маскарадинг

Обсуждение ПО и его настройки
Ответить
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Подскажите, в каких случаях оправдано использование маскарадинга локальной сети роутера (интерфейса внутренней сети) или это совсем не правильно и нужен чистый роутинг ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) когда сетей много (удалённых) и лениво их описывать все.
2) когда не дают описывать (роутер не в Вашей зоне ответственности).
3) когда админ с другой стороны ленивый/не хочет из-за своих каких-то моментов описывать.
4) когда оборудование тупое/не сильно умное, но попадать на такое оборудование удалённо надо, то
НАТ поможет тут, как пример, у Длинков есть точки доступа, шлюза у них нету(параметрах), а удалённо
порой надо срочняк с ними поработать, наверно свитчи (не все) тоже сюда отнесу, по дефолту
за счёт НАТа можно попасть на них при первоначальной установки, когда они в дефолте).
5) когда нет надобности напрямую зайти на любой открытый/доступный порт удалённой сети/хоста.
Тогда НАТ удобнее/проще в реализации.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

6) когда нужно дать доступ к ресерсу в чужой сети не разрешая и не объявляя в локалку эту сеть.
7) когда IP сети пересекаются, переделывать нет возможности, а взаимодействовать нужно.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Но маскарадинг увеличивает нагрузку на маршрутиризатор.
Как грамотно обойтись без него если есть два роутера стоящие "один за другим" ? Первый R1 допустим имеет статический адрес от провайдера 1.1.1.1 И свою локальную подсеть 192.168.0.0/24. Адрес R1 в локальной сети 192.168.0.1 Второй (R2) имеет статически адрес от первого 192.168.0.9, R1 для него шлюз в интернет и в локальную сеть 192.168.0.0/24. Сам R2 имеет локальный адрес 192.168.89.1 и свою локальную сеть 192.168.89.0.24.
Так вот. Если я не использую маскарадинг на втором роутере для своей локальной сети 192.168.89.0/24 то нет пингов с первого на второй и все устройства в сети второго.
Как это обойти без маскарадинга ?
Везде пишут о том что вредно маскарадить локальный трафик. Надо маскарадить только внешний трафик.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ну простая же задачка.

На каждом роутере описываете сеть чужую относительного этого роутера.
То есть надо их "подружить" между собой.
При создании статических записей в таблице маршрутизации лучше использовать параметр Pref.Source.
Всё, роутеры друг друга видят и главное знают где искать другую сеть. Компьютеры тоже уже должны
пинговать всё (НАТы все пока убрать).
Это была первая часть.

Вторая часть - Р2 указываете куда ему слать пакеты для доступа в Интернет, понятно что на Р1,
и компы с 89 сети будут отдавать пакеты шлюзу,то есть сначала на Р2, он будет их просто дальше отдавать
на Р1, а вот уже на Р1 который и смотрит в интернет, уже именно на нём Вы должны
явно описать, что сети 89.0/24 я разрешаю в Интернет идти (НАТ).

В целом и в обобщённом варианте это так.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Но ведь на первом маршрутиризаторе и так стоит маскарадинг для всех сетей (т.е. scr adr не указывается), которые хотят наружу. Зачем указывать что сети 89.0/24 разрешаю выход ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

У меня единственная проблема и она в другом: С R1 не пингуется R2 и сеть за ним без маскарадинга с R2 на свою внутреннюю сеть.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а):Но ведь на первом маршрутиризаторе и так стоит маскарадинг для всех сетей (т.е. scr adr не указывается), которые хотят наружу.
Зачем указывать что сети 89.0/24 разрешаю выход ?

Ну у Вас общим правилом НАТа сделано, Ваше право.
Но я люблю более точные правила НАТа задавать, опасно обобщённо работать,
невольно Вы можете про-НАТить то, чего не надо натить. Поэтому я и уточнил этот нюанс.

Кстати, немного обобщённо, но с другом пару дней назад настраивали туннель, маршрутизацию,
я не видел как он всё делал, но после выяснения (я его не пингавал, не видел его ресурсов)
он всё же автоматом мою сеть у себя заНАТил, поэтому и ничего не работало.
Так что возможно и у Вас тоже в какой то степени эта же проблема или её часть.
(опять же, надо помнить, узкое и направленное правило НАТа ставиться в файрволе первее, обобщённое уже пониже)!

Sertik писал(а):У меня единственная проблема и она в другом: С R1 не пингуется R2 и сеть за ним без маскарадинга с R2 на свою внутреннюю сеть.

Возьмите ноут, поставьте его за роутером1 и дайте адресацию сети роутера1, шлюз - айпи роутера1, и попингуйте.
Думаю заработает. Когда Вы пингуете с роутера, важно задавать с какого интерфейса и с какова исходящего адреса это делать.
Когда пингуется удалённая сеть с компа локальной сети, то тут всё проще, компьютер роутеру
пакет уже принёс в котором есть его исходящий адрес и адрес доставки.
Поэтому я не зря сделал ранее акцент на параметре Pref.Source.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

В моих высказываниях была неточность. Сам роутер 2 пингуется. То есть от 192.168.89.1 ответ есть. Без маскарадинга не пингуется сеть за ним (т.е. все устройства с 192.168.89.2 и дальше ...)
Ноут попробую поставлю, но смысла не вижу, т.к. из интернет через VPN пинга тоже нет.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а):В моих высказываниях была неточность. Сам роутер 2 пингуется. То есть от 192.168.89.1 ответ есть. Без маскарадинга не пингуется сеть за ним (т.е. все устройства с 192.168.89.2 и дальше ...)
Ноут попробую поставлю, но смысла не вижу, т.к. из интернет через VPN пинга тоже нет.

Взял 3 роутера, нулевой как имитацию провайдера (1.1.1.2, его не считаем)
один роутер назвал R1, задал адрес 192.168.0.1/24, а внешний 1.1.1.1 (всё как у Вас)
второй назвал R2, тоже дал адресацию 192.168.89.1, а также дал ему 192.168.0.9/24 для связи с первым и как шлюзовой.
Сделал конфигурацию простую, но явную и рабочую.

И во вторую сеть (в роутер во второй) воткнул комп, дал ему адрес 192.168.89.11

Прилагаю две картинки как итог! Всё работает. Всё пингуется.
С ноута тоже проверял, надеюсь поверите, скрин делать там не удобно.
(с первого роутера я вижу 89.11)
(со второго я вижу и первый роутер и вижу интернет)
с компа я тоже всё вижу.


Изображение

Изображение



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить