On Fri, Dec 10, 2010 at 08:22:20PM +0100, Geert Stappers wrote: || On Fri, Dec 10, 2010 at 05:22:35PM +0100, Geert Stappers wrote: || > On Fri, Dec 10, 2010 at 04:06:10PM +0100, Vincent Zweije wrote: || > > On Fri, Dec 10, 2010 at 02:56:32PM +0100, Geert Stappers wrote: [knip] || > Waar ik het fantastisch vindt dat IP-in-IP onder de aandacht komt, || > gaat de rest van mijn E-mail waarom het _hier geen_ oplossing is. || || Daar was ik wat snel mee. || || Dit Emailtje gaat dan ook over || iets wat wel zou kunnen werken ... zonder dat er veel op || server Sierra noch op router Romeo moet gebeuren. || > > > +---------+ +-------+ || > > > | Sierra H | Papa | || > > > +---+-----+ +---+---+ || > > > | Alfa | || > > > +--------+--------+ || > > > | || > > > +-----+----+ || > > > | Romeo +------------ Internet || > > > +-----+----+ || > > > | || > > > +--------+--------+---------------+ || > > > | Bravo | | || > > > +---+-----+ +---+---+ +---+----+ || > > > | Kilo F | Lima G | Mike | || > > > +---------+ +-------+ +----+---+ || > > > | || > > > | Charlie || > > > +-------------+---------+--+------------+ || > > > | | | | || > > > +----+----+ +----+----+ +----+----+ +----+----+ || > > > | Tango | | Tango | | Tango | | Tango | || > > > |?F ?G ?H | |?F ?G ?H | |?F ?G ?H | |?F ?G ?H | || > > > +---------+ +---------+ +---------+ +---------+ || Op Mike || || - Laad software die IP in IP tunnel mogelijk maakt. || - Graaf een tunnel waar het netwerk Charlie in gaat || om bij Papa uit te komen || - Vertel dan het netwerk Alfa achter de tunnel te vinden is || || mike# modprobe ipip || mike# ifconfig tunl0 mike.charlie pointopoint papa || mike# route add -net alfa netmask 255.255.255.0 dev tunl0 Nogmaals, voor IP routering is het niet nodig dat verkeer van Charlie via een tunnel naar Alfa loopt. Mike kan het namelijk gewoon naar Romeo sturen, en die zit aan het Alfa netwerk en zal het dus netjes doorsturen. Probeer maar eens een ping van Mike naar Papa, dat gaat werken (zo niet dan is Romeo niet op orde). Papa is dus zonder tunnel bereikbaar vanaf Mike, en omgekeerd. Probeer nu eens een ping vanaf Tango naar Papa. Dat werkt maar half: de ping bereikt Papa (doe maar en tcpdump aldaar), maar de pong terug wordt door Romeo de verkeerde kant opgestuurd (Internet, of helemaal niet). Daarom is er maar in een richting een tunnel nodig. || Op Papa moet het counterpart komen, plus routing activeren. || || papa# echo 1 > /proc/sys/net/ipv4/ip_forward || papa# modprobe ipip || papa# ifconfig tunl0 papa pointopoint mike.bravo || papa# route add -net charlie netmask 255.255.255.0 dev tunl0 || || || Sierra zal vertelt moeten worden dat Charlie via Papa te vinden is. || || sierra# route add -net charlie netmask 255.255.255.0 gw papa Ja, of je kunt Sierra ook een eigen tunnel naar Mike geven, dan hoeft Papa niet te routeren. Ik bedenk me zojuist een alternatieve oplossing, mogelijk nog handiger: proxy arp. Dit werkt als het Charlie netwerk adressen gebruikt die een subrange van het Bravo netwerk zijn. In dat geval kan Mike zich op het Bravo netwerk gedragen alsof hij de eigenaar is van alle Charlie adressen. Romeo zal dan het Charlie verkeer naar Mike routeren. Mike kan het dan doorrouteren naar de goede Tange. Als proxy arp werkt hoef je alleen maar Mike aan te passen, verder niks. Ciao. Vincent. -- Vincent Zweije <zweije@xs4all.nl> | "If you're flamed in a group you <http://www.xs4all.nl/~zweije/> | don't read, does anybody get burnt?" [Xhost should be taken out and shot] | -- Paul Tomblin on a.s.r.
Attachment:
signature.asc
Description: Digital signature