маскарадинг
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Подскажите, в каких случаях оправдано использование маскарадинга локальной сети роутера (интерфейса внутренней сети) или это совсем не правильно и нужен чистый роутинг ?
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) когда сетей много (удалённых) и лениво их описывать все.
2) когда не дают описывать (роутер не в Вашей зоне ответственности).
3) когда админ с другой стороны ленивый/не хочет из-за своих каких-то моментов описывать.
4) когда оборудование тупое/не сильно умное, но попадать на такое оборудование удалённо надо, то
НАТ поможет тут, как пример, у Длинков есть точки доступа, шлюза у них нету(параметрах), а удалённо
порой надо срочняк с ними поработать, наверно свитчи (не все) тоже сюда отнесу, по дефолту
за счёт НАТа можно попасть на них при первоначальной установки, когда они в дефолте).
5) когда нет надобности напрямую зайти на любой открытый/доступный порт удалённой сети/хоста.
Тогда НАТ удобнее/проще в реализации.
2) когда не дают описывать (роутер не в Вашей зоне ответственности).
3) когда админ с другой стороны ленивый/не хочет из-за своих каких-то моментов описывать.
4) когда оборудование тупое/не сильно умное, но попадать на такое оборудование удалённо надо, то
НАТ поможет тут, как пример, у Длинков есть точки доступа, шлюза у них нету(параметрах), а удалённо
порой надо срочняк с ними поработать, наверно свитчи (не все) тоже сюда отнесу, по дефолту
за счёт НАТа можно попасть на них при первоначальной установки, когда они в дефолте).
5) когда нет надобности напрямую зайти на любой открытый/доступный порт удалённой сети/хоста.
Тогда НАТ удобнее/проще в реализации.
-
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
6) когда нужно дать доступ к ресерсу в чужой сети не разрешая и не объявляя в локалку эту сеть.
7) когда IP сети пересекаются, переделывать нет возможности, а взаимодействовать нужно.
7) когда IP сети пересекаются, переделывать нет возможности, а взаимодействовать нужно.
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Но маскарадинг увеличивает нагрузку на маршрутиризатор.
Как грамотно обойтись без него если есть два роутера стоящие "один за другим" ? Первый R1 допустим имеет статический адрес от провайдера 1.1.1.1 И свою локальную подсеть 192.168.0.0/24. Адрес R1 в локальной сети 192.168.0.1 Второй (R2) имеет статически адрес от первого 192.168.0.9, R1 для него шлюз в интернет и в локальную сеть 192.168.0.0/24. Сам R2 имеет локальный адрес 192.168.89.1 и свою локальную сеть 192.168.89.0.24.
Так вот. Если я не использую маскарадинг на втором роутере для своей локальной сети 192.168.89.0/24 то нет пингов с первого на второй и все устройства в сети второго.
Как это обойти без маскарадинга ?
Везде пишут о том что вредно маскарадить локальный трафик. Надо маскарадить только внешний трафик.
Как грамотно обойтись без него если есть два роутера стоящие "один за другим" ? Первый R1 допустим имеет статический адрес от провайдера 1.1.1.1 И свою локальную подсеть 192.168.0.0/24. Адрес R1 в локальной сети 192.168.0.1 Второй (R2) имеет статически адрес от первого 192.168.0.9, R1 для него шлюз в интернет и в локальную сеть 192.168.0.0/24. Сам R2 имеет локальный адрес 192.168.89.1 и свою локальную сеть 192.168.89.0.24.
Так вот. Если я не использую маскарадинг на втором роутере для своей локальной сети 192.168.89.0/24 то нет пингов с первого на второй и все устройства в сети второго.
Как это обойти без маскарадинга ?
Везде пишут о том что вредно маскарадить локальный трафик. Надо маскарадить только внешний трафик.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну простая же задачка.
На каждом роутере описываете сеть чужую относительного этого роутера.
То есть надо их "подружить" между собой.
При создании статических записей в таблице маршрутизации лучше использовать параметр Pref.Source.
Всё, роутеры друг друга видят и главное знают где искать другую сеть. Компьютеры тоже уже должны
пинговать всё (НАТы все пока убрать).
Это была первая часть.
Вторая часть - Р2 указываете куда ему слать пакеты для доступа в Интернет, понятно что на Р1,
и компы с 89 сети будут отдавать пакеты шлюзу,то есть сначала на Р2, он будет их просто дальше отдавать
на Р1, а вот уже на Р1 который и смотрит в интернет, уже именно на нём Вы должны
явно описать, что сети 89.0/24 я разрешаю в Интернет идти (НАТ).
В целом и в обобщённом варианте это так.
На каждом роутере описываете сеть чужую относительного этого роутера.
То есть надо их "подружить" между собой.
При создании статических записей в таблице маршрутизации лучше использовать параметр Pref.Source.
Всё, роутеры друг друга видят и главное знают где искать другую сеть. Компьютеры тоже уже должны
пинговать всё (НАТы все пока убрать).
Это была первая часть.
Вторая часть - Р2 указываете куда ему слать пакеты для доступа в Интернет, понятно что на Р1,
и компы с 89 сети будут отдавать пакеты шлюзу,то есть сначала на Р2, он будет их просто дальше отдавать
на Р1, а вот уже на Р1 который и смотрит в интернет, уже именно на нём Вы должны
явно описать, что сети 89.0/24 я разрешаю в Интернет идти (НАТ).
В целом и в обобщённом варианте это так.
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Но ведь на первом маршрутиризаторе и так стоит маскарадинг для всех сетей (т.е. scr adr не указывается), которые хотят наружу. Зачем указывать что сети 89.0/24 разрешаю выход ?
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
У меня единственная проблема и она в другом: С R1 не пингуется R2 и сеть за ним без маскарадинга с R2 на свою внутреннюю сеть.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Sertik писал(а):Но ведь на первом маршрутиризаторе и так стоит маскарадинг для всех сетей (т.е. scr adr не указывается), которые хотят наружу.
Зачем указывать что сети 89.0/24 разрешаю выход ?
Ну у Вас общим правилом НАТа сделано, Ваше право.
Но я люблю более точные правила НАТа задавать, опасно обобщённо работать,
невольно Вы можете про-НАТить то, чего не надо натить. Поэтому я и уточнил этот нюанс.
Кстати, немного обобщённо, но с другом пару дней назад настраивали туннель, маршрутизацию,
я не видел как он всё делал, но после выяснения (я его не пингавал, не видел его ресурсов)
он всё же автоматом мою сеть у себя заНАТил, поэтому и ничего не работало.
Так что возможно и у Вас тоже в какой то степени эта же проблема или её часть.
(опять же, надо помнить, узкое и направленное правило НАТа ставиться в файрволе первее, обобщённое уже пониже)!
Sertik писал(а):У меня единственная проблема и она в другом: С R1 не пингуется R2 и сеть за ним без маскарадинга с R2 на свою внутреннюю сеть.
Возьмите ноут, поставьте его за роутером1 и дайте адресацию сети роутера1, шлюз - айпи роутера1, и попингуйте.
Думаю заработает. Когда Вы пингуете с роутера, важно задавать с какого интерфейса и с какова исходящего адреса это делать.
Когда пингуется удалённая сеть с компа локальной сети, то тут всё проще, компьютер роутеру
пакет уже принёс в котором есть его исходящий адрес и адрес доставки.
Поэтому я не зря сделал ранее акцент на параметре Pref.Source.
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
В моих высказываниях была неточность. Сам роутер 2 пингуется. То есть от 192.168.89.1 ответ есть. Без маскарадинга не пингуется сеть за ним (т.е. все устройства с 192.168.89.2 и дальше ...)
Ноут попробую поставлю, но смысла не вижу, т.к. из интернет через VPN пинга тоже нет.
Ноут попробую поставлю, но смысла не вижу, т.к. из интернет через VPN пинга тоже нет.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Sertik писал(а):В моих высказываниях была неточность. Сам роутер 2 пингуется. То есть от 192.168.89.1 ответ есть. Без маскарадинга не пингуется сеть за ним (т.е. все устройства с 192.168.89.2 и дальше ...)
Ноут попробую поставлю, но смысла не вижу, т.к. из интернет через VPN пинга тоже нет.
Взял 3 роутера, нулевой как имитацию провайдера (1.1.1.2, его не считаем)
один роутер назвал R1, задал адрес 192.168.0.1/24, а внешний 1.1.1.1 (всё как у Вас)
второй назвал R2, тоже дал адресацию 192.168.89.1, а также дал ему 192.168.0.9/24 для связи с первым и как шлюзовой.
Сделал конфигурацию простую, но явную и рабочую.
И во вторую сеть (в роутер во второй) воткнул комп, дал ему адрес 192.168.89.11
Прилагаю две картинки как итог! Всё работает. Всё пингуется.
С ноута тоже проверял, надеюсь поверите, скрин делать там не удобно.
(с первого роутера я вижу 89.11)
(со второго я вижу и первый роутер и вижу интернет)
с компа я тоже всё вижу.