Re: Ruteo sin NAT... SOLUCIONADO !!!!
Gracias a todos por su ayuda!!!
ya tengo todo funcionando.... no 100% pero funciona !!!
tambien solucione el problema en el cisco!!
bien, ahora voy con la pregunta.... :-)
tengo todo configurado como dice el mail de abajo, el problema que tengo
es que no puedo llegar a la red 10.0.0.0/8 desde los host conectados al
linux.
Es decir, no puedo hacer un ping desde 200.68.245.246 a la 10.0.0.5
porque?
pero si llego a la 10.0.0.2 y a la 10.0.0.1.
bueno... por ahora ese es mi karma :-)
saludos a todos!
El vie, 23-04-2004 a las 18:16, nmag only escribió:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Hola,
>
> Establezca la red entre el Cisco y el Router gnu/linux como
> 10.0.0.0/8 en vez de 10.0.0.0/29 (tiene que cambiarlo en
> ambos)
>
> Esto es lo que debería tener:
>
> |internet|
> . |
> . # IP WAN
> .(cisco)
> . # 10.0.0.1
> . |
> . | [10.0.0.0/8]
> . |
> . # 10.0.0.2
> (======================Router gnu/linux==================)
> .# 200.68.245.253 # 200.68.245.245 # 200.68.245.249
> .| | |
> .| [200.68.245.252/30] | [200.68.245.244/30] | [200.68.245.248/30]
> .| | |
> .# 200.68.245.254 # 200.68.245.246 # 200.68.245.250
>
> Ahora, el Router gnu/linux llega a 10.0.0.1 y también a
> 200.68.245.254, 200.68.245.246 y 200.68.245.250
>
> Primero revisar si ip forwarding está habilitado (ya me dijo en
> otro correo que si pero confirmelo) ahora revisar la política del
> canal FORWARD del Router gnu/linux pruebe poniéndolo en ACCEPT, ya
> cuando logre la conectividad puede poner sus reglas de filtrado
> por ahora:
>
> iptables -P FORWARD ACCEPT
>
> Ahora revisar la configuración de los host que están conectados al
> Router gnu/linux por eth(1|2|3)
>
> el host 200.68.245.254 deberá tener al menos algo como:
>
> host_1:~# ip route show
> 200.68.245.252/30 dev eth0 proto kernel scope link src 200.68.245.254
> default via 200.68.245.253 dev eth0
>
>
> el host 200.68.245.246 deberá tener al menos algo como:
>
> host_2:~# ip route show
> 200.68.245.244/30 dev eth0 proto kernel scope link src 200.68.245.246
> default via 200.68.245.245 dev eth0
>
>
> el host 200.68.245.250 deberá tener al menos algo como:
>
> host_3:~# ip route show
> 200.68.245.248/30 dev eth0 proto kernel scope link src 200.68.245.250
> default via 200.68.245.249 dev eth0
>
>
> Si su configuración es así, y los hosts no llegan a la red 10.0.0.0/8,
> osea no hacen ping al 10.0.0.2 del Router gnu/linux y no hacen ping al
> 10.0.0.1 del cisco entonces tendrá que agregar una ruta estática por
> cada host indicándoles por cual dispositivo encontrará la red
> 10.0.0.0/8, por ejemplo:
>
> host_1:~# ip route add 10.0.0.0/8 via 200.68.245.253 dev eth0
>
> host_2:~# ip route add 10.0.0.0/8 via 200.68.245.245 dev eth0
>
> host_3:~# ip route add 10.0.0.0/8 via 200.68.245.249 dev eth0
>
> Y haga la prueba...
>
> Saludos!
>
> nmag only
> ____________
>
>
> SeB@ wrote:
> | aqui envio las rutas y direcciones de las eth:
> |
> | premier:~# ip route show
> | 200.68.245.248/30 dev eth3 proto kernel scope link src 200.68.245.249
> | 200.68.245.252/30 dev eth1 proto kernel scope link src 200.68.245.253
> | 200.68.245.244/30 dev eth2 proto kernel scope link src 200.68.245.245
> | 10.0.0.0/29 dev eth0 proto kernel scope link src 10.0.0.2
> | default via 10.0.0.1 dev eth0
> |
> |
> | premier:~# ip addr show
> | 1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
> | link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
> | inet 127.0.0.1/8 scope host lo
> | 2: teql0: <NOARP> mtu 1500 qdisc noop qlen 100
> | link/void
> | 3: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100
> | link/ether 00:60:08:6d:76:44 brd ff:ff:ff:ff:ff:ff
> | inet 10.0.0.2/29 brd 10.0.0.7 scope global eth0
> | 4: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100
> | link/ether 00:a0:24:da:d5:de brd ff:ff:ff:ff:ff:ff
> | inet 200.68.245.253/30 brd 200.68.245.255 scope global eth1
> | 5: eth2: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100
> | link/ether 00:04:75:c9:4b:87 brd ff:ff:ff:ff:ff:ff
> | inet 200.68.245.245/30 brd 200.68.245.247 scope global eth2
> | 6: eth3: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100
> | link/ether 00:04:75:c9:4c:22 brd ff:ff:ff:ff:ff:ff
> | inet 200.68.245.249/30 brd 200.68.245.251 scope global eth3
> | premier:~#
> |
> |
> | y las pruebas que me pedias:
> | ping desde el router linux hacia el cisco, y a los otros host funciona.
> | ping desde cualquier host conectado a eth1/3 hasta el router linux, que
> | seria el gw, si tiene ping. Pero cuando hago ping hacia la 10.0.0.1 ya
> | no tengo ping. :-(
> |
> |
> | espero haberme explicado
> |
> | y... gracias nuevamente !!
> |
> |
> | El jue, 22-04-2004 a las 17:20, nmag only escribió:
> |
> | Le recomiendo que use iproute 2, si no lo tiene, instálelo
> |
> | apt-get install iproute
> |
> | ejecute:
> |
> | ~ ip route show
> |
> | y
> |
> | ~ ip addr show
> |
> | y envía los resultados de ambos comandos para poder ayudarle...
> |
> | El truco esta con jugar con las rutas estáticas...
> |
> | Por ahora haga la prueba siguiente (mientras envía los datos que le da
> | ip route)...
> |
> | Desde el router linux compruebe que recibe respuesta ping del cisco
> | (10.0.0.1) y compruebe que puede hacer ping a los nodos que estan
> | conectados a eth3 (200.68.245.248), eth2 (200.68.245.252) y eth1
> | (200.68.245.244) osea .249, .253 y .245, si la respuesta de los ping de
> | estos nodos es adecuada entonces haga una prueba adicional más, esta vez
> | ya no desde el router linux, sino desde uno de los equipos que se
> | conectan directamente a eth1, eth2 o eth3, por ejemplo podría ser el
> | equipo que tiene el ip 200.68.245.245, desde dicho equipo hacer ping a
> | su punto adyacente en eth1 del router linux osea hacerle un ping a
> | 200.68.245.244, si la respuesta es correcta, entonces hacer otro ping
> | pero esta vez al ip del al interfaz eth0 del router linux que en este
> | caso debería ser 10.0.0.2, si también responde entonces el router linux
> | estaría trabajando perfectamente... el problema podría ser el cisco.
> |
> | En el router cisco** tiene que tener habilitado ip routing y al menos
> | una ruta estática la cual debe señalar que puede encontrar al red
> | 200.68.245.240/28 vía 10.0.0.2 (que es el IP del router linux)
> |
> | Adicionalemente tiene que tener en cuenta que si tiene otros equipos
> | detrás de los equipos que tienen los IP públicos fijos deberá adicionar
> | rutas estáticas por cada red en el router linux, por ejemplo un servidor
> | que hace NAT en 200.68.245.253 que evidetemente es el equipo que está
> | conectado al eth1 del router linux y detrás de el hay una red
> | 192.168.1.0/24, entonces el router linux tendrá que tener una ruta
> estática
> |
> | ip route add 192.168.1.0/24 via 200.68.245.253 dev eth1
> |
> | Esa línea de ip route 2 es bien sugerente, le dice al router linux que
> | la red 192.168.1.0/24 se encontrará a través del equipo con IP
> | 200.68.245.253 que esta conectado a la interfaz eth1
> |
> | Es ese esquema es exactamente el mismo que debe seguir el cisco** para
> | encontrar la red 200.68.245.240/28 a través del ip 10.0.0.2 que es el
> | del router linux.
> |
> | Saludos!
> |
> | nmag only
> | ____________
> |
> |
> | SeB@ wrote:
> | | Excelentes sus respuestas, ya me aclararon mucho el panorama...
> | | GRACIAS a todos!
> | |
> | |
> | | pero tengo algun otro problemita ya que no me rutea :-(
> | | ya elimine el NAT del router linux, tengo el iptables "limpio"
> | | y la que sigue es la tabla de rutas:
> | |
> | | Destination Gateway Genmask Flags Metric Ref Use Iface
> | | 200.68.245.248 0.0.0.0 255.255.255.252 U 0 0 0 eth3
> | | 200.68.245.252 0.0.0.0 255.255.255.252 U 0 0 0 eth1
> | | 200.68.245.244 0.0.0.0 255.255.255.252 U 0 0 0 eth2
> | | 10.0.0.0 0.0.0.0 255.255.255.248 U 0 0 0 eth0
> | | 0.0.0.0 10.0.0.1 0.0.0.0 UG 0 0 0 eth0
> | |
> | | y tengo el ipfordwarding activado
> | |
> | | que deberia modificar???
> | |
> | |
> | |
> | |
> | |
> | | saludos!
> | |
> | |
> | |
> | | El mié, 21-04-2004 a las 18:00, nmag only escribió:
> | |
> | | SeB@ wrote:
> | | | Bueno, ante todo gracias por su tiempo....
> | | |
> | | | y paso a explicar mejor :-)
> | | |
> | | | [Internet] nota: las # son eth
> | | | |
> | | | |
> | | | |
> | | | # (1 ip publica (1))
> | | | [Cisco]
> | | | # (1 ip publica (2)) (pienso ponerle privada cuando funcione
> todo)
> | | | |
> | | | |
> | | | # (1 ip publica (3)) (tambien en el futuro iria una privada)
> | | | [router Linux]
> | | | #1 #2 #3 (cada una con una ip publica y serian el gw de
> | | | | \ \ cada subred #1, #2, #3)
> | | | | \ \
> | | | | \ \
> | | | # # #
> | | | [SUBRED1][SUBRED2][SUBRED3] en cada una de estas subredes 1 o 2
> | | | ip publicas y hago nat para que puedan
> salir el
> | | | resto de las pcs (con ip privada) de la red.
> | | | algunas dee estas prestan servicio web, ftp
> | | | mail, etc.
> | | |
> | | |
> | | | esta bien todo esto??? o es un delirio?? ;-)
> | |
> | | La idea está bien, y no es un deliro...
> | |
> | | lo que tiene que tener en claro es:
> | |
> | | |internet|
> | | . |
> | | . # (ip que pertenece al sistema autónomo del proveedor)
> | | .(cisco) <-- RUTA ESTÁTICA PARA ENCONTRAR LA RED PUBLICA A TRAVÉS DE LA
> | | . # (acá debe poner un IP privado) PRIVADA
> | | . | [se convierte en una red privada]
> | | . # (otro IP privado)
> | | (router gnu/linux) <-- SIN NAT, CON DEFAULT GATEWAY EL IP PRIVADO CISCO
> | | . # # # # (cuatro subredes /30 que salen de la subred /28 de ips
> | | . | | | | públicos que su proveedor le ha asignado)
> | | . | | | | [las cuatro subredes /30]
> | | . # # # # (estas cuatro interfaces pertenecen a 4 servidores)
> | | (servidores) <-- SE PUEDEN PONER SERVICIOS CON IPS PÚBLICOS FIJOS Y SI
> | | . REQUIERE DAR INTERNET A OTROS EQUIPOS AQUÍ SI IRÍA NAT
> | |
> | | Si se da cuenta una subred /30 le da 4 ips uno de red otro broadcast y
> | | justo le quedan 2 ips públicos fijos disponibles por los 4 tiene los
> | | 16 ips públicos asignados por su proveedor, y le quedarían justitos...
> | |
> | | Ahora las interfaces de cara a su red del (router linux) tendrían un ip
> | | público fijo y los servidores también y en ellos podría montar
> | | servicios... y si su lan se extiende, ahí si tendrían que usar NAT pero
> | | sería a través de los 4 servidores finales...
> | |
> | | Lo que hay que considerar es en cambiar la configuración del (cisco)
> | | para que la interfaz que mira hacia su lan tenga configurada una red
> | | privada (en vez de la subred pública /28 que le asigno su proveedor) y
> | | adicionar una ruta estática para que sepa que esa subred /28 de ips
> | | públicos fijos asignados por su proveedor se encuentra ahora a través de
> | | esa red privada y obvio que el router linux distinguirá las subredes /30
> | | definidas en él...
> | |
> | | Ahora un ejemplo con números, supongamos su ip wan (el del sistema
> | | autónomo es 216.10.234.21) y le han asignado la subred 216.12.30.128/28
> | |
> | | primero hagamos subredes /30 de sus ips disponibles...
> | |
> | | 216.12.30.128/30 (red .128, brd .131, ips disponibles .129 y .130)
> | | 216.12.30.132/30 (red .132, brd .135, ips disponibles .133 y .134)
> | | 216.12.30.136/30 (red .136, brd .139, ips disponibles .137 y .138)
> | | 216.12.30.140/30 (red .140, brd .143, ips disponibles .141 y .142)
> | |
> | | Y tenemos todo dividido y listo para implementar, no nos olvidemos de
> | | nuestra red privada, que sea un 10.0.0.0/29 puede ser... ahora como
> | | queda nuestro esquema con número y no palabras :))
> | |
> | | |internet|
> | | . |
> | | . # 216.10.234.21
> | | .(cisco)
> | | . # 10.0.0.1
> | | . |
> | | . # 10.0.0.2
> | | (======================Router gnu/linux=====================)
> | | .# 216.12.30.129 # 216.12.30.133 # 216.12.30.137 # 216.12.30.141
> | | .| | | |
> | | .| | | |
> | | .# 216.12.30.130 # 216.12.30.134 # 216.12.30.138 # 216.12.30.142
> | | (servidor) (servidor) (servidor) (servidor)
> | | . ^http ^correo ^NAT1 ^NAT2
> | |
> | | Supongo que ahora queda un poco mas claro
> | |
> | | Saludos!
> | |
> |
>
> - --
> nmag only
> gnupg 0xA024A03F [pgp.mit.edu] && GNU/Linux Registered User #312624
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.2.4 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
>
> iD8DBQFAiYfHy3Ce2qAkoD8RAkz/AKCHnvf4IriLhAOmP+3A8AVJ/ULJHgCfdJMB
> uTqjIZcqe+DOyWAM62vuc0w=
> =UXXJ
> -----END PGP SIGNATURE-----
Reply to: