/30) - тунн. инт. в центре tun12 (10.0.12.1/30) - сеть центра (172.16.2.0/24).
В центре прописано
ip route 192.168.12.0 255.255.255.0 tun0
на пире соответственно
ip route 172.16.2.0 255.255.255.0 tun0
И так много пиров с похожими настройками. Суперпир один их них.


15 ноя 2010, 12:01
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Давай рассудим логически: если суперпир должен видеть всех, то ответы из всех пиров должны приходить на суперпир.

Отсюда мораль: на суперпире прописываем всех, на всех - только суперпира (по марщшрутизации)

Если же дополнительно стоит задача, чтобы инициировать сессии можно было только со стороны суперпира, то добавляем простейший CBAC (или ZBF, есл и не лень)


15 ноя 2010, 13:03
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 103
А если натить на центре сетку суперпира в сетки пиров?
Или это бред?
Цитата:
Отсюда мораль: на суперпире прописываем всех, на всех - только суперпира (по марщшрутизации)

Получается, что центр всей этой штуки будет суперпир. А так не надо.


15 ноя 2010, 13:31
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Нет, суперпир не будет центром.

Просто мы будем через туннель от суперпира трафик не только в центр слать, но и на удаленные пиры.

НАТить можно. Но имхо геморрой больший, чем фильтрами и маршрутизацией обойтись


15 ноя 2010, 14:34
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 103
Блин, не понимаю.
У обычного пира туннель с кем будет? Так и останется с центром, а маршрутизацию прописать до сети за суперпиром через этот туннельный интерфейс?
Может схемку набросать?


15 ноя 2010, 14:52
Профиль

Зарегистрирован: 18 сен 2009, 22:20
Сообщения: 118
Откуда: Москва
Именно так, у обычного пира туннель с центром останется, но при этом на пире необходимо прописать роут в туннель на LAN-сеть за суперпиром (и межроутовую подсеть между суперпиром и центром). На суперпире же необходимо прописать либо дефолт в центр, либо описать все роуты до обычных пиров также в центр.


15 ноя 2010, 15:28
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 103
Простите, межроутовая подсеть между суперпиром и центром - это что? Сеть, используемая туннелем?


15 ноя 2010, 17:20
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Кирилл, я думаю тебе будет полезно понять вот что:
Шифрованный пакет приходит на центр, расшифровывается, потом его адрес назначения проверяется по таблице маррутизации и при необходимости, снова шифруется.

Твоя задача обеспечить, чтобы незашифрованный пакет пробежал по маршрутизации. ДЛя этого надо указать в роуте
На суперпире описать все сети всех пиров или сумму в туннель.
ip route {PEER} tun 0

НА всех пирах
ip route {SUPERPEER} tun 0


15 ноя 2010, 17:31
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 103
Спасибо коллеги.
Буду пробовать.


15 ноя 2010, 17:52
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4526
Картинку нарисуй лучше :)


16 ноя 2010, 17:36
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 103
Работает. Сделал правда чуть иначе. Через NAT. Сетку суперпира "натю" в центре.
Всем спасибо. Серег, тебе отдельное спасибо, т.к. фраза
Цитата:
Твоя задача обеспечить, чтобы незашифрованный пакет пробежал по маршрутизации.

реально разложила мою кашу в голове по полочкам.
Еще раз спасибо.


19 ноя 2010, 09:07
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
URWelkom :)

А иначе зачем мы здесь ? :)


19 ноя 2010, 10:09
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 12 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB