Как создать подсеть между двумя разными сетями

Question

Мне нужна помощь, чтобы построить мою первую подсеть между двумя маршрутизаторами.

Мой офис находится рядом с другим офисом, и эти два офиса связаны между собой сетевым кабелем, и оба офиса имеют независимый доступ в Интернет.

Каждая сеть имеет свою собственную область IP-адресов:

• Сеть А - 10.35.1.*
• Сеть B - 10.35.2.*

Я хотел бы установить подсеть между этими двумя сетями, чтобы разделить сетевые ресурсы.

Как настроить маршрутизатор DD-WRT для маршрутизации этих двух сетей?

Вот быстрый набросок дизайна сети:

На самом деле все маски подсети 255.255.255.0

     Network  A                                Network  B

    PC1              PC2                 PC3              PC4         
(10.35.1.10)    (10.35.1.11)         (10.35.2.12)    (10.35.2.13)
     |                |                   |                |
     ------------------                   ------------------
             |                                    |
      Router A (DD-WRT)  --------------------  Router B
        (10.35.1.1)                          (10.35.2.1) 
             |                                    |
             |                                    |
         {Internet}                           {Internet}

Изменить: Теперь я добавил ручной статический маршрут в маршрутизаторе в 10.35.1.1 (выделено желтым цветом на изображении), но все еще не может пропинговать 10.35.1.1 из маршрутизатора TelNet или ПК из сети A

Answer 1

Во-первых, каждая локальная сеть будет иметь свою собственную подсеть (это сокращение от "подсеть", где "сеть" относится ко всей сети; в вашем случае "сеть" - это, скорее всего, Интернет). Что вам нужно сделать, это настроить маршрутизацию между двумя подсетями. Они останутся отдельными объектами, но трафик сможет проходить между ними.

Первое, что вам нужно подтвердить, это то, что диапазоны IP-адресов не перекрываются. Например, 10.35.1/24 и 10.35.2/24 - это хорошо, но 10.35.1.0/16 и 10.35.2.0/16 - нет (потому что в последнем случае диапазоны IP-адресов перекрываются, и для маршрутизатор, чтобы знать, какой трафик должен идти куда).

Я не знаю точно, какие шаги нужно предпринять, чтобы настроить это в dd-wrt (как в «нажмите здесь, введите это, ...»), но что вам нужно сделать, это:

1. Физически подключите маршрутизатор A к маршрутизатору B (проводной или беспроводной, прямой или через туннель, но им нужен способ общения друг с другом).
2. Настройте Маршрутизатор A для маршрутизации любого трафика, предназначенного для сети, обслуживаемой Маршрутизатором B (10.35.2/24), через его соединение с Маршрутизатором B.
3. Настройте Маршрутизатор B для маршрутизации любого трафика, предназначенного для сети, обслуживаемой Маршрутизатором A (10.35.1/24), через его соединение с Маршрутизатором A.
4. На обоих маршрутизаторах настройте все необходимые правила брандмауэра, чтобы разрешить прохождение трафика между сетями, обслуживаемыми маршрутизатором A и маршрутизатором B. В зависимости от особенностей это может или не может быть строго обязательным.

Шаги 2 и 3 (которые являются волшебным соусом для выполнения этой работы вообще) обычно выполняются путем настройки статических маршрутов. Любой умеренно компетентный стек IP предоставляет способ сделать это, и я не могу представить, что dd-wrt будет исключением, хотя точная механика того, как это сделать, варьируется. Основная идея заключается в том, чтобы сообщить каждому маршрутизатору, что «для достижения сети abcd /e» ему необходимо "переслать трафик по каналу fghij" и / или "передать трафик следующему переходному маршрутизатору klmn"; так работает вся маршрутизация в IP-сети, такой как Интернет. Если вы указываете маршрутизатор следующего перехода, то этот маршрутизатор должен быть доступен через какой-то другой настроенный маршрут.

Например, рассмотрим следующую таблицу маршрутизации IPv4, которая должна быть аналогична настроенной вами:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

Это говорит о том, что для достижения сетевой маски 192.168.1.0 255.255.255.0 (что соответствует 192.168.1/24) используйте шлюз 0.0.0.0 (то есть просто сбросьте трафик в сеть) через интерфейс eth0. Чтобы достичь сети 0.0.0.0 маска сети 0.0.0.0 (или 0.0.0.0/0, "маршрут по умолчанию"), лучше всего попросить 192.168.1.254 перенаправить трафик к конечному пункту назначения. Только маршрутизаторы базовой сети не имеют маршрута по умолчанию; это называется DFZ или зона по умолчанию. Когда вы получаете сообщение об ошибке "нет маршрута к хосту", это происходит почти всегда, потому что вы попали в маршрутизатор, который не может передать трафик к хосту назначения.

Маршруты всегда рассматриваются с учетом наиболее конкретных совпадений, и, следовательно, маршрут по умолчанию используется только в том случае, если другие настроенные маршруты не совпадают. Следовательно, если я хочу направить трафик к 172.16.128.0/23 по физическому каналу, подключенному к eth1, я получу таблицу маршрутизации, очень похожую на следующую:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 eth0
172.16.128.0    0.0.0.0         255.255.254.0   U     0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

Сделав соответствующее изменение на другой стороне, я могу гарантировать, что обратный трафик сможет перетекать обратно в исходную сеть, обеспечивая двустороннюю связь по выделенному каналу.

После того как вы внесли изменения такого типа в конфигурацию dd-wrt на обоих концах, хосты в обеих сетях должны, по крайней мере, иметь возможность общаться с маршрутизатором на другом конце канала. (В этот момент, скорее всего, все сводится к настройке брандмауэра для пропуска соответствующего трафика.)

Answer 2

Я, наконец, сдаюсь, DD-WRT - это способ глючить.

DD-WRT для Linksys WRT54G, сборка DD-WRT v24-sp2 (08/07/10) vpn (редакция SVN 14896)

Безопасность беспроводных сетей постоянно переключается на TKIP, поэтому мой ноутбук и смартфон не могут подключиться. PPTP VPN-соединение между DD-WRT и неполным доступом к маршруту.

Что еще, что я не делаю сейчас ...

Я пойду с другим решением.

Но спасибо всем за ваш вклад, я узнал, я немного больше от вас!

---

---

Решение с использованием маски подсети

Для записи... Мне удалось связать две сети 10.35.1.0/24 и 10.35.2.0/24, используя другую маску подсети. На каждом маршрутизаторе и на каждом DHCP-сервере необходимо включить оба IP-диапазона, что-то вроде 255.255. 252 +0,0 (10.35.0.1 - 10.35.3.254). Маска немного широка, но для меня это не имеет большого значения. Я добавлю другую подсеть позже.

Answer 3

На самом деле это простая проблема. Два DD-WRT могут быть настроены как пара клиент-сервер OpenVPN, что позволяет объединять две отдельные подсети.

Настройка соединения OpenVPN в мостовой конфигурации описана на этой очень понятной вики-странице DD-WRT. Конфигурацию иногда называют VPN-соединением типа «сеть-сеть».

Осталось только убедить два маршрутизатора в том, что две подсети на самом деле принадлежат к большей сети. Вы можете добиться этого просто с помощью более широкой маски подсети. Наименьшая из существующих сетей - это /22 или 255.255.252.0. Это означает, что вам придется изменить маску подсети в графическом интерфейсе конфигурации каждого маршрутизатора DD-WRT. После того, как это будет сделано, потребуется некоторое время (= время аренды или 1 час для большинства локальных сетей), чтобы изменение распространялось на ваших клиентов DHCP.

Комментарии:

1. Не изменять диапазон IP - адресов , присвоенных каждым маршрутизатором. Сейчас они не перекрываются, и это все, что имеет значение.

2. Вы получите трафик 2-го уровня, пересекающий одну подсеть с другой. Это включает в себя трафик ARP и так далее. Если у вас коммерчески быстрая сеть, то есть, по крайней мере, 10 Мбит / с, не беспокойтесь об этом вообще, вы не будете тратить скудную пропускную способность вообще. Вместо этого у вас будут все протоколы, работающие в разных подразделениях, вы сможете печатать на принтере в другом офисе, обмениваться каталогами и файлами и т.д.: Никаких ограничений нет , все будет работать так, как если бы два офиса были одним. Если вы действительно хотите заблокировать трафик 2-го уровня, приведенная выше ссылка покажет вам, как это сделать с помощью ebtables, но это не стоит усилий .

3. Когда сделан запрос DHCP, неясно, какой маршрутизатор выиграет гонку, что означает, что у вас может быть компьютер 10.35.1.xx среди братьев 10.35.2.xx. Вам не нужно беспокоиться об этом: именно потому, что две подсети идеально интегрированы, система будет работать безотказно, несмотря ни на что. Однако, если вас это беспокоит, все, что вам нужно сделать, это ввести правило iptables на каждом маршрутизаторе, который блокирует ответы DHCP (а не запросы, использующие необработанные сокеты):

     iptables -A FORWARD -dport 67:68 -sport 67:68 -j DROP
   

4. Система надежна. Семь лет назад я установил одно соединение такого типа между моим домом и лабораторией в университете, где я работаю: соединение никогда не было затруднительным.