[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: tunnel

Serge Matveev -> debian-russian@lists.debian.org  @ Sat, 4 Feb 2006 23:55:01 +0300:

 SM>     Я понял, что всё ещё хуже, и я торможу ещё раньше. Есть простая
 SM> задаяа - построить туннель и выходить через него в
 SM> интернет. Туннель строится на ура (gre), а дальше? Как роутинг-то
 SM> прописать с обоих сторон? Как не кручу, только концы туннеля и
 SM> вижу.

 SM>     Вариант один - туннель на "левых" ip. Но тут nat нужен, как я
 SM> понимаю, на дальней стороне?

Как раз при туннеле на "левых" IP нат не нужен.

 SM>     Вариант два - IP на туннеле реальные. Тупо взял один из из
 SM> свободных IP из удалённой "локалки". Опять - концы туннеля видят
 SM> друг друга, а дальше хрен.  разнообразные попытки прописывать
 SM> роутинг хотя бы на саму локалку ни к чему не приводят :-(

 SM>     Дальняя сторона: x.x.x.6
 SM>     Моя сторона: x.x.x.7
 SM>     Основной ip на дальней стороне x.x.x.25 и вся сетка /24

 SM>     Я уже всю голову сломал. Явно же торможу в какой-то мелочи... 

 SM>     Как роутинг прописать, чтобы такой бутерброд заработал или одного
 SM> роутинга мало? Или я вообще зря взял для моей стороны ip из той локалки?

IP из той локалки ты взял зря.  С ним тоже работать будет, но на
маршрутизаторе, который знает, что на самом деле это другой конец
туннеля (.6, как я понял), надо прописывать для этого адреса (.7) proxy
arp.  Тоже не rocket science (у нас так парочка хостов работает), но
знать надо.

А вообще, если "выходить в Интернет" означает дефолтный роутинг, то:

0. Прописываем на роутере роутинг на "внешний" адрес другого конца
   туннеля (тот, на котором строится сам туннель) через штатный
   дефолтный роутер.  Дефолтный роутинг прибиваем.  Должны ходить пакеты
   вовне только на хост другого конца туннеля (туннель-то должен
   работать), и больше никуда.

1. А теперь дефолтный роутинг на оном же роутере прописываем через
   внутренний адрес другого конца туннеля.

Ну, это простейший вариант.  Он обладает тем недостатком (иногда это
недостаток - например, когда дальний конец сам себе хост, и трафик туда
хочется шифровать), что на внешний адрес другого конца туннеля пакеты
будут ходить мимо туннеля.  Что тоже лечится, но давай сначала просто
заведем.

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

Это неправильный шелл. В нем дают неправильный перл. (С)энта
Reply to: