Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Raggiungere la scheda di rete aggiunta...

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
grenzo



Registrato: 21/05/12 21:25
Messaggi: 66

MessaggioInviato: Mar Apr 16, 2013 8:31 pm    Oggetto: Raggiungere la scheda di rete aggiunta... Rispondi citando

Ciao,
Ho una LAN 192.168.20.x con Default Gateway 192.168.20.254 da dove ho accesso internet.
Ho installato un server Zeroshell con 2 schede di rete, ETH00 ed ETH01
La ETH00 e' stata settata sulla lan con IP 192.168.20.5/255.255.255.0 / Default Gteway: 192.168.20.254

La ETH01 con l' IP 10.5.50.1 / 255.255.255.254 ( 510 indirizzi IP) , il Default Gateway non viene specificato ma il box Zeroshell ha il Default Gateway a 192.168.20.254

In Zeroshell e' stato settato un NAT aggiungendo alla NAT Enabled Interfaces la ETH00 che permette agli IP 10.5.50.x, assegnati tramite server DHCP, che Default Gateway 10.5.50.1, di uscire su internet tramite il 192.168.20.254.

Tutto funziona.

E' possibile fare anche il contrario? Cioe' dalla 192.168.20.x raggiungere la 10.5.50.x ?

Ho provato a settare il NAT di Zeroshell aggiungendo alla NAT Enabled Interfaces la ETH01 e la configurazione IP del client Windows impostato sulla 192.168.20.x aggiungendo un IP 10.5.50.10 e un Default Gateway aggiuntivo 192.168.20.5 ( cioe' il server Zeroshell ), ma non pinga.

Provando un nslookup 10.5.50.1 si ferma sul server DNS della 192.168.20.x

Qualcuno ha idea di come si possa fare ?

Grazie
Top
Profilo Invia messaggio privato Invia e-mail
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Apr 22, 2013 8:26 am    Oggetto: Re: Raggiungere la scheda di rete aggiunta... Rispondi citando

grenzo ha scritto:
La ETH01 con l' IP 10.5.50.1 / 255.255.255.254 ( 510 indirizzi IP)

Questa netmask dovrebbe essere 255.255.254.0... Altrimenti avresti una rete senza indirizzi utilizzabili.

grenzo ha scritto:
E' possibile fare anche il contrario? Cioe' dalla 192.168.20.x raggiungere la 10.5.50.x ?

Certamente: togli il NAT ed istruisci tutti gli host di routare i pacchetti per la 10.5.50.0/23 verso il box ZS. Oppure istruisci solo il modem con la regola di routing, ma poi non aspettarti prestazioni ottimali.
Top
Profilo Invia messaggio privato
grenzo



Registrato: 21/05/12 21:25
Messaggi: 66

MessaggioInviato: Lun Apr 22, 2013 9:34 am    Oggetto: Re: Raggiungere la scheda di rete aggiunta... Rispondi citando

NdK ha scritto:
grenzo ha scritto:
La ETH01 con l' IP 10.5.50.1 / 255.255.255.254 ( 510 indirizzi IP)

Questa netmask dovrebbe essere 255.255.254.0... Altrimenti avresti una rete senza indirizzi utilizzabili.

S, scusa, sbagliato a scrivere e' 255.255.254.0.. Sad

grenzo ha scritto:
E' possibile fare anche il contrario? Cioe' dalla 192.168.20.x raggiungere la 10.5.50.x ?

NdK ha scritto:

Certamente: togli il NAT ed istruisci tutti gli host di routare i pacchetti per la 10.5.50.0/23 verso il box ZS. Oppure istruisci solo il modem con la regola di routing, ma poi non aspettarti prestazioni ottimali.


Tolgo il NAT nel senso che tolgo dalla NAT Enabled Interfaces la ETH01 ma rimane la EtH00, vero?
A tale proposito non ci riesco, nella finestra Network Address Translation clicco su ETH01 sulla finiestra di destra e poi click su :<<< ma non la toglie ee il bottone <<< scompare!

Quindi dovrei mettere una route statica sugli host che spedisca verso il 192.168.20.5, cioe' :
route add 10.5.50.0 mask 255.255.254.0 192.168.20.5 -p ?

Grazie!
Top
Profilo Invia messaggio privato Invia e-mail
grenzo



Registrato: 21/05/12 21:25
Messaggi: 66

MessaggioInviato: Lun Apr 22, 2013 11:19 am    Oggetto: Re: Raggiungere la scheda di rete aggiunta... Rispondi citando

grenzo ha scritto:
....

Quindi dovrei mettere una route statica sugli host che spedisca verso il 192.168.20.5, cioe' :
route add 10.5.50.0 mask 255.255.254.0 192.168.20.5 -p ?

Grazie!


Fatta la route statica su un PC 192.168.20.x, mi pinga la ETH01 : 10.5.50.1 ma NON pinga le apparecchiature collegate a questa interfaccia. Devo fare qualche intervento di Routing in Zeroshell?
Grazie
Top
Profilo Invia messaggio privato Invia e-mail
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mar Apr 30, 2013 2:24 pm    Oggetto: Rispondi citando

Togli il NAT completamente. Puro routing.
Ed istruisci il firewall per far passare i pacchetti in entrambe le direzioni.
Conviene partire con una configurazione pulita (profilo nuovo) ed aggiungere una cosa per volta controllando che tutto funzioni.
Top
Profilo Invia messaggio privato
grenzo



Registrato: 21/05/12 21:25
Messaggi: 66

MessaggioInviato: Mar Apr 30, 2013 3:21 pm    Oggetto: Rispondi citando

NdK ha scritto:
Togli il NAT completamente. Puro routing.
Ed istruisci il firewall per far passare i pacchetti in entrambe le direzioni.
Conviene partire con una configurazione pulita (profilo nuovo) ed aggiungere una cosa per volta controllando che tutto funzioni.


Scusa ma se tolgo il NAT completamente l' interfaccia ETH01 come comunica con la ETH00 ? Da quanto mi era stato detto serviva a questo....
Grazie
Top
Profilo Invia messaggio privato Invia e-mail
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Gio Mag 02, 2013 7:46 am    Oggetto: Rispondi citando

Possono comunicare se configuri bene il routing.
Il NAT, salvo accorgimenti particolari, "maschera" un'intera rete (o pi¨ di una) come se fosse un'unica macchina. Quindi non puoi, dall'esterno, raggiungere un indirizzo della rete "dietro" NAT.

Se le esigenze di raggiungibilitÓ sono ridotte (p.e. solo alcuni servizi ben identificati verso macchine altrettanto ben identificate), allora puoi cavartela col port forwarding, facendo apparire l'indirizzo di NAT come se fosse una macchina che offre tutti i servizi. Ma la cosa si presta molto poco alla scalabilitÓ ed Ŕ pure difficile da mantenere.

A seconda dell'esigenza puoi:
1) eliminare il NAT e riconfigurare il routing: le due reti interne saranno interraggiungibili (a seconda delle regole di firewalling)
2) aggiungere un port forward per ogni macchina/servizio che vuoi poter raggiungere (devi per˛ assegnare IP fissi alle macchine che devono essere raggiungibili)
3) mantenere il NAT ed aggiungere una VPN che ti permetta di collegarti "comparendo" sulla rete dietro il NAT
4) rendi raggiungibile in SSH una sola macchina sulla rete dietro il NAT e la usi come "ponte" per raggiungere le altre

Ocio che pu˛ bastare una piccola variazione dei requisiti o delle limitazioni per far preferire una soluzione piuttosto che un'altra.
Top
Profilo Invia messaggio privato
grenzo



Registrato: 21/05/12 21:25
Messaggi: 66

MessaggioInviato: Sab Mag 11, 2013 4:45 pm    Oggetto: Rispondi citando

NdK ha scritto:
Possono comunicare se ...

A seconda dell'esigenza puoi:
1) eliminare il NAT e riconfigurare il routing: le due reti interne saranno interraggiungibili (a seconda delle regole di firewalling)
2) aggiungere un port forward per ogni macchina/servizio che vuoi poter raggiungere (devi per˛ assegnare IP fissi alle macchine che devono essere raggiungibili)
3) mantenere il NAT ed aggiungere una VPN che ti permetta di collegarti "comparendo" sulla rete dietro il NAT
4) rendi raggiungibile in SSH una sola macchina sulla rete dietro il NAT e la usi come "ponte" per raggiungere le altre

Ocio che pu˛ bastare una piccola variazione dei requisiti o delle limitazioni per far preferire una soluzione piuttosto che un'altra.


Hum, ho cercato di capire ma mi trovo un po'... potresti consigliarmi passo-passo una configurazione? Magari la VPN
Le macchine hanno IP fisso.
Il server zeroshell ha 192.168.27.180 ( ETH0 ), il pc dal quale dovrei raggiungere le macchine nella lan dietro ZS ha 192.168.27.18.
L' interfaccio ETH01 installata in ZS alla quale sono collegate le apparecchiature ha IP: 10.5.50.1. Una apparecchiatura che devo raggiungere ha ip: 10.5.50.22
Mi aiuti?
Grazie
Top
Profilo Invia messaggio privato Invia e-mail
grenzo



Registrato: 21/05/12 21:25
Messaggi: 66

MessaggioInviato: Sab Mag 11, 2013 5:43 pm    Oggetto: Rispondi citando

grenzo ha scritto:
..

Hum, ho cercato di capire ma mi trovo un po'... potresti consigliarmi passo-passo una configurazione? Magari la VPN
Le macchine hanno IP fisso.
Il server zeroshell ha 192.168.27.180 ( ETH0 ), il pc dal quale dovrei raggiungere le macchine nella lan dietro ZS ha 192.168.27.18.
L' interfaccio ETH01 installata in ZS alla quale sono collegate le apparecchiature ha IP: 10.5.50.1. Una apparecchiatura che devo raggiungere ha ip: 10.5.50.22
Mi aiuti?
Grazie


Hum, VPN no perche' il pc assume l' IP 10.5.50.x e si sgancia dalla 192.168.27.x e non riesco piu' a collegarmi da remoto....
Grazie
Top
Profilo Invia messaggio privato Invia e-mail
grenzo



Registrato: 21/05/12 21:25
Messaggi: 66

MessaggioInviato: Dom Mag 12, 2013 9:03 am    Oggetto: Rispondi citando

[quote="grenzo"]
NdK ha scritto:
Possono comunicare se ...

A seconda dell'esigenza puoi:
1) eliminare il NAT e riconfigurare il routing: le due reti interne saranno interraggiungibili (a seconda delle regole di firewalling)
....


Sto provando questa, ho eliminato il NAT verso la ETH00 ( cioe' la WAN). Il NAT serve solo a mascherare tutti gli IP dei client e presentarli come un IP unico? Quale? Quello della ETH01 ( 10.5.50.1 ) alla quale sono collegati gli AP? I client collegati escono lo stesso su internet?

Come riconfiguro il routing? Intendi il menu Router di Zeroshell?

Adesso ho fatto una route nel firewall 192.168.20.247 ( Gateway di Zeroshell ) che fa in modo che le richieste 10.5.50.x dalla LAN 192.168.247.x vadano al server Zeroshell 192.168.27.180.
Giusto?
Pingo la ETH01 10.5.50.1 ma non i dispositivi a lei collegati...
Grazie
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Mag 12, 2013 11:50 am    Oggetto: Rispondi citando

Hai per caso il CP abilitato sulla ETH01 (10.5.50.1) ? Se cosi' fosse , crea una regola nella chain di forward ( sequence 1) ,
Codice:
 -i ETH01 -o ETH00  -s 10.5.50.0/xx  -d 192.168.20.0/yy -m state --state  RELATED, ESTABLISHED -j ACCEPT

Il nat (semplificando) fÓ apparire qualsiasi pacchetto che "esce" da una determinata interfaccia con l'ip dell'interfaccia stessa , nel tuo caso 192.168.27.180 . Con la statica che hai creato non hai bisogno del nat (i pacchetti possono "uscire" con il source ip add. originale) perchŔ quando al def.gw (192.168.20.247) arriva un pacchetto destinato alla rete 10.5.50.0 , sÓ come raggiungerla.
ciao
Top
Profilo Invia messaggio privato
grenzo



Registrato: 21/05/12 21:25
Messaggi: 66

MessaggioInviato: Dom Mag 12, 2013 12:58 pm    Oggetto: Rispondi citando

redfive ha scritto:
Hai per caso il CP abilitato sulla ETH01 (10.5.50.1) ? Se cosi' fosse , crea una regola nella chain di forward ( sequence 1) ,
Codice:
 -i ETH01 -o ETH00  -s 10.5.50.0/xx  -d 192.168.20.0/yy -m state --state  RELATED, ESTABLISHED -j ACCEPT

....
ciao


Ok, ma come creo la regola nella chain di forward? Purtroppo non so usare Zeroshell...
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Mag 12, 2013 1:29 pm    Oggetto: Rispondi citando

La puoi inserire direttamente da lla web interface di Zs , SECURITY>> Firewall>>Chain FORWARD , tasto Add.
Sempre che il CP sia abilitato , diversamente dovresti giÓ raggiungere i dispositivi appartenenti alla 10.5.50.0/xx (in realtÓ , anche senza questa regola gli hosts dietro CP , una volta autenticati dovrebbero essere raggiungibili).
ciao
Top
Profilo Invia messaggio privato
grenzo



Registrato: 21/05/12 21:25
Messaggi: 66

MessaggioInviato: Dom Mag 12, 2013 5:11 pm    Oggetto: Rispondi citando

redfive ha scritto:
La puoi inserire direttamente da lla web interface di Zs , SECURITY>> Firewall>>Chain FORWARD , tasto Add.
....


Hem scusa, da SECURUTY >> Firewall trovo Chain:FORWARD / POLICY:ACCEPT / Chain: FORWARD. Se premo su ADD mi appare una maschera in cui:

Input: ETH01
Output: ETH00
Source IP:10.5.50.0/23
Destination IP: 192.168.20.0/24

Flag [x] Su ESTABILISHED e RELATED e pi click su Confirm.

Ho tolto il NAT ed ho provato e da 192.168.27.18 non pingo i dispositivi 10.5.50.x

Dove ho sbagliato?
Grazie 1000 x il tuo aiuto...
Top
Profilo Invia messaggio privato Invia e-mail
grenzo



Registrato: 21/05/12 21:25
Messaggi: 66

MessaggioInviato: Dom Mag 12, 2013 5:34 pm    Oggetto: Rispondi citando

grenzo ha scritto:


Dove ho sbagliato?
Grazie 1000 x il tuo aiuto...


Hem, scusa funziona benissimo! Avevo copiato il tuo esempio ma in realta' la
Destination IP: era 192.168.27.0/24 e non 192.168.20.0/24 Confused

Visto che tu conosci perfettamente la questione, ti chiedo un'altra cosa: se volessi installare nella LAN della ETH01 dei dispositivi con l' IP 172.27.27.x come potrei fare x raggiungerli dalla LAN 192.168.27.x?

Stesso metodo?
Grazie ancora...
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Mag 12, 2013 5:40 pm    Oggetto: Rispondi citando

Ti stavo scrivendo la stessa cosa ...
Citazione:
Scusa , il dest ip addr. nella regola forse dovrebbe essere 192.168.27.0/xx e non 192.168.20.0/xx ..... ho letto un p˛ di corsa , ed ho preso per buono l'ip del def-gw
Citazione:
Adesso ho fatto una route nel firewall 192.168.20.247 ( Gateway di Zeroshell )
Edit.. se hai "solo" 2 interfacce fisiche , ma vuoi utilizzare piu' di 2 reti logiche , ti conviene creare delle vlan ed utilizzare switch che le supportino.....
Top
Profilo Invia messaggio privato
grenzo



Registrato: 21/05/12 21:25
Messaggi: 66

MessaggioInviato: Dom Mag 12, 2013 6:39 pm    Oggetto: Rispondi citando

redfive ha scritto:
..Edit.. se hai "solo" 2 interfacce fisiche , ma vuoi utilizzare piu' di 2 reti logiche , ti conviene creare delle vlan ed utilizzare switch che le supportino.....


Ho solo 2 interfacce fisiche la ETH00 e la ETH01, quindi non lo posso fare? Edit cosa vorrebbe dire?
Cmq, dovrei raggiungere degli switch che supportano le VLAN, quindi si potrebbe fare con le 2 interfacce che ho ?
Scusa l' imbra, ma non ho mai fatto una VLAN in vita mia, mi dai qualche dritta di come potrei fare? Gli switch dovrebbero avere l' IP 172.27.27.x..

grazie
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Mag 12, 2013 7:08 pm    Oggetto: Rispondi citando

Su Zs crei le sub-interfaces (le interfacce logiche) che ti servono , es. ETH01.10 (vlan10) , ETH01.20 (vlan20) ... sono, a tutti gli effetti, interfacce di rete separate ( condividono il mac-address, che essendo associato all'interfaccia fisica Ŕ unico per tutte) . Ad ogni interfaccia logica assegni un ip address , tale ip sarÓ il def.gw per quella determinata rete. Colleghi la ETH01 ad una porta trunk dello switch , e sullo switch definisci a quale vlan appartengono le varie porte ( o eventualmente se sono porte trunk , magari uplink di altri switch)..... detta mooolto alla "veloce", e come base per partire...poi ci sarebbe da gestire routing e firewall , vedere come utilizzare la vlan nativa... ecc. ecc.
ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it