Routing question

[Privet]

Есть две подсетки - 192.168.0.0/24 (домашняя сетка образованная wi-fi router) и 192.168.10.0/24 (несколько vm на сервере). Физическое их соединение присутствует.

Вопрос: Как из домашней сетки попасть в подсетку на сервере.

Пытался на роутере добавить такой static route:

Code: Select all

destination: 192.168.10.0/24   gateway: 192.168.0.1   metric: 2

Не помогло.

Trace route from 192.168.0.2 (из домашней подсетки):

Code: Select all

Tracing route to192.168.10.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2  192.168.1.1  reports: Destination host unreachable.

Чего в супе не хватает?

[Palych]

Что значит "Физическое их соединение присутствует."?
Они обе соединены с 192.168.1.1?

[f_evgeny]

Есть две подсетки - 192.168.0.0/24 (домашняя сетка образованная wi-fi router) и 192.168.10.0/24 (несколько vm на сервере). Физическое их соединение присутствует.

Вопрос: Как из домашней сетки попасть в подсетку на сервере.

Пытался на роутере добавить такой static route:

Code: Select all

destination: 192.168.10.0/24   gateway: 192.168.0.1   metric: 2

Не помогло.

Trace route from 192.168.0.2 (из домашней подсетки):

Code: Select all

Tracing route to192.168.10.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2  192.168.1.1  reports: Destination host unreachable.

Чего в супе не хватает?

Насколько я ничего не понимаю, Ваш сервер должен быть в домашней подсетке, сервер должен иметь IP адрес в домашней подсетке и Gateway, чтобы попасть в виртуальные машины на сервере должен быть для домашней сети IP адрес Вашего сервера в домашней сети.
Т.е. например если IP адрес сервера в домашней сети 192.168.0.21 то и GW на роутере будет 192.168.0.21
Тогда роутер знает, что если он встретит пакет с адресом назначения 192.168.10.X, он его переправит на Ваш сервер, а там уже сервер должен его отправить куда нужно.
Могу ошибаться.

[Palych]

f_evgeny вроде всё правильно сказал (я упустил что речь идёт о VM)
Насколько я помню - в VMWare есть несколько способов организации сетевых интерфейсов для VM
Если там NAT упоминается - попасть в VM снаружи в принципе нельзя...

[Privet]

Т.е. не имея на сервере IP домашней сетки, попасть в эту подсетку снаружи никак нельзя. Правильно?

Однако, я вполне делал настройки nat так, что все пакеты на 80-й порт шли из внешней сети (internet) во внутреннюю при том, что внутренний хост выхода "наружу" не имел.
В данном случае мне нужно примерно тоже самое - доступ по одному порту и возврат ответа.
Проблема в том, что на роутере стоит BysyBox (embedded linux). У меня есть доступ к командной строке, но с настройками пока не освоился.

[Privet]

Что значит "Физическое их соединение присутствует."?
Они обе соединены с 192.168.1.1?

Присутствует кабель, который идёт о роутера (домашняя подсетка) к интерфейсу на сервере, который является входом виртуального свича, включенного в серверную подсетку.
Извините, предложение получилось многоэтажным, но, надеюсь, понятным.

[Privet]

f_evgeny вроде всё правильно сказал (я упустил что речь идёт о VM)
Насколько я помню - в VMWare есть несколько способов организации сетевых интерфейсов для VM
Если там NAT упоминается - попасть в VM снаружи в принципе нельзя...

Обычно там создаётся мост. Есть другой способ, но у меня, помню, с ним ничего не получилось, но там в описании есть оговорка, что он не всегда работает.

[irishman]

Лучше бы вопросы по роутингу сопровождать картинками, чтоб не приходилось домысливать.
Выше правильно сказали, напрямую роутить в подсеть за пределы маски нельзя, у каждой подсетки должен быть гейт (gateway) внутри нее. Исключения - Poin-to-Point и proxy-ARP. Но на интерфейсах можно поднимать алиасы с адресами нужных подсеток и прописывать роутинг через них.

[Privet]

...
Если там NAT упоминается - попасть в VM снаружи в принципе нельзя...

Может быть, Вы хотели сказать "Если там NAT НЕ упоминается ..."?

Команда iptables там есть и она также умеет там настраивать NAT. Т.е. всётаки можно?
Если да, то для получения ответа мне нужно настраивать NAT в обе стороны (DNAT+SNAT) или достаточно только в одну? Доступ предполагается только в оду сторону - из домашней в серверную. Отсутствие обратного доступа будет даже плюсом.

[Privet]

Лучше бы вопросы по роутингу сопровождать картинками, чтоб не приходилось домысливать.
... Но на интерфейсах можно поднимать алиасы с адресами нужных подсеток и прописывать роутинг через них.

Будет ли разница с точки зрения безопасности между реализацией через (1) gateway в домашнюю подсетку и через (2) nat (если это возможно в принципе)?

[Privet]

Рисовать-то там нечего

WIN_20180207_15_16_35_Pro.jpg

[irishman]

Т.е. не имея на сервере IP домашней сетки, попасть в эту подсетку снаружи никак нельзя. Правильно?

В общем случае неправильно. Пробить NAT можно, однако это проделать - далеко не тривиальная задача. С одной оговоркой: подсетки должны находиться в физически разных сегментах сети (разные свичи или VLANы). Если подсетки на одном свиче, то NAT обходится банальным arp spoofing-ом.

[irishman]

Рисовать-то там нечего

WIN_20180207_15_16_35_Pro.jpg

Т.е. на свиче слева-внизу присутствуют только public IP, они же через левый vSwitch приходят на Апачей, wifi-router делает NAT в домашнюю сетку. Looks good to me. Не забудьте default gateway на VM1 и VM2 поставить на провайдера, иначе обратка через NAT попрет.

[irishman]

> Вопрос: Как из домашней сетки попасть в подсетку на сервере.
Правильно - сделать static route на роутере. Проблема в том, что wifi routers очень это не любят и с большой долей вероятности этот трафик будут блокировать.
Обходится поднятием алиаса с адресом внутри 192.168.10.х на домашней машине, тогда она увидит ВМки напрямую.

[irishman]

Второй вариант - на ВМках настроить iptables так, чтоб разрешить коннекты на порт 22 внешнего интерфейса только с внешнего IP роутера. И с домашней машины заходить по наружным адресам.

[Privet]

> Вопрос: Как из домашней сетки попасть в подсетку на сервере.
Правильно - сделать static route на роутере. Проблема в том, что wifi routers очень это не любят и с большой долей вероятности этот трафик будут блокировать.
Обходится поднятием алиаса с адресом внутри 192.168.10.х на домашней машине, тогда она увидит ВМки напрямую.

Ну, static route У меня уже есть. Прикрутил alias на тот же интерфейс, что подключен к роутеру (кстати, по wire, не по wi-fi). Абсолютно ничего не поменялось. Может, конечно, роутер блокирует... Я сейчас придумаю что-нить чтобы прокинуть командную строку с роутера (он в "серверной", а там холодно ) на лаптоп и посмотрю что там за настройки, хотя я в них пока ориентируюсь.

[Palych]

Я предлагаю такой тест:
Изнутри VM войти на какой-нибудь сервер/ресурс за пределами сервера, но внутри сети.
И посмотреть с какого адреса зашли (команда `w -i` в Linux).
Совпадает этот адрес с тем что виден внутри vm (hostname -i)?

[PavelM]

Хотелось бы уточнить

1. Марку и модель раутера. У некоторых моделей домашних раутеров порты вайфай и Ethernet не собщаются никак. У других, сообщаются на уровне 2 через коммутатор (свитч). В последнем случае никаких таблиц маршрутизации (routing table) менять не надо потому что раутинга там нет как такового это просто одна сеть. Просто присвойте вайфайному компьютеру два адреса, один для сети вайфай, другой для серверной сети. (адреса будут статическими)

2. Кому присвоен адрес 192.168.1.1

[Privet]

Хотелось бы уточнить

1. Марку и модель раутера. У некоторых моделей домашних раутеров порты вайфай и Ethernet не собщаются никак. У других, сообщаются на уровне 2 через коммутатор (свитч). В последнем случае никаких таблиц маршрутизации (routing table) менять не надо потому что раутинга там нет как такового это просто одна сеть. Просто присвойте вайфайному компьютеру два адреса, один для сети вайфай, другой для серверной сети. (адреса будут статическими)

2. Кому присвоен адрес 192.168.1.1

1. Netgear R8000 (NightHawk x6)
2. Этому роутеру и присвоен этот адрес (LAN)

[Privet]

Я предлагаю такой тест:
Изнутри VM войти на какой-нибудь сервер/ресурс за пределами сервера, но внутри сети.
И посмотреть с какого адреса зашли (команда `w -i` в Linux).
Совпадает этот адрес с тем что виден внутри vm (hostname -i)?

Будете смеяться, но у меня входа туда нет. Точнее, надо в холодную "серверную№ идти.

Весь сюжет.
Раньше у меня адрес домашней сетки совпадал с адресом серверной сетки (192.168.10.1/24). Мне это не очень нравилось, т.к., если кто влезет на сервер, то он фактически будет внутри моей домашней сети. Я на днях поставил новый wi-fi роутер и решил изолироваться от серверной сети. Теперь думаю как мне организовать вход в серверную сетку. Бегать каждый раз в холодную серверную лениво.
У меня была идея вообще все внешние соединения пустить через отдельную VM. Я это настроил через NAT, но получилось, что все участники приходят на форум с одного адреса - адреса этой VM. Правильнее, наверное, было бы настроить на этой VM прокси.

Буду очень благодарен если кто посоветует как эту систему разумнее организовать. Познания в сетевых делах у меня только самые общие.

[Palych]

А что это за SWITCH на входе в сетку - это таки роутер, или свитч?
Другими словами - внешний интерфейс ROUTERa имеет реальный IP, или 192.168....?
И что за SWITCHи (2 штуки) внутри сервера? Это настройки VMWare, или физические железки?
Я правильно понимаю что в сервере 2 сетевые карты?

[Palych]

Будете смеяться, но у меня входа туда нет. Точнее, надо в холодную "серверную№ идти.

То есть - ни на одну из ВМ вы не можете зайти удалённо?
А на сервер?

[Serb]

Есть две подсетки - 192.168.0.0/24 (домашняя сетка образованная wi-fi router) и 192.168.10.0/24 (несколько vm на сервере). Физическое их соединение присутствует.

Вопрос: Как из домашней сетки попасть в подсетку на сервере.

Пытался на роутере добавить такой static route:

Code: Select all

destination: 192.168.10.0/24   gateway: 192.168.0.1   metric: 2

Не помогло.

Trace route from 192.168.0.2 (из домашней подсетки):

Code: Select all

Tracing route to192.168.10.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2  192.168.1.1  reports: Destination host unreachable.

Чего в супе не хватает?

Если не вдаваться в подробности , то проще всего добавь больше специфичный маршрут к домашней сети на каждой ВМ

Route add 192.168.0.0 mask 255.255.255.0 192.168.10.1 Если это виндус, для Юникс - по аналогии . То что вы сделали - убрать так как не имеет смысла . Роутер и так знает про все сети кроме Интернета, на нем нужен толко один маршрут - дефолт в сторону провайдера и НАТ

[Privet]

А что это за SWITCH на входе в сетку - это таки роутер, или свитч?
Другими словами - внешний интерфейс ROUTERa имеет реальный IP, или 192.168....?
И что за SWITCHи (2 штуки) внутри сервера? Это настройки VMWare, или физические железки?
Я правильно понимаю что в сервере 2 сетевые карты?

Тот switch, который снаружи, это простейший железный свич, который работает как хаб. Никаких IP он не имеет. Два свича внутри это два виртуальных свича VMware. У сервера 4 порта, но они объединены попарно. Они обеспечивают только физическое соединение.

Вот более детальная схема с указанием всех проводов и связей. Я не знаю как администраторы рисуют схемы. Я рисую с точки зрения радиоинженера.

WIN_20180207_22_33_17_Pro.jpg

У роутера 4 порта для домашней LAN. Один из его выходов подключён к свичу, который идёт к серверной LAN. Вся левая сторона это реальные IP.

Раньше и сервера и домашняя сетка были частями одной подсетки. Сейчас я их разделил.

[Privet]

Будете смеяться, но у меня входа туда нет. Точнее, надо в холодную "серверную№ идти.

То есть - ни на одну из ВМ вы не можете зайти удалённо?
А на сервер?

У меня стоит openvpn, но он сейчас на отдельной тестовой VM3, которая не связана с серверной LAN. Я писал, что выход в Интернет я хотел сделать через отдельную VM3. На ней же сделал и vpn. Она у меня была между левым вирт. свичём и VM2 (веб-сервер, а VM1 выхода во вне не имеет - это дб-сервер). Позавчера экспериментировал, но решил отключить. Думаю что с ней делать. Добить эту идею, установив веб-прокси или бросить. Может, народ что подскажет.