Есть две подсетки - 192.168.0.0/24 (домашняя сетка образованная wi-fi router) и 192.168.10.0/24 (несколько vm на сервере). Физическое их соединение присутствует.
Вопрос: Как из домашней сетки попасть в подсетку на сервере.
Privet wrote: 07 Feb 2018 21:48Есть две подсетки - 192.168.0.0/24 (домашняя сетка образованная wi-fi router) и 192.168.10.0/24 (несколько vm на сервере). Физическое их соединение присутствует.
Вопрос: Как из домашней сетки попасть в подсетку на сервере.
Tracing route to192.168.10.4 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 192.168.1.1 reports: Destination host unreachable.
Чего в супе не хватает?
Насколько я ничего не понимаю, Ваш сервер должен быть в домашней подсетке, сервер должен иметь IP адрес в домашней подсетке и Gateway, чтобы попасть в виртуальные машины на сервере должен быть для домашней сети IP адрес Вашего сервера в домашней сети.
Т.е. например если IP адрес сервера в домашней сети 192.168.0.21 то и GW на роутере будет 192.168.0.21
Тогда роутер знает, что если он встретит пакет с адресом назначения 192.168.10.X, он его переправит на Ваш сервер, а там уже сервер должен его отправить куда нужно.
Могу ошибаться.
f_evgeny вроде всё правильно сказал (я упустил что речь идёт о VM)
Насколько я помню - в VMWare есть несколько способов организации сетевых интерфейсов для VM
Если там NAT упоминается - попасть в VM снаружи в принципе нельзя...
Т.е. не имея на сервере IP домашней сетки, попасть в эту подсетку снаружи никак нельзя. Правильно?
Однако, я вполне делал настройки nat так, что все пакеты на 80-й порт шли из внешней сети (internet) во внутреннюю при том, что внутренний хост выхода "наружу" не имел.
В данном случае мне нужно примерно тоже самое - доступ по одному порту и возврат ответа.
Проблема в том, что на роутере стоит BysyBox (embedded linux). У меня есть доступ к командной строке, но с настройками пока не освоился.
Palych wrote: 07 Feb 2018 21:54
Что значит "Физическое их соединение присутствует."?
Они обе соединены с 192.168.1.1?
Присутствует кабель, который идёт о роутера (домашняя подсетка) к интерфейсу на сервере, который является входом виртуального свича, включенного в серверную подсетку.
Извините, предложение получилось многоэтажным, но, надеюсь, понятным.
Palych wrote: 07 Feb 2018 22:16
f_evgeny вроде всё правильно сказал (я упустил что речь идёт о VM)
Насколько я помню - в VMWare есть несколько способов организации сетевых интерфейсов для VM
Если там NAT упоминается - попасть в VM снаружи в принципе нельзя...
Обычно там создаётся мост. Есть другой способ, но у меня, помню, с ним ничего не получилось, но там в описании есть оговорка, что он не всегда работает.
Лучше бы вопросы по роутингу сопровождать картинками, чтоб не приходилось домысливать.
Выше правильно сказали, напрямую роутить в подсеть за пределы маски нельзя, у каждой подсетки должен быть гейт (gateway) внутри нее. Исключения - Poin-to-Point и proxy-ARP. Но на интерфейсах можно поднимать алиасы с адресами нужных подсеток и прописывать роутинг через них.
Даже если меч может понадобиться один раз в жизни, носить его необходимо всегда.
Palych wrote: 07 Feb 2018 22:16
...
Если там NAT упоминается - попасть в VM снаружи в принципе нельзя...
Может быть, Вы хотели сказать "Если там NAT НЕ упоминается ..."?
Команда iptables там есть и она также умеет там настраивать NAT. Т.е. всётаки можно?
Если да, то для получения ответа мне нужно настраивать NAT в обе стороны (DNAT+SNAT) или достаточно только в одну? Доступ предполагается только в оду сторону - из домашней в серверную. Отсутствие обратного доступа будет даже плюсом.
irishman wrote: 07 Feb 2018 23:32
Лучше бы вопросы по роутингу сопровождать картинками, чтоб не приходилось домысливать.
... Но на интерфейсах можно поднимать алиасы с адресами нужных подсеток и прописывать роутинг через них.
Будет ли разница с точки зрения безопасности между реализацией через (1) gateway в домашнюю подсетку и через (2) nat (если это возможно в принципе)?
Privet wrote: 07 Feb 2018 23:05
Т.е. не имея на сервере IP домашней сетки, попасть в эту подсетку снаружи никак нельзя. Правильно?
В общем случае неправильно. Пробить NAT можно, однако это проделать - далеко не тривиальная задача. С одной оговоркой: подсетки должны находиться в физически разных сегментах сети (разные свичи или VLANы). Если подсетки на одном свиче, то NAT обходится банальным arp spoofing-ом.
Даже если меч может понадобиться один раз в жизни, носить его необходимо всегда.
Privet wrote: 08 Feb 2018 00:21
Рисовать-то там нечего
WIN_20180207_15_16_35_Pro.jpg
Т.е. на свиче слева-внизу присутствуют только public IP, они же через левый vSwitch приходят на Апачей, wifi-router делает NAT в домашнюю сетку. Looks good to me. Не забудьте default gateway на VM1 и VM2 поставить на провайдера, иначе обратка через NAT попрет.
Даже если меч может понадобиться один раз в жизни, носить его необходимо всегда.
> Вопрос: Как из домашней сетки попасть в подсетку на сервере.
Правильно - сделать static route на роутере. Проблема в том, что wifi routers очень это не любят и с большой долей вероятности этот трафик будут блокировать.
Обходится поднятием алиаса с адресом внутри 192.168.10.х на домашней машине, тогда она увидит ВМки напрямую.
Даже если меч может понадобиться один раз в жизни, носить его необходимо всегда.
Второй вариант - на ВМках настроить iptables так, чтоб разрешить коннекты на порт 22 внешнего интерфейса только с внешнего IP роутера. И с домашней машины заходить по наружным адресам.
Даже если меч может понадобиться один раз в жизни, носить его необходимо всегда.
