Как выходить в интернет по gateway, который имеет ip адрес в другой подсети?

Question

[sparda93]

Добрый день. Не являюсь специалистом в сетях, лишь экспериментирую и учусь, поэтому вопрос, возможно глупым покажется, тут прошу простить. Суть: есть хоум лаба с proxmox, виртуалками и контейнерами на ней. В контейнере proxmox есть DCHP-сервер на базе коробочного решения Technitium, в котором есть возможность создавать диапазоны адресов (подсети). Есть 2 созданных сети на этом dhcp 10.0.0.1-10.0.0.100 и 10.1.1.1-10.1.1.100. Gateway имеет ip адрес 10.0.0.1. Каким образом можно указать для сети 10.1.1.1-100 gateway 10.0.0.1 , чтобы например, контейнеры proxmox, которые будут находиться в этой подсети имели выход в интернет ?

Comments

[Valentin Barbolin]

GW должен быть в одной под сети с клиентом, в это и суть GW, это пограничник который позволяет клиенту отправлять пакеты в другие сети, подсети.

[MVV]

Недостаточно информации.
Кроме самого по себе адреса есть ещё маска подсети, и локальную подсеть (в которой должен оказаться шлюз) определяет именно совокупность этих двух величин. Так что, если у вас маска имеет длину 23 бита (/23 или 255.255.254.0) или меньше, то и адрес шлюза, и адрес диапазона окажутся в одной подсети, и всё будет работать. PS Диапазоны адресов - это не подсети: подсеть - это не произвольный набор адресов, а такой, у которого начальная последовательность битов всех адресов в пределах маски совпадает.
PPS Рекомендую перед тем, как эксперементировать, изучить теорию (или хотя бы начать изучать), иначе все эти эксперименты - мартышкин труд. Но, вообще - дело ваше.

Answer 1

[agpecam]

Не понятна топология сети. Если хосты разных подсетей находятся в одном L2 сегменте (грубо говоря, включены в один свитч, просто у одних адреса 10.0.0.x, а у других - 10.1.1.x), то хостам с адресами 10.1.1.x нужно просто сказать, что gateway доступен им на канальном уровне. Это можно сделать либо с помощью DHCP option 121 (router=0), либо порописать маршруты руками, типа: ip route add 10.0.0.0/24 dev eth0. После этого хосты с адресами 10.1.1.x будут, используя ARP, находить MAC 10.0.0.1, а больше им ничего и не нужно.

Comments

[ValdikSS]

Единственный правильный и полный ответ

[Алексей]

Никогда не юзал такое. Вопрос назрел. Как тогда обратный трафик пойдёт? Откуда шлюз 10.0.0.1 знает, что, например, адрес 10.1.1.2/30 в этом же L2, а, например, 10.1.1.5/30 уже нужно маршрутизаторвать куда-то дальше в свой шлюз? Или шлюз при этом свой нат строит, маскарадит?

[agpecam]

У шлюза есть ARP-кэш - он просто смотрит какой MAC у IP и шлет обратный трафик в нужный интерфейс. Клиенты ведь идут в интернет через шлюз и неизбежно попадают в этот кэш.
Сценарий, при котором нужной записи нет в кэше - редкость. Например, если на шлюзе настроен проброс порта на хост в локальной сети и шлюз должен сам узнать MAC хоста по IP, так как, чисто теоретически, нужной записи в кэше может и не быть. В этом случае недостаточно настроить клиентов, на шлюзе тоже придется прописать on-link маршрут в подсеть клиента.

Answer 2

[hint000]

Это противоречит базовому принципу маршрутизации - шлюз должен быть в той же сети, либо шлюз должен быть доступен по протоколу точка-точка.
Но если в Proxmox организовать гостевую сеть через NAT, то сам гипервизор будет выступать шлюзом, а до внешнего шлюза трафик пойдёт уже с адресами, транслированными в другую сеть (ту, в которой шлюз).

Answer 3

[Dakis]

На gateway 10.0.0.1 поднять ещё один интерфейс с адресом 10.0.1.1 и уже его использовать как основной шлюз для второй подсети. Или есть проблема с поднятием двух IP ?

Answer 4

[CityCat4]

Каким образом можно указать для сети 10.1.1.1-100 gateway 10.0.0.1

никаким

Не являюсь специалистом в сетях, лишь экспериментирую и учусь,

Замечательно. Олиферов в зубы - и читать до посинения

Answer 5

[Гарри]

Добавь маршрут на 10.0.0.1/32 статический через нужный интерфейс ! заработает, у меня половина виртуалок в облаке так работает, получаю адрес например 1.1.1.1/32(да именно 32, а шлюз 2.2.2.2, добавляю маршрут 2.2.2.2 255.255.255.255 interface eth1(например) и все работает

Answer 6

[Игорь]

Такое условие (две подсети в DHCP) было в техзадании?
Интересно, на какие интерфейсы тогда забиндится сам DHCP-сервер? Обычно адреса этих интерфейсов должны попадать в обслуживпемые сервером сети.
Но если уж очень хочется сделать именно как описано в запросе, то достаточно включить arp-proxy на интерфейсах виртуальных машин со стороны гипервизора. И в качестве маршрута по умолчанию внутри виртуальной машины вместо адреса 10.0.0.1 указать имя интерфейса (т.е. маршрут должен выглядеть как 0.0.0.0 dev eth0, где eth0 имя интерфейса внутри виртуальной машины).

Comments

[ValdikSS]

Arp Proxy какую функцию будет выполнять при такой конфигурации?

[Игорь]

ValdikSS, принимать трафик из виртуальной машины, назначенный на адреса вне сегмента сети внутреннего интерфейса виртуальной машины. Т.е. внутри виртуалки пишем правило "все неизвестные назначения кидать в этот сетевой интерфейс", вместо обычного правила "все неизвестные назначения кидать на IP шлюза по умолчанию". Но в первом случае на другом конце виртуального туннеля (со стороны гипервизора) без включённого arp-proxy интерфейс будет считать, что трафик предназначен не для него и, соответственно, его проигнорирует.

[ValdikSS]

Игорь, если машины расположены в одном L2-сегменте (а оно похоже на то), то достаточно только добавить маршрут до IP-адреса через интерфейс.
Если они находятся в разных L2-сегментах, то arp-proxy не поможет: маршрутизация работает по MAC-адресам, а arp-proxy «перезапишет» MAC машины на MAC гипервизора, и ничего не заработает. IP-адрес при настройке шлюза указывается лишь для удобства, он используется только для определения MAC-адреса и ни для чего больше.

[Игорь]

ValdikSS, А вы попробуйте включить на интерфейсе со стороны гипервизора arp-proxy и посмотрите на результат.
Arp-proxy на широковещательный запрос в канале "где у нас сегодня условный 1.2.3.4" ответит "я здесь!". Ибо на стороне гипервизора есть маршрут на 0.0.0.0.

И это... Arp-proxy мак машины на мак гипервизора перезаписывать не будет.

Вообщем ip netns create вам в руки, стройте veth в него и экспериментируйте. Ну и на железном интерфейсе тоже можно: поставьте вместо маршрута по умолчанию маршрут в dev eth0. А потом включите на маршрутизаторе (другое устройство на том же железном шнурке) arp-proxy и сравните результат.

[ValdikSS]

Игорь,

"где у нас сегодня условный 1.2.3.4" ответит "я здесь!".

Всё верно. Он ответит своим MAC'ом, чтобы запросивший клиент мог обратиться к машине в другой сети с неявной маршрутизацией трафика.
Не факт, что автору вопроса нужно маршрутизировать трафик через гипервизор, а не через другую ВМ, выступающую шлюзом. В одном случае arp-proxy не поможет, а в другом он попросту не нужен, ведь машина и так будет отвечать на ARP'ы.

[ValdikSS]

Игорь, см. ответы agpecam и Гарри

[Игорь]

В оригинале нигде не сказано, что машины в одном сегменте L2. Более того, в первом ответе я даже написал, что интересно на что забиндится dhcp- сервер для диапазона второй сети.
И да, в общем случае (касательно указанного сервера не в курсе, а для isc точно можно) можно выдать ip- адрес не из той сети, которая описана в конфигурации. Грубо говоря сеть 192.168.1.0/24, а внутри прибиваем (к маку или guid) выдаваемый адрес 192.168.2.1 Этот адрес клиент получит
dhcpack вместе с сетью 192.168.1.0/24 в опциях, от этого охренеет, ip на интерфейс назначит, а что как будет разбираться с опциями 1 и 3, если честно, не интересовался. Скорее всего ругнется в логе, а применить не сможет.

Answer 7

[Dupych]

Домашняя сеть 192.168.1.0/24
В домашней сети сервак 10.0.0.0/24
Виртуальныц микротик получает интернет через ip 192.168.1.2 и раздает подсети 10.0.0.0/24
Вот и все.
Через него перенаправляю порты на почтовый и веб сервера.

Comments

[Lazar_rus]

Попробуйте в микротике настроить несколько вланов в бридже для разных подсетей, а шлюзом для 0.0.0.0/0 указать 192.168.1.2. А дальше от микрота по вланам сети разводить,

Answer 8

[Zel08]

Вы создали две, три, четыре сети, ограничили их точками шлюза, вопрос, а маршрутизацию сетей делали? Как у вас реализовано подключение интернета? Вообще не понятно при чем тут две сети внутренние и выход в интернет ? Порты перебрасывали для сервера с внутренней сетью ? Что вы от нас то хотите, если задали задачу было два арбуза один красный, другой зелёный вопрос: а дыня спелая?

Answer 9

[dszajtse]

Как вариант, на подсети 10.1.1.х сделать роут по умолчанию через IP 10.1.1.1(какой нибудь свободный с той же подсетки). Далее пишем на машинах в arp таблице статическую запись вида 10.1.1.1 aa.bb.cc.dd.ee.ff где мак должен совпадать с маком интерфейса на котором 10.0.0.1

Answer 10

[konstantinsk]

Есть 2 созданных сети на этом dhcp 10.0.0.1-10.0.0.100 и 10.1.1.1-10.1.1.100.

Мне кажется странным, если это сети, поскольку они обычно в степени 2ух. Возможно это диапазоны в DHCP.

Если это так, то у этих двух диапазонов должен быть общий netmask который включает эти два диапазона

Получается:
CIDR: 10.0.0.0/15
Range: 10.0.0.0 - 10.1.255.255
Netmask: 255.254.0.0

Все адреса в этом диапазоне в одной сети

Answer 11

[Пума Тайланд]

Ну либо роутить чепез проксмокс либо если надо прописывать жёсткий роут слать пакеты на гейт через основной айпи виртуалки

Answer 12

[Akina]

Есть 2 созданных сети на этом dhcp 10.0.0.1-10.0.0.100 и 10.1.1.1-10.1.1.100.

Это НЕ сети. Это диапазоны выделяемых адресов (scopes).

Кроме того, эта информация, без хотя бы указания маски для каждого скопа - совершенно бессмысленна.

Gateway имеет ip адрес 10.0.0.1.

Это чей gateway? Операционной системы, на которой работает DHCP? Или это значение параметра в настройках скопа, отдаваемое сервером клиенту?

Это gateway куда? Шлюз по умолчанию? Шлюз в подсеть? Что-то ещё?

Каким образом можно указать для сети 10.1.1.1-100 gateway 10.0.0.1 , чтобы например, контейнеры proxmox, которые будут находиться в этой подсети имели выход в интернет ?

Самое простое - объединить скопы одной подсетью.
Соответствующая маска - /23 или шире.