Routing question

[Privet]

> Вопрос: Как из домашней сетки попасть в подсетку на сервере.
Правильно - сделать static route на роутере. Проблема в том, что wifi routers очень это не любят и с большой долей вероятности этот трафик будут блокировать.
Обходится поднятием алиаса с адресом внутри 192.168.10.х на домашней машине, тогда она увидит ВМки напрямую.

Ну, static route У меня уже есть. Прикрутил alias на тот же интерфейс, что подключен к роутеру (кстати, по wire, не по wi-fi). Абсолютно ничего не поменялось. Может, конечно, роутер блокирует... Я сейчас придумаю что-нить чтобы прокинуть командную строку с роутера (он в "серверной", а там холодно ) на лаптоп и посмотрю что там за настройки, хотя я в них пока ориентируюсь.

[Palych]

Я предлагаю такой тест:
Изнутри VM войти на какой-нибудь сервер/ресурс за пределами сервера, но внутри сети.
И посмотреть с какого адреса зашли (команда `w -i` в Linux).
Совпадает этот адрес с тем что виден внутри vm (hostname -i)?

[PavelM]

Хотелось бы уточнить

1. Марку и модель раутера. У некоторых моделей домашних раутеров порты вайфай и Ethernet не собщаются никак. У других, сообщаются на уровне 2 через коммутатор (свитч). В последнем случае никаких таблиц маршрутизации (routing table) менять не надо потому что раутинга там нет как такового это просто одна сеть. Просто присвойте вайфайному компьютеру два адреса, один для сети вайфай, другой для серверной сети. (адреса будут статическими)

2. Кому присвоен адрес 192.168.1.1

[Privet]

Хотелось бы уточнить

1. Марку и модель раутера. У некоторых моделей домашних раутеров порты вайфай и Ethernet не собщаются никак. У других, сообщаются на уровне 2 через коммутатор (свитч). В последнем случае никаких таблиц маршрутизации (routing table) менять не надо потому что раутинга там нет как такового это просто одна сеть. Просто присвойте вайфайному компьютеру два адреса, один для сети вайфай, другой для серверной сети. (адреса будут статическими)

2. Кому присвоен адрес 192.168.1.1

1. Netgear R8000 (NightHawk x6)
2. Этому роутеру и присвоен этот адрес (LAN)

[Privet]

Я предлагаю такой тест:
Изнутри VM войти на какой-нибудь сервер/ресурс за пределами сервера, но внутри сети.
И посмотреть с какого адреса зашли (команда `w -i` в Linux).
Совпадает этот адрес с тем что виден внутри vm (hostname -i)?

Будете смеяться, но у меня входа туда нет. Точнее, надо в холодную "серверную№ идти.

Весь сюжет.
Раньше у меня адрес домашней сетки совпадал с адресом серверной сетки (192.168.10.1/24). Мне это не очень нравилось, т.к., если кто влезет на сервер, то он фактически будет внутри моей домашней сети. Я на днях поставил новый wi-fi роутер и решил изолироваться от серверной сети. Теперь думаю как мне организовать вход в серверную сетку. Бегать каждый раз в холодную серверную лениво.
У меня была идея вообще все внешние соединения пустить через отдельную VM. Я это настроил через NAT, но получилось, что все участники приходят на форум с одного адреса - адреса этой VM. Правильнее, наверное, было бы настроить на этой VM прокси.

Буду очень благодарен если кто посоветует как эту систему разумнее организовать. Познания в сетевых делах у меня только самые общие.

[Palych]

А что это за SWITCH на входе в сетку - это таки роутер, или свитч?
Другими словами - внешний интерфейс ROUTERa имеет реальный IP, или 192.168....?
И что за SWITCHи (2 штуки) внутри сервера? Это настройки VMWare, или физические железки?
Я правильно понимаю что в сервере 2 сетевые карты?

[Palych]

Будете смеяться, но у меня входа туда нет. Точнее, надо в холодную "серверную№ идти.

То есть - ни на одну из ВМ вы не можете зайти удалённо?
А на сервер?

[Serb]

Есть две подсетки - 192.168.0.0/24 (домашняя сетка образованная wi-fi router) и 192.168.10.0/24 (несколько vm на сервере). Физическое их соединение присутствует.

Вопрос: Как из домашней сетки попасть в подсетку на сервере.

Пытался на роутере добавить такой static route:

Code: Select all

destination: 192.168.10.0/24   gateway: 192.168.0.1   metric: 2

Не помогло.

Trace route from 192.168.0.2 (из домашней подсетки):

Code: Select all

Tracing route to192.168.10.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2  192.168.1.1  reports: Destination host unreachable.

Чего в супе не хватает?

Если не вдаваться в подробности , то проще всего добавь больше специфичный маршрут к домашней сети на каждой ВМ

Route add 192.168.0.0 mask 255.255.255.0 192.168.10.1 Если это виндус, для Юникс - по аналогии . То что вы сделали - убрать так как не имеет смысла . Роутер и так знает про все сети кроме Интернета, на нем нужен толко один маршрут - дефолт в сторону провайдера и НАТ

[Privet]

А что это за SWITCH на входе в сетку - это таки роутер, или свитч?
Другими словами - внешний интерфейс ROUTERa имеет реальный IP, или 192.168....?
И что за SWITCHи (2 штуки) внутри сервера? Это настройки VMWare, или физические железки?
Я правильно понимаю что в сервере 2 сетевые карты?

Тот switch, который снаружи, это простейший железный свич, который работает как хаб. Никаких IP он не имеет. Два свича внутри это два виртуальных свича VMware. У сервера 4 порта, но они объединены попарно. Они обеспечивают только физическое соединение.

Вот более детальная схема с указанием всех проводов и связей. Я не знаю как администраторы рисуют схемы. Я рисую с точки зрения радиоинженера.

WIN_20180207_22_33_17_Pro.jpg

У роутера 4 порта для домашней LAN. Один из его выходов подключён к свичу, который идёт к серверной LAN. Вся левая сторона это реальные IP.

Раньше и сервера и домашняя сетка были частями одной подсетки. Сейчас я их разделил.

[Privet]

Будете смеяться, но у меня входа туда нет. Точнее, надо в холодную "серверную№ идти.

То есть - ни на одну из ВМ вы не можете зайти удалённо?
А на сервер?

У меня стоит openvpn, но он сейчас на отдельной тестовой VM3, которая не связана с серверной LAN. Я писал, что выход в Интернет я хотел сделать через отдельную VM3. На ней же сделал и vpn. Она у меня была между левым вирт. свичём и VM2 (веб-сервер, а VM1 выхода во вне не имеет - это дб-сервер). Позавчера экспериментировал, но решил отключить. Думаю что с ней делать. Добить эту идею, установив веб-прокси или бросить. Может, народ что подскажет.

[Privet]

> Вопрос: Как из домашней сетки попасть в подсетку на сервере.
Правильно - сделать static route на роутере. Проблема в том, что wifi routers очень это не любят и с большой долей вероятности этот трафик будут блокировать.
Обходится поднятием алиаса с адресом внутри 192.168.10.х на домашней машине, тогда она увидит ВМки напрямую.

А ведь действительно, домашняя машинка логически имеет прямую связь с серверной подсеткой через роутер и свичи! Я поставил другой IP на alias и действительно я сейчас имею полный доступ к серверам и к Интернету. Теперь не придётся бегать к серверам пока я не доделаю всю структуру сеток.

Вообще, вопрос к всемогущему внешнему разуму очень простой: Какую выбрать конфигурацию системы для обеспечения разумных надёжности и безопасности на основе того, что есть в наличии?

Стоит ли выкаблучиваться или при данных ресурсах лучше оставить всё как есть, а доступ в серверную LAN обеспечить ортодоксальным способом добавив соответствующий gateway?

[f_evgeny]

Вообще, вопрос к всемогущему внешнему разуму очень простой: Какую выбрать конфигурацию системы для обеспечения разумных надёжности и безопасности на основе того, что есть в наличии?

Стоит ли выкаблучиваться или при данных ресурсах лучше оставить всё как есть, а доступ в серверную LAN обеспечить ортодоксальным способом добавив соответствующий gateway?

Лично я бы делал как можно проще, через статический гейтвэй. А для повышения безопасности ходил если уж очень хочется и нужно пробросить какие-то сервисы, то подумал бы о туннелинге через SSH.
Но я:
- Не спец в данной области, так, старый линуксоид.
- Люблю простые решения.
Со сложными решениями одна проблема - через пару лет, когда вдруг перестанет работать, трудно вспомнить, что там было наворочено.

[Serb]

> Вопрос: Как из домашней сетки попасть в подсетку на сервере.
Правильно - сделать static route на роутере. Проблема в том, что wifi routers очень это не любят и с большой долей вероятности этот трафик будут блокировать.
Обходится поднятием алиаса с адресом внутри 192.168.10.х на домашней машине, тогда она увидит ВМки напрямую.

А ведь действительно, домашняя машинка логически имеет прямую связь с серверной подсеткой через роутер и свичи! Я поставил другой IP на alias и действительно я сейчас имею полный доступ к серверам и к Интернету. Теперь не придётся бегать к серверам пока я не доделаю всю структуру сеток.

Вообще, вопрос к всемогущему внешнему разуму очень простой: Какую выбрать конфигурацию системы для обеспечения разумных надёжности и безопасности на основе того, что есть в наличии?

Стоит ли выкаблучиваться или при данных ресурсах лучше оставить всё как есть, а доступ в серверную LAN обеспечить ортодоксальным способом добавив соответствующий gateway?

На коммутаторе vlan не настроены получается ? Если да , то сегментация эта чистой воды профанация

[Palych]

Я пока не понял что там к чему, особенно что делает второй hard switch справа. Но я сетевым инженером уже 18 лет как не работаю...

Потому - предложу обобщенные измышления:
Нужно с одной стороны - подключить физически домашнюю сеть к серверной, чтобы на сервер заходить не через интернет.
С другой - отгородить домашнюю сеть, чтобы со стороны сервера не было видно внутренностей домашней сети.
Если подключить сервер через LAN port роутера и заставить всё работать - второе требование не будет выполнено.

Самое простое - чтобы домашняя сеть была отгорожена NATом.
Проще всего это сделать воткнув WAN port в серверную сеть (я так понимаю - в тот самый свитч справа) и присвоив ему адрес из серверной сети.
Тогда получится двойной NAT, и my IP address будет показываться как серверный.

Чтобы этого избежать - нужен роутер с двумями WANами, чтобы на каждом был NAT...

[StrangerR]

Что значит "Физическое их соединение присутствует."?
Они обе соединены с 192.168.1.1?

Присутствует кабель, который идёт о роутера (домашняя подсетка) к интерфейсу на сервере, который является входом виртуального свича, включенного в серверную подсетку.
Извините, предложение получилось многоэтажным, но, надеюсь, понятным.

Ну так на VM-ках должны быть такие же адреса как и на домашней подсетке. Или же берите свитч/роутер с VLAN-ами и делайте их.

По сути - как правило домашние роутеры вланов не имеют но имеют DMZ. Сделайте DMZ на сетку которая на VM-ках и втыкните VMware хост туда.

Вы по сути просто втыкаете vSwitch в порт куда идет кабель. Рассматривайте его именно как свитч, просто еще один. Как вы свитчи соединяете, так и соединяйтесь.

(А лучше конечно иметь роутер с поддержкой VLAN-ов на L2 уровне)