объединение сегментов аля bgp, есть мысли?

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.

Ответить


Этот вопрос предназначен для предотвращения автоматической отправки форм спам-ботами.
Смайлики
:smile: :( ;-) :roll: :pardon: 8) :x :oops: :shock: :cz2: :-D :ROFL: :Yahoo!: :cry: :Search: :Bravo: :good: :bad: :sorry: :no: :unknown: :evil: :crazy: :"": :fool: :-o :drinks: :st: :bn:
Ещё смайлики…

BBCode ВКЛЮЧЁН
[img] ВКЛЮЧЁН
[flash] ОТКЛЮЧЕН
[url] ВКЛЮЧЁН
Смайлики ВКЛЮЧЕНЫ

Обзор темы
   

Если вы не хотите добавлять вложения, оставьте поля пустыми.

Развернуть Обзор темы: объединение сегментов аля bgp, есть мысли?

объединение сегментов аля bgp, есть мысли?

Сообщение SPSPaWn » 2018-02-16 15:06:26

skeletor писал(а):Источник цитаты Возможно дело в файерволе

Код: Выделить всё

Одно правило
65535 8870756021 6713982005832 allow ip from any to any


Отправлено спустя 54 минуты 7 секунд:
проблема в Mikrotik, до него все приходит. Благо у него свой tcpdump(torch).
Проблема другая, почему он не отвечает на запросы(((

Отправлено спустя 9 минут 13 секунд:
Всем спасибо, разобрался
Вложения
tourch.jpg

объединение сегментов аля bgp, есть мысли?

Сообщение skeletor » 2018-02-16 14:00:27

Ну тогда смотрите через tcpdump, почему кто и куда не может идти. Возможно дело в файерволе.

объединение сегментов аля bgp, есть мысли?

Сообщение SPSPaWn » 2018-02-16 13:57:57

Видимо нужно прописать маршруты в каждую из подсетей и обойтись без НАТа


Код: Выделить всё

ifconfig
        bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:xx:xx:xx:xx:xx
        inet 10.16.x.10 netmask 0xffffff00 broadcast 10.16.x.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:21:27:c6:b2:3d
        inet 172.22.1.50 netmask 0xffffff00 broadcast 172.22.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

Маршруты на FreeBSD есть

Код: Выделить всё

default            172.22.1.1         UGS         0 1327735930    rl0
10.16.x.0/24      link#2             UC          0        0   bge0
172.22.1.0/24      link#3             UC          0        0    rl0
172.22.1.1         d4:ca:6d:39:1c:cf  UHLW        3      993    rl0   1194
172.22.1.50        00:21:27:c6:b2:3d  UHLW        1        0    lo0
172.22.1.100       d4:ae:52:66:cb:d1  UHLW        1        1    rl0    191
172.22.1.110       00:1e:4f:11:55:52  UHLW        1        1    rl0    193
172.23.1.0/24      172.22.1.1         UGS         0 63039124    rl0
172.24.1.0/24      172.22.1.1         UGS         0   841061    rl0

На клиенте тоже

Код: Выделить всё

route add 172.22.1.0 mask 255.255.255.0 10.16.x.10
route add 172.23.1.0 mask 255.255.255.0 10.16.x.10
route add 172.24.1.0 mask 255.255.255.0 10.16.x.10

Пинги до 172.22(3,4).1.1 не ходят

объединение сегментов аля bgp, есть мысли?

Сообщение skeletor » 2018-02-16 11:53:18

Видимо нужно прописать маршруты в каждую из подсетей и обойтись без НАТа. НАТ не нужен в вашем случае, это лишний overhead.

объединение сегментов аля bgp, есть мысли?

Сообщение SPSPaWn » 2018-02-16 10:37:47

Это понятно) Но без nat видно только по сегментно (выделенно кррасным), шлюза на Mikrotik не видно
На каждом сервере стоит vpn mpd, если через vpn ходит все прекрасно, но через nat(((

Отправлено спустя 7 минут 48 секунд:
Шлюз Mikrotika является дефолтным для FreeBSD
Вложения
FreeBSD NET.png
FreeBSD NET.png (10.86 КБ) 69 просмотров

объединение сегментов аля bgp, есть мысли?

Сообщение FiL » 2018-02-16 0:19:44

просто убрать nat. Пускай ходят прямо без ната.

объединение сегментов аля bgp, есть мысли?

Сообщение SPSPaWn » 2018-02-15 19:47:10

Юзвери ходят из 10.16.x.y это другой интерфейс, а в 172. находятся все сервисы

Отправлено спустя 43 минуты 20 секунд:
Здание №1
Mikrotik (172.22.1.1/24)
Сервер FreeBSD (172.22.1.50/24) + 10.16.1.y/24 до 200 хостов
Здание №2
Mikrotik (172.23.1.1/24)
Сервер FreeBSD (172.23.1.50/24) + 10.16.11.yy/24 до 200 хостов
Здание №3
Mikrotik (172.24.1.1/24)
Сервер FreeBSD (172.24.1.50/24) + 10.16.111.yyy/24 до 200 хостов
Mikrotik связанны vpn PPTP
172.24.0.0/12 управляющая сеть, много различных серверов и различных ресурсов в разных сегментах.
в 172.24.0.0/12 все хосты доступны, пинги ходят ресурсы живут, все крутится.
10.16 попадают в 172-ю через nat, но это было удобно до поры до времени.
Был поднят web сервер и соответственно невозможно идентифицировать юзверей на сайте, каждое здание выходит из под своего ip сервера (172.22{23,24}.1.50)
Вопрос: Чем лучше, без нагрузок и танцами с бубнами, настроить маршрутизацию 10.16.1.y/24->172.23.1.у/24 (соответственно), чтобы юзвери индетифицировались под своими ip или из 172 фейковые?

объединение сегментов аля bgp, есть мысли?

Сообщение skeletor » 2018-02-15 18:32:12

Зачем здесь nat, bgp, netgraph? Без всего этого люди будут ходить под своими IP на ваш webserver. У вас же везде серые адреса.

объединение сегментов аля bgp, есть мысли?

Сообщение SPSPaWn » 2018-02-09 16:03:26

Доброго времени суток камрады)
Имеется сегмент 10.16.x.x/16 и 172.23.x.x/16 - ip 172.23.x.y
Все под управлением FreeBSD 7
в сегменте 172.23.x.xx имеется web сервер
все ходят через nat
${fwcmd} add 2400 nat 100 all from "10.16.68.0/24{x,x,x и тд}" to any via ${interface_inet}
соответственно все выходят из под одного ip 172.23.x.y
Таким образом поймать злоумышленника сложно, нужно, чтобы каждый ходил из под своего ip сегмента 172.23.x.x/16 (можно повесить alias-ом)
Может как то через netgraph, чтобы не поднимать bgp и тп!????

Вернуться к началу