Как связать две сети между собой
При создании локальной сети не каждый администратор подходит с ответственностью к выбору диапазона адресов. А может и не каждый догадывается о наличии частных диапазонов кроме 192.168.0.0/24. И со временем такая бомба замедленного действия может дать о себе знать. Локальные сети объединяются, возникает потребность в коммуникации между хостами разных сетей. И тут выясняется, что номера сетей совпадают. И менять их по каким либо причинам проблематично или невозможно.
В таком случае, серверу, маршрутизирующему пакеты между сетями, остается сделать вид, что номера сетей различны и выдавать желаемое за действительное. В богатом арсенале Linux есть средства для таких манипуляций: iptables с NETMAP и утилита ip.
Из сети LAN1 мы хотим послать пакет в сеть LAN2. Но мы не можем послать его в сеть, номер которой одинаков с нашим. В самом частом случае 192.168.0.0/24. Если такой пакет появится в LAN1, он не будет знать, что есть LAN2, он будет искать такую машину в LAN1. Таковы правила маршрутизации по умолчанию.
Значит, надо посылать пакеты с другими адресами, которые уйдут в роутер.
Как это должно вглядеть для наблюдателя из LAN1
Например, пользователь сети LAN1 будет видеть сеть LAN2 как 10.8.1.0/24. Тут уже никакого пересечения адресов. LAN1 доволен.
Как это выглядит с обеих сторон
Из LAN1 приходит пакет с адресом отправителя 192.168.0.100 и адресом назначения 10.8.1.200. Из роутера с интерфейса LAN2 выходит тот же пакет с адресом отправителя 10.8.1.100 и с адресом назначения 192.168.0.200. Пакет проходит до адреса назначения и тот шлет в ответ на адрес отправителя со своим адресом. Пакет уходит в роутер. В нем происходит обратное преобразование и пользователь LAN1 получает ответ с того адреса, на который отправил пакет.
Теория. Путь пакета в ядре роутера: netfilter
Здесь я попытаюсь рассказать о путешествии транзитного трафика через наш Linux-роутер. Для полного понимания процесса путешествия пакета лучше видеть схему его прохождения из Википедии по цепочкам netfilter.
Наш пакет с [источником|назначением] [192.168.0.100|10.8.1.200] попадает на сетевой интерфейс роутера и первой его цепочкой будет PREROUTING.
PREROUTING
Проходя по цепочке он попадает в таблицу PREROUTING mangle. В которой посредством iptables мы определяем интерфейс, с которого он пришел, и адрес источника. Если это наш пациент, мы его помечаем действием MARK.
После чего пакет [192.168.0.100|10.8.1.200|(marked)] попадает в таблицу nat. Эта таблица предназначена для трансляции адресов. Поскольку не существует реального адреса 10.8.1.200, то на последующем этапе маршрутизации пакет будет отброшен или уйдет в неизвестном направлении. Поэтому заменяем ему адрес назначения на тот, на который он действительно должен пойти именно тут: [192.168.0.100|192.168.0.200|(marked)]. Делается это действием NETMAP, которое заменяет номер сети по маске.
ROUTING
Пакет успешно проходит цепочку FORWARDING. Попадает опять на этап маршрутизации. Если в FORWARDING с ним ничего не случилось, а по идее не должно было. Он идет тем же путем. После чего попадает в POSTROUTING.
POSTROUTING
Без изменений доходя до таблицы nat. Мы должны изменить адрес источника. Ведь ответ на пакет [192.168.0.100|192.168.0.200] будет отправлен в локальную сеть, а не в роутер. Чтоб он попал обратно в роутер, меняем адрес источника на несуществующий [10.8.1.100|192.168.0.200]. Опять же NETMAP. После этого пакет выходит в LAN2.
С ответным пакетом проделываем обратную процедуру, чтоб он дошел до изначального источника.
Реализация
Узнаем пакет по метке и действием NETMAP в таблице PREROUTING подменяет номер сети.
В POSTROUTING NETMAP подменяет адрес источника.
После этого все обращения на подсеть 10.8.1.0/24 будут выглядеть внутри LAN2, как обращения из подсети 10.8.2.0/24.
ROUTING
Чтобы маршрутизировать пакеты по метке необходимо создать свою таблицу маршрутизации.Редактируем /etc/iproute2/rt_tables, добавляя уникальное число и название новой таблицы.
256 netmap
Далее надо добавить правило, по которому в эту таблицу будут направляться пакеты на маршрутизацию.
Теперь помеченные пакеты будут уходить на маршрутизацию в таблицу netmap.
И последним шагом нужно определить маршруты в таблице netmap.
Или можно указать в особом случае отдельный шлюз, если в эту сеть трафик от роутера идет через него. Что-то в духе:
Пока рано радоваться, к нам придет ответ из LAN2 [192.168.0.100|10.8.2.200].
Надо сделать все тоже самое, но только преобразовать обратно. Увы, netfilter сам этого не делает. Все действия уже описаны, приведу только последовательность команд для преобразования адресов в одну и в обратную сторону. (В первой таблице маршрутизации необходимости в данном случае нет, но при иных обстоятельствах может понадобиться.)
Результаты
Вот что пишет tcpdump (первый пример с vnc, второй с пингом):
12:46:46.358969 IP 192.168.0.100.41930 > 10.8.1.200.5900: Flags [P.], seq 647:657, ack 261127, win 1213, options [nop,nop,TS val 460624 ecr 171318], length 10
12:46:46.358978 IP 10.8.2.100.41930 > 192.168.0.200.5900: Flags [P.], seq 647:657, ack 261127, win 1213, options [nop,nop,TS val 460624 ecr 171318], length 10
12:46:46.505847 IP 192.168.0.200.5900 > 10.8.2.100.41930: Flags [.], ack 657, win 64879, options [nop,nop,TS val 171320 ecr 460624], length 0
12:46:46.505861 IP 10.8.1.200.5900 > 192.168.0.100.41930: Flags [.], ack 657, win 64879, options [nop,nop,TS val 171320 ecr 460624], length 0
12:47:46.363905 IP 192.168.0.100 > 10.8.1.200: ICMP echo request, id 2111, seq 1, length 64
12:47:46.363922 IP 10.8.2.100 > 192.168.0.200: ICMP echo request, id 2111, seq 1, length 64
12:47:46.364049 IP 192.168.0.200 > 10.8.2.100: ICMP echo reply, id 2111, seq 1, length 64
12:47:46.364054 IP 10.8.1.200 > 192.168.0.100: ICMP echo reply, id 2111, seq 1, length 64
Tcpdump отлично демонстрирует, как происходит преобразование адресов на входе в один интерфейс и на выходе в другой и в обратную сторону.
Так же отлично работают остальные сервисы, типа Samba и ее аналог на Windows.
Если соединение между сетями организовано посредством туннеля OpenVPN, то для правильной маршрутизации со стороны клиента в конфиг сервера необходимо добавить дополнительный маршрут через туннель.
push "route 10.8.1.0 255.255.255.0"
Warning!
При отладке конфигурации не пытайтесь законнектиться к серверу, на котором шлюз. Соединяйтесь с машинами за ним в LAN2.
И вот почему. Правила расчитаны, что пакет будет проходить через шлюз, i. e.
PREROUTING -> Маршрутизация -> FORWARD -> Маршрутизация -> POSTROUTING
Если пакеты будут адресованы 10.8.2.1 (серверу), то они в результате маршрутизации пойдут в цепочку INPUT и преобразование адреса источника в POSTROUTING не будет выполнено.
PREROUTING -> Маршрутизация -> INPUT -> Приложение
Соответственно, адрес источника не будет измненен и ответ будет послан не на 10.8.2.xy, а на 192.168.0.xy — на маршрут по умолчанию для этого диапазона, т. е. в LAN2, а не в LAN1.
Стиль изложения дальнейшего материала подразумевает, что с предыдущими материалами серии читатель уже ознакомлен. То есть термины, которые были разъяснены в предыдущих статьях, тут упоминаются без комментариев.
Эта статья является продолжением серии по построению домашних сетей с использованием различного оборудования. В этот раз будут рассмотрены едва не забытые мосты. То есть опять возвращаемся к организации доступа в Интернет посредством одного из windows-компьютеров локальной сети.
На этот раз создадим сеть с доступом в Интернет из проводных и беспроводных клиентов без использования точки доступа и аппаратных маршрутизатора и точки доступа.
рис.1
В предыдущей статье была рассмотрена изображенная на рис.1 схема сети. То есть, имеем "среднестатистическую" квартиру, три стационарных компьютера, два ноутбука и пару наладонников.
Стационарные компьютеры связаны проводной сетью через коммутатор (switch). Беспроводные устройства подключены (в режиме Infrastructure) к точке доступа (Access Point), которая, в свою очередь, проводом подключена к коммутатору.
В качестве маршрутизатора (типа NAT), обеспечивающего доступ в Интернет и аппаратный файрвол (hardware firewall), выступает аппаратное устройство, так же подключенное к коммутатору. На маршрутизаторе активирован DHCP-сервер, который ведает IP-адресацией всей нашей локальной сети.
В результате получили общую локальную сеть (одноранговую), где все компьютеры могут видеть друг друга, и все могут иметь доступ в Интернет.
Как уже было сказано ранее, подобные маршрутизаторы могут быть сверхинтегрированными устройствами, включающими в себя различные дополнительные устройства. Например, на рисунке 1 представлен маршрутизатор, обладающий всего двумя интерфейсами — WAN (смотрящим в Интернет) и LAN (смотрящим в локальную сеть). Очень часто в маршрутизаторы интегрируют четырехпортовый коммутатор, таким образом, если в квартире не более четырех проводных устройств, то вышеприведенный рисунок упрощается:
рис.2
Вместо двух разнородных устройств ставится одно — маршрутизатор со встроенным коммутатором (home router with switch). К нему подключены все проводные клиенты (к LAN портам), на нем же активирован DHCP и он же обеспечивает доступ в Интернет.
Точка доступа, к которой подключены беспроводные клиенты, подключена к одному из LAN портов маршрутизатора. Кстати, если четырех LAN портов маршрутизатора недостаточно, никто не мешает подключить к одному из них коммутатор (по аналогии с точкой доступа).
Таким образом, мы по-прежнему имеем одноранговую сеть с доступом в Интернет. Но в нашей сети на одно устройство меньше.
И самый "продвинутый вариант" — точка доступа также интегрирована на коммутаторе:
рис.3
В данном случае на маршрутизаторе (wireless home router) интегрировано все — коммутатор, маршрутизатор и точка доступа. Таким образом, вместо трех устройств получаем одно, с той же функциональностью.
Собственно, в предыдущей статье, как раз рассматривалось одно из подобных устройств.
А что делать, если, допустим, в такой вот "среднестатистической сети" у нас есть коммутатор (три стационарных компьютера, пара ноутбуков и наладонников), но нет маршрутизатора и точки доступа? И их совсем не хочется покупать (рис.4)?
Другими словами, было три стационарных компьютера, объединенных кабелем через коммутатор. Доступ в Интернет осуществлялся через один из них. Как это сделать, было рассказано в первой статье цикла.
Появилось несколько беспроводных устройств (ноутбуки, наладонники). Допустим, беспроводные устройства между собой связать легко (об этом рассказывалось во второй статье цикла). Достаточно сконфигурировать их в общую AdHoc сеть, в результате получим следующее:
рис.4
То есть две разные сети (рис.4) — проводная, которая имеет доступ в Интернет и беспроводная (без оного). Сети друг друга не видят. Как связать все компьютеры вместе?
Наилучшим вариантом, конечно, будет покупка точки доступа, подключение ее к коммутатору и перенастройка беспроводных клиентов на работу с точкой доступа (режим Infrastructure). Или даже покупка маршрутизатора с точкой доступа, тогда доступ в Интернет будет осуществляться через него (см. рис.3).
Но есть и другие варианты. Например, поставить во все проводные компьютеры по беспроводной карте:
рис.5
В этом случае (см. рис.5) коммутатор, как и все проводные соединения, в принципе не нужен. Хотя, конечно, скорость передачи данных (в случае использования только беспроводной сети) будет тут намного ниже, чем при передаче между компьютерами, подключенными проводами через коммутатор.
В общем, подобная схема (что с коммутатором, что без него) имеет право на существование, и будет работать. Если оставить коммутатор (и, соответственно, проводные сетевые адаптеры), то мы получим две разнородных сети с разными адресами (друг друга они по-прежнему видеть не будут). В беспроводной сети все клиенты могут общаться друг с другом. В проводной сети — только те, кто подключен к коммутатору проводом. В интернет можно будет выходить из обеих сетей.
Так как подобная сеть, на мой взгляд, скорее исключение, чем правило, рассматривать ее настройку не будем. Хотя, информации, данной во всех пяти статьях серии, более чем достаточно для настройки такой сети.
Мы же рассмотрим второй способ связи проводных и беспроводных клиентов (из рисунка 4), с использованием встроенного в Windows XP механизма типа мост.
Для этого нам лишь потребуется вставить в компьютер, являющийся маршрутизатором и имеющий два сетевых адаптера (один, смотрящий в локальную сеть, второй — в Интернет) третий сетевой адаптер, на этот раз беспроводной. После этого настроить следующую схему:
рис.6
На роутере, в который мы вставили беспроводную карту, настраиваем доступ в AdHoc беспроводную сеть с остальными беспроводными клиентами (см. вторую статью), остальных беспроводных клиентов, настраиваем аналогичным образом.
- LAN — внутренний интерфейс, смотрит внутрь локальной сети и подключен к внутрисетевому коммутатору
- WAN — смотрит в Интернет, то есть подключен к провайдеру услуг
На данном этапе никаких общих доступов на WAN интерфейсе роутера не активировано. То есть только он имеет доступ в Интернет, остальные компьютеры могут видеть лишь друг друга в рамках своих сетей (то есть проводные — всех проводных, беспроводные — всех беспроводных). Связи между проводной и беспроводной сетями пока нет.
Пора активировать мост (bridge). Этот механизм позволит установить "мостик" между нашими проводной и беспроводной сетями, таким образом, компьютеры из этих сетей смогут увидеть друг друга.
Подробнее о мостах можно прочитать во встроенной системе помощи WindowsXP:
Говоря простым языком, мост — это механизм, прозрачно (для работающих клиентов) связывающий разнородные сегменты сети. В нашем случае под разнородными сегментами понимается проводная сеть и беспроводная сеть.
- LAN — смотрящий в проводную локальную сеть
- Wireless — смотрящий в беспроводную локальную сеть
Все локальные (смотрящие в локальную сеть) интерфейсы на всех компьютерах переведены в режим "автоматического получения IP адреса и DNS". Этот режим установлен по-умолчанию на всех интерфейсах в Windows.
Беспроводные клиенты связаны в AdHoc сеть (без точки доступа) — см. рис.6
В отсутствие в сети DHCP сервера (а у нас его как раз и нет пока), Windows сама назначает адреса компьютерам. Все адреса имеют вид 169.254.xx.xx
По умолчанию, все компьютеры в пределах одного сегмента (в нашем случае — в пределах проводной или беспроводной сети) могут видеть друг друга, обращаясь друг к другу по этим адресам.
Желтый восклицательный знак в треугольнике рядом с интерфейсами — это нормальное явление для WindowsXP с установленным вторым сервис паком. Он лишь означает, что DHCP сервер в сети отсутствует и операционная система сама назначила адреса сетевым адаптерам.
Активация моста производится примерно так.
Только мост, по определению, работает минимум между двумя интерфейсами.
Поэтому выбираем оба локальных интерфейса, жмем правую кнопку мыши и в появившемся меню выбираем пункт "Подключение типа мост".
Windows начинает процедуру создания моста.
После окончания этого процесса, в сетевых подключениях появляется еще одно соединение — Network Bridge (сетевой мост). А в информации по сетевым адаптерам, на которых установлен режим моста, появляется статус "Связано".
Мост представлен в виде отдельного устройства, большинство его параметров повторяют параметры сетевых адаптеров.
Правда, в разделе "свойства" присутствует дополнительный раздел со списком адаптеров, которые в данный момент относятся к мосту (адаптеров может быть два и более).
Собственно, на этом этапе все сети, в которые смотрят эти (назначенные мосту) адаптеры, видят друг друга напрямую, без маршрутизации. То есть, как будто клиенты в этих сетях сидят в одной большой однородной сети (другими словами как бы подключенные к одному коммутатору).
Мосту назначается собственный IP адрес, он одинаков для всех адаптеров, отданных мостовому соединению.
Разумеется, в свойствах самих адаптеров никаких IP адресов уже нет. Адаптера, как такового, на логическом уровне уже не существует — есть лишь мост (имеющий IP адрес), в который включено два (или более) адаптера.
Переходим к последнему этапу — активации доступа в Интернет. Об этом уже было рассказано в первой статье цикла, поэтому пространных рассуждений на эту тему не будет.
В сетевых подключениях выбираем "Установить домашнюю сеть".
…предлагающий предварительно изучить некоторые разделы справки. Рекомендую воспользоваться этим советом.
Далее выбираем пункт "компьютер имеет прямое подключение к Интернет" (ведь к одному из интерфейсов нашего компьютера-маршрутизатора подключен кабель провайдера услуг интернет).
Далее в появившемся меню выбираем, какой же именно из адаптеров подключен к Интернет.
Так как на компьютере обнаружено больше одного локального сетевого интерфейса, мастер предлагает выбрать, на какой из них предоставлять Интернет доступ для других компьютеров в тех сетях. Выбираем оба локальных сетевых интерфейса (подключения).
Далее придумываем разные названия, тренируем свою фантазию :)
…продолжаем тренировать фантазию (не забывая о том, что имя рабочей группы действительно должно совпадать у всех компьютеров локальной сети… точнее желательно, чтобы оно совпадало).
В следующем меню выбираем, оставить возможность общего доступа к файлам и принтерам внутри сети или нет. Если это домашняя сеть, то, вероятно, лучше этот доступ не отключать.
Проверяем, все ли верно настроили, и жмем "Далее".
Теперь Windows минут пять гоняет по экрану бесконечные компьютеры (зеленый, в центре) с оторванным сетевым кабелем. Для меня осталось загадкой, что же она там целые пять минут делает.
В последнем меню операционка предлагает сохранить где-нибудь на внешнем носителе настройки сети. Можно этого не делать, а просто завершить работу мастера.
После нажатия на кнопку "Готово" мастер завершит свою работу.
Как ни странно, система потребовала перезагрузку (иногда не требует).
После перезагрузки, на сетевом адаптере, смотрящем в Интернет, появился значок руки, означающий, что этим доступом могут пользоваться и другие компьютеры в локальной сети (в нашем случае — в обеих, проводной и беспроводной, сетях).
На всех остальных компьютерах в локальной сети IP адрес примет вид 192.168.0.xx (адрес компьютера маршрутизатора будет фиксированным — 192.168.0.1), и все будут иметь доступ в Интернет.
А в сетевых подключениях появится иконка Шлюза Интернет.
рис.7
Таким образом, у нас получилась сеть, общий вид которой представлен на рис.7.
DHCP server, который там появился, активируется после активации общего доступа на Интернет-интерфейсе маршрутизатора. Именно он будет управлять выдачей IP адресов и другой информации для всех компьютеров локальной сети (точнее сетей, хотя формально, так как используется мост, у нас одна большая сеть).
Не стоит забывать о том, что этот компьютер-маршрутизатор должен быть постоянно включен (спящий режим с отключением кулеров — это уже отключенный компьютер). При его выключении мы потеряем не только доступ в интернет, но и возможность видеть компьютеры в соседней (проводной или беспроводной) сети.
На этом пятая статья, рассказывающая об этих загадочных мостах, подошла к концу. В следующей статье будет рассказано о настройке нескольких интернет подключений в рамках одной домашней сети.
Что такое как связать две сети рыболовные между собой?
Эффект от применения
Что такое как связать две сети рыболовные между собой?
Эффект от применения
Сеть Findfish станет настоящей находкой для начинающих и более опытных рыболовов. С таким приспособлением рыбак может рассчитывать на достойный улов, независимо от погодных условий, активности рыбы и типа водоёма. Для этого ему достаточно освоить правила обращения с ловушкой.
Мнение специалиста
Ловлю рыбы, данной сетью, и это самое главное, способен освоить любой начинающий рыбак. Рекомендуется одной рукой взяться за кольцо, а другой – за противоположную сторону сети. Во время броска снасть раскрывается, как парашют и далее под грузом опускается на дно. Далее сеть вытаскивается на берег с помощью шнура, уже закрепленного на руке. В это время конструкция сама закрывается и затягивается в мешок. После того, как шнур отпускается, рыба выпадает из сети на землю.
Как заказать?
Для того чтобы оформить заказ как связать две сети рыболовные между собой необходимо оставить свои контактные данные на сайте. В течение 15 минут оператор свяжется с вами. Уточнит у вас все детали и мы отправим ваш заказ. Через 3-10 дней вы получите посылку и оплатите её при получении.
Отзывы как связать две сети рыболовные между собой
Использую кастинговую сетку больше для лова наживки. Рядом с селом есть речка и там можно легко ловить рыболовной сеткой. Не нужно мучатся, просто закидываю и сразу есть улов — все очень быстро, удобно. Сеть файндфиш оказалась прочной, хотя по виду так не скажешь. Пробовал и в холодное время года, тоже неплохо себя показал. Но все же зимой улов в разы меньше, так как рыба уже не такая активная.
Сейчас пойдет речь об уникальном спортивном методе ловли рыбы, который уже давно используют в Азии. Прежде всего, хочется сказать, что Findfish – многократно испытанная на практике рыболовная снасть. Она позволяет добывать огромное количество любой рыбы и ракообразных в различных водоемах, как в зимнее, так и в летнее время года. Поэтому теперь не нужно подстраиваться под погоду, часами ждать хорошего клева. С этим приспособлением вы не только получите большой улов, но и насладитесь положительными эмоциями и приятными впечатлениями. Только те, кто испытал его на практике, поняли, что таких ощущений не принесет ни одна обычная рыбалка.
Павел Демьянов Павел Демьянов
Прочитал ваши вопросы и ответы экспертов.
Очень извиняюсь, но вам дали очень хорошие и разжеванные ответы в разных вариациях.
Но у вас большие проблемы с мат. частью.
Поэтому вы продолжаете и продолжаете задавать вопросы, не имея желания прочитать в инете немного о теории.
При одинаковой адресации с обоих сторон хлебнёте вы проблем. Лучше сделать разные подсети и настроить нормальную маршрутизацию.
Разделил сети, теперь удастся избежать проблем? Осталось только open VPN поднять? Информация в вопросе обновлена.
redpax, можете или ovpn или pptp поднять. Зависит от производительности вашего устройства. Шифрование - ресурсов ресурсозатратная операция. Не забудьте с двух сторон на маршрутизаторах указать статический маршрут в сеть соседа.
redpax, что бы роутер знал куда отправлять пакеты в другую подсеть. Почитайте что такое маршрутизация и зачем она нужна.
Дмитрий, Да я вроде бы знаю что такое маршрутизация (или я всё же не понял), у меня некоторые порты из wan маршрутизируются на LAN IP, но причем тут VPN? То есть мне, что нужно для всех служб что мне нужны делать маршутизацию портов и откуда и куда не понятно?
Сейчас VPN соединение есть но при попытки открыть smb://192.168.2.21 с MAC OS desktop 1
ip 192.168.1.30 пишет, что подключения нет.
redpax, смотрите, у вас комп из сети 192.168.1.1 запрашивает информацию от 192.268.2.1. Как роутер поймёт что эта сеть доступна через маршрутизатор через VPN туннель?
Дмитрий, Я думаю такого функционала у меня в роутере нет.
Это всё что есть:
Дмитрий, Вроде бы тогда должно быть так?
Дмитрий, да, шлюзом установил адрес роутера клиента VPN, а интерфэйсы только такой выбор:
Я только не до конца понимаю, что писать в поле "IP-адрес сети или хоста":
айпишник роутера ВПН сервера? Может сеть 192.168.2.0 ведь это сеть роутера ВПН сервера?
redpax, шлюзом должен быть адрес второго роутера в vpn сети. И маска сети 255.255.255.0 Интерфейс наверно тоже надо поменять на vpn-интерфейс
Дмитрий, Я уже всё перепробовал не могу понять где ошибка. я даже роутер старый прода и заменил на нормальный но толку нет.
redpax, проверьте статические маршруты. Статический маршрут должен выглядеть так: dst: 192.168.1.0 mask: 255.255.255.0 gw: 10.0.0.2, где dst - сеть за удалённым роутером, gw - адрес этого удалённого роутера, который он получил от vpn сервера. На удалённом роутере настраиваете аналогичным образом с поправкой на адрес сети и адрес шлюза.
Дмитрий, не получается так. На клиенте я могу прописать статические маршруты на VPN соединение (и оно помогает я начинаю пинговать удаленные машины со стороны клиента в сторону сервера), а на сервере не могу ни в одном роутере, нет такой возможности.
Любой VPN поднимаете на роутере, или внешнем сервере.
- Вы делаете разные подсети в филиалах, к VPN подключается роутер филиала, на нем прописаны маршруты.
- Вы оставляете одинаковую адресацию, к VPN подключается каждый компьютер, и получает адрес от VPN сервера.
Я сделал первый вариант. Вот с маршрутами не понятно. Мне каждый порт нужно маршрутизировать? Допустим мне нужен порт 24267.
внешний ip у меня вида 92.80.20.1 в одной сети и 90.150.200.180 в другой. В LAN уще 192.168.2.1 в одной сети и 192.168.1.1 в другой. Маршрут откуда куда прописывать?
Нет, маршрутизируются пакеты.
Маршрут это схема прохождения пакета до нужного адреса.
А порт это просто идентификатор, вот когда пакет дойдет до нужного компьютера, тот посмотрит какой там порт.
По поводу маршрутов - внешние адреса значения не имеют, чтобы сказать какие маршруты нужно знать где VPN сервер стоит, какой у него адрес.
АртемЪ, VPN на роутере у которого внешний 92.80.20.1 а внутрений 192.168.2.1
На роутере где поднят VPN заворачиваете трафик в сеть 192.168.1.0 на интерфейс VPN, со шлюзом имеющим адрес VPN клиента.
На роутере где клиент - наоборот.
Маршрут на роутере с ВПН сервером
Подобные задачи решаются с помощью ВПН вполне тривиально.
Если в Вашем случае соединение установлено успешно и Вы с одного роутера видите другой (по внутренним впн адресам), значит дело в роутинге. Каждый роутер должен знать, какая сеть расположена за другим, иначе будет ситуация как у Вас - никто никого не видит )
Пример:
роутер1: впн адрес 10.8.0.1, сеть за ним 192.168.1.хх
роутер2: впн адрес 10.8.0.2, сеть за ним 192.168.2.хх
На первом роутере прописывается статик роут: route add 192.168.2.0 mask 255.255.255.0 gateway 10.8.0.2
На втором, аналогично, но наоборот )): route add 192.168.1.0 mask 255.255.255.0 gateway 10.8.0.1
Команды могут незначительно отличаться в зависимости от софта, скорее всего у Вас вообще будет графическая админка, а там что-то вроде "сеть", "маска", и "шлюз", в примере это соответствует первому, второму и третьему значению.
При условии, что все компьютеры в сетях имеют шлюз по умолчанию == внутреннему айпи своего роутера (х.х.1.1/х.х.2.1.), все должно заработать сразу после добавления роутов.
п.с. А прозрачности в мак-адресах, можно добиться опцией "proxy-arp" ;)
Продать AC828. Взять два Mikrotik hEX, по мануалу в пару кликов настроить ipip-туннель, также у микротика есть свой сервис a la dyn dns, тоже настраивается в два клика. На оставшиеся от деньги пол месяца жить.)
а вот если такая сеть то как прописать? ТОСТЕР на даёт мне больше возможности оставлять комментарии. лимит на день исчерпан.
адреса роутеров пингуются без прописки маршрутов но только с MAC, и ПК в сети не пингуются:
На windows ещё хуже сеть 192.168.1.1 вообще не видна:
У пптп сервера/клиента должны быть свои внутренние адреса. У Вас на схеме только WAN и LAN.
Их можно посмотреть в настройках роутеров в закладке "интерфейсы" или "статические маршруты", как вариант - там тоже видны настройки. На худой конец - в логе загрузки роутера после рестарта видны присвоения адресов.
Кроме того, неплохо указывать параметры сетевых адаптеров на компьютерах, в частности шлюз. Если на "отвечающем" шлюз будет неверным, то ответа не будет, даже если со стороны пингующего все верно.
Вин параметры адаптера выдает по команде ipconfig (выполнять из cmd).
NMNH,
Да я нашел ip клиента и соервера и она типа 10.1.0.1 и 10.1.0.22 (клиентский ip динамически меняется и задать его статикой невозможно только диапазон) пытался прописать статическую маршрутизацию для VPN ip но не получается так. На клиенте я могу прописать статические маршруты на VPN соединение (и оно помогает я начинаю пинговать удаленные машины со стороны клиента в сторону сервера), а на сервере не могу ни в одном роутере, нет такой возможности.
Возможно стоит обновить прошивки на роутерах.
Как-то "неоднозначно" у Вас все работает.
п.с. чтобы клиенсткий айпи "зафиксировать" - можно сузить диапазон до одного адреса )
Всем привет. Столкнулся с проблемой. Есть два роутера. На первом роутере IP-адреса вида 192.168.1.x, на втором - 192.168.2.x. Пытаюсь соединить их в одну локальную сеть по типу LAN-to-LAN. Но возникает проблема. Роутеры не видят друг друга. А требуется сделать так, чтобы устройства, подключенные к одному роутеру, могли видеть устройства, подключенные к другому. Говорю сразу, не предлагайте мне использовать один из роутеров в качестве точки доступа/отключать DHCP на одном из роутеров/соединять их через LAN-to-WAN. Я хочу сделать именно объединение двух сетей в одну.
Средний 1 комментарий
Зависит от моделей роутеров. В общем случае - каждый маршрутизатор должен знать, через какой адрес отослать в соседнюю сеть (адрес шлюза).
Тут больше вызывает вопрос - каждому маршрутизатору надо по одному порту - смотреть в сторону соседней сети, а WAN порт обычно только один (у бюджетных версий). Интернет в такую сеть как будет попадать? если оба WAN порта будут заняты тем, что смотрят друг на друга?
Секретное ключевое слово - МАРШРУТИЗАЦИЯ.
На двух дешманских роутерах это сделать правильным образом - примерно никак (можно взять третий, тогда получится, но со сложностями).
Стартовая точка, когда это хоть как-то реально реализовать - на микротиках (от 1500 рублей)
Новые прошивки зукселей позволяют тоже довольно гибко работать (но под рукой нет)
На нормальных маршрутизаторах хотя бы SOHO сегмента всё скорей всего будет хорошо.
Cisco и иже с ними - будет совсем хорошо.
Схему приложил на цисках
Минутка рекламы - изучайте материалы "сети для самых маленьких" и читайте CCNA
Выход в Интернет и не требуется. Нужно просто объединить две локальные сети в одну. Это так, ради эксперимента. Но за ответ спасибо.
Antikiller94, конечно потрясающий. особенно исходя из вопроса (где из моего разумения именно дешманские роуты).
впрочем, на истину не претендую, могу и ошибаться.
ну и вам никто не мешает стать куратором.
Antikiller94,
PC1-LAN1-WAN1-WAN2-LAN2-PC2 только так.
у зукселей можно отдельным портам настраивать разные адреса, там LAN-LAN получится, но по факту на них будет просто по два WAN порта.
извращенный вариант - по два ип адреса (192.168.1, 192.168.2) на каждом компе, тогда они будут воткнуты в один коммутатор и будут видеть все всех.
DevMan, на дешманских получится убогая сеть без доступа в инет. возможно придется старательно уговаривать маршрутить в частную сеть, но скорей всего всё получится.
В случае особого маньячизма накатить OpenWRT/ddWRT на дешманские роутеры и они станут достаточно гибкими дешманскими роутерами.
PrAw, опенврт можно накатить далеко на не каждый дешманский роутер (скорее даже если и получиться, то будет полный слоупок).
но речь не об этом: когда вопрос только начинался, было впечатление, что человеку надо в рамках одной сети объединить две соседние комнаты/сети. поэтому ему и был предложен оптимальный, для этого случая, вариант.
а потом понеслись дополнения.
DevMan, Так я же сразу написал, что не нужно мне предлагать использовать соединение по типу LAN-to-WAN или делать второй роутер просто точкой доступа. Я написал, что нужно именно две сети объединить в одну.
Antikiller94, вам и предложили как объединить две сети в одну самым дешевым образом.
если бы вы изначально написали, что сети не связаны, ответ был бы другим.
DevMan, Ну если отключить DHCP на втором роутере, т.е. сделать его грубо говоря простой точкой доступа, то по факту это уже не две разные сети, объединенные в одну, а одна сеть, за которую будет отвечать только первый роутер.
Antikiller94, так и есть. поэтому я и написал про 250 устройств - это самый простой способ объединить сети.
если вам надо больше, то решение будет другим.
Antikiller94, в отличие от связи через коммутатор (свитч) узким местом будет скорость WAN интерфейса, которая будет делиться между всей локалкой за маршрутизатором.
У меня лично дома такое решение: Есть два провайдера, два роутера и одна общая сеть. Первый роутер имеет адрес 192.168.0.1, второй - 192.168.0.100. Маска подсети - 255.255.255.0. На первом роутере я отключил DHCP, на втором я задал пул адресов начинающихся от 101 и выше. На нужных мне серваках и десктопах настройки IP заданы вручную, и все они ходят вовне через первый роутер. Но если надо, я могу их в любой момент поменять и заставить работать через второй роутер. Ко второму роутеру по DHCP подключены XBOX и Android приставка. Кроме того на ней же висят смартфоны и планшеты. Для быстрой смены сетевых настроек в Windows есть отличная программа - NetSetMan (всё делается почти в один клик).
Александр Алексеев, я формулировку вопроса понял не как две локалки с общим адресным диапазоном, а две локалки с не пересекающимися сетями, например 192.168.0.0/24 и 172.16.0.0/24, тут уже без маршрутизации не обойтись
Говорю сразу, не предлагайте мне использовать один из роутеров в качестве точки доступа/отключать DHCP на одном из роутеров/соединять их через LAN-to-WAN
это невозможно, ибо сети находятся в различных адресных пространствах.
если у вас устройств меньше 250, самое простое - это действительно отключить на втором роутере dhcp и подключить его по лан к первому роутеру. хотя тут возникает вопрос: нафига вам второй роутер.
Каким образом тогда сеть одного провайдера соединяется с сетью другого провайдера?
Я спрашиваю об этом чисто из интереса.
Antikiller94, вы путаете локальную сеть, живущую в пределах вашего оборудования, с публичными сетями, у которых другие правила.
DevMan, Так если в Интернет сети соединяются друг с другом, то я предположил, что можно объединить и свои собственные локальные сети. Например, объединение локальной сети одной организации с локальной сетью другой, создание так называемого интранета.
Antikiller94, это тоже возможно. но решается совсем другими способами.
например, vpn.
мож вы сразу вопрос по нормальному зададите?
DevMan, Я и задал. Нужно объединить локальные сети обоих роутеров в одну. Роутеры к Интернету не подключены. Требуется, чтобы устройства подключенные к одному роутеру, могли видеть устройства, подключенные к другому роутеру. Так же как у одного провайдера, например, диапазон адресов 40.0.0.1 - 40.255.255.255, а у другого - 130.0.0.1 - 130.255.255.255, но при этом клиенты одного провайдера видят адреса как своего провайдера, так и другого.
Грубо говоря, представьте, что в нашем интранете каждый роутер - это отдельный провайдер.
Antikiller94, грубо говоря, это невозможно без прямого канала связи между ними.
а если он есть, непонятно зачем эти сложности.
но если вам очень охота, то вы спокойно можете поднять vpn между ними, если есть хоть какая-то связанность.
DevMan, Говорю еще раз. Я спрашиваю чисто из интереса. Мне очень интересно, как создаются всякие интранеты, как провайдеры соединяют свои сети друг с другом. Что там на счет прямого канала? Можете подробнее рассказать?
Antikiller94, кагбе в сложных сетях, оборудование стоит чутка сложнее простых роутеров.
поэтому к вам очередная просьба: или задайте вопрос нормально и подробно, или ищите ответ не у меня: вытягивать клещами инфу или додумывать за вас мне более не интересно.
Делается это элементарно.
Отключается DHCP на втором роутере, он подключается к первому LAN-to-LAN.
После чего все компьютеры получают настройки и адреса с DHCP первого роутера а второй роутер работает как простой свитч, или если надо точка доступа.
Других вариантов нет.
Каким образом тогда сеть одного провайдера соединяется с сетью другого провайдера?
Я спрашиваю об этом чисто из интереса.
Antikiller94, Через роутер.
Когда надо сделать связь между двумя сетями используется маршрутизатор (роутер).
А у вас задача объединить две сети, сделать одну сеть - в таком случае используется свитч.
АртемЪ, Нет, у меня задача именно объединить два роутера, при этом, чтоб на каждом роутере был включен DHCP и чтобы сети обоих роутеров были видны друг другу. Т.е. чтобы устройства, подключенные к первому роутеру, могли видеть устройства второго роутера, а устройства, подключенные ко второму роутеру, могли видеть устройства первого роутера. Т.е. к примеру, первый компьютер подключен к первому роутеру и ему был выдан адрес, например, 192.168.1.35, а второй компьютер подключен ко второму роутеру и ему выдан адрес, к примеру, 192.168.2.63. Но при этом оба компьютера должны иметь возможность видеть друг друга по этим адресам. Но мне уже ответили. Достаточно соединить роутеры по типу WAN-to-WAN.
Нет, у меня задача именно объединить два роутера, при этом, чтоб на каждом роутере был включен DHCP и чтобы сети обоих роутеров были видны друг другу.
Ваше утверждение противоречит вашему вопросу.
Ответ дан именно на ваш вопрос - как объединить две локальные сети в одну.
Решение "в лоб", независящее от моделей роутеров только одно:
1 Первая сеть остается как есть, и ее роутер (№1) подключается к Интернет.
2 Вторая сеть втыкается в "первую":
2.1 На роутере №1 уточняем длину диапазона DHCP (чтоб не оказался на 10 адресов), если что - увеличиваем в соответствии с общим числом проводных и беспроводных клиентов ОБЕИХ сетей.
2.2 Желательно, но необязательно роутеру №2 (второй сети) сменить IP на 192.168.1.2 (должен быть свободен) - просто чтоб потом его можно было админить.
2.3 Обязательно отключаем DHCP на роутере №2.
2.4 Тянем кабель от роутера №1 к роутеру №2. Втыкаем его в ОБОИХ роутерах в порты LAN (не WAN) (в обоих). На втором роутере порт WAN - остается свободен.
2.5 По желанию - расторгаем договор по подключению точки №2.
3 PROFIT. Получаем сплошное адресное пространство 192.168.1.* во всей сети. Трафик идет локально.
Сложный вариант:
1 Покупаем роутеры с поддержкой IPSec (например Zyxel серии Keenetik), ничего не меняем, не переподключаем, интернет оставляем на обеих точках.
2 Настраиваем "мышкой" на обоих IPSec друг на друга.
3 PROFIT. Сети разные, трафик идет через Интернет.
Есть вариант.
1. Придумывается третья подсеть, в которую соединяются роутеры портами WAN (каждому, естественно, нужно назначить свой IP).
2. На обоих роутерах отключается NAT;
3. На каждом роутере добавляется статический маршрут для чужой подсети; в качестве шлюза указывается IP-адрес соответствующего роутера в третьей подсети;
4. Хождение пакетов проверяется с помощью tracert/traceroute.
Денис, А для этого в третью подсеть LAN-портом ставится ещё один роутер, уже с NAT-ом (его WAN-порт, естественно, подключается к интернету). И его адрес в третьей подсети прописывается в качестве шлюза по умолчанию в настройки роутеров локальных сетей.
Два роутера соединяете по LAN портам. Сетевая маска на всех устройствах в сети 255.255.252.0
То есть роутер1 192.168.1.1 255.255.252.0
То есть роутер2 192.168.2.1 255.255.252.0
Ну и любое устройство в сети имеет такой ip 192.168.1.10/255.255.252.0 и все.
Я бы предложил использовать vlan'ы, если роутеры их умеют, то вполне можно объединять через любые порты. Видите ли, было бы полезно понять какое оборудование используется - от этого многое зависит.
Не ясно, что за роутеры используются и какой у них функционал.
На линуксе поднимал мост (bridging 802.1d) между двумя удалёнными шлюзами (по сути - роутерами), что по сути равноценно соединению LAN-портов на физических коммутаторах.
Читайте также: