Что нужно добавить в Ubuntu Server, чтобы удаленные филиалы видели центральные локальные адреса?

Question

[ult1mate]

Здравствуйте,

провайдер предоставляет L2 VPN для центральной точки и 2х филиалов через радиоканал. От провайдера в Центре есть патчкорд, в котором на выходе 3 влана: 101 и 102 для филиалов и 100 для центральной точки. Нужна помощь в разборе вланов на Ubuntu Server 14 с двумя сетевыми. Антенна провайдера заходит в eth0, из eth1 уходит провод в неуправляемый свитч.
Нужно, чтобы каждый филиал видел три адреса в центральной сети:
10.33.2.1 - Сервер Для Программы
10.33.2.249 - прокси для интернета
192.168.5.2 - расшаренная папка

На Ubuntu подтянуты вланы:
apt-get install vlan
хз что:
modprobe 8021q
Содержание /etc/network/interfaces:

auto eth0
iface eth0 inet static
address 10.33.2.240
netmask 255.0.0.0

auto vlan100
iface vlan100 inet static
address 192.168.100.1
netmask 255.255.255.0
vlan_raw_device eth0

auto vlan101
iface vlan101 inet static
address 192.168.101.1
netmask 255.255.255.0
vlan_raw_device eth0

auto vlan102
iface vlan101 inet static
address 192.168.101.1
netmask 255.255.255.0
vlan_raw_device eth0

up route add -net 192.168.101.0/24 gw 10.33.2.241 eth0
up route add -net 192.168.102.0/24 gw 10.33.2.241 eth0

auto eth1
iface eth1 inet static
address 10.33.2.241
netmask 255.0.0.0
gateway 10.33.2.249

Затем подняты вланы:

ifup vlan100
ifup vlan101
ifup vlan102

Это вся существующая настройка. Клиентские машины на филиалах в подсетях 192.168.101.0/24 и 192.168.102.0/24. Как шлюзы указаны 192.168.101.1 и 192.168.102.1. По задумке статические маршруты на eth0 должны отправлять все пакеты на eth1, а eth1 с айпишником из центральной сети. Но фактически с филиальской машины пингуется 192.168.х.1, но eth1 не пингуется, а с Ubuntu пингуется клиентская машина.

Что нужно добавить, чтобы филиалы видели центральные локальные адреса?

Answer 1

[shaazz]

auto vlan102
iface vlan101 inet static
address 192.168.101.1
netmask 255.255.255.0
vlan_raw_device eth0

тут видимо забыли 101 на 102 поменять?

ip_forward включен?

файрвол временно отключали для тестирования?

Comments

[ult1mate]

да, забыл поменять, но только в этом вопросе. я его набивал вручную по памяти. был дома. прошу прощения за эту мелочь.

ip_forward не включал, попробую включить.

отключить фаервол коммандой sudo ufw disable? попробую, отпишусь.

[ult1mate]

раскомментил net.ipv4.ip_forward=1 в /etc/sysctl.conf - эффект тот же, eth1 не пингуется с филиала.
сделал sudo ufw disable и reboot - не пингуется eth1.

[shaazz]

Проверить, что отключен файрвол:
sudo iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

- это все разрешено

На клиентах tracert запусти, посмотри куда идет, на сервере таблицу маршрутизации посмотри.

[ult1mate]

shaazz: в iptables везде accept
в таблице маршрутизации у всех вланов в столбце шлюза 0.0.0.0. и странный адрес 169.254.0.0, которого нет в interfaces.

удалось достучаться до eth1, изменив в маршруте gw на via. но дальше не идет. на удаленных машинах нужны маршруты или шлюза достаточно?

[shaazz]

169.254.0.0 - APIPA
forum.ubuntu.ru/index.php?topic=54943.0 тут пишут как отключить

по логике шлюза достаточно, если маршрутизация на сервере работает, но можно для теста маршрут прописать

а tracert пробовал?

и таблица маршрутизации неясна, так обрывками не понятно

[ult1mate]

shaazz: странно, до eth1 не получилось достучаться.

tracert показывает только адрес 192.168.101.1

таблица маршрутизации, вланов больше, сначала, для вопроса, я их сократил:
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.33.2.249 0.0.0.0 UG 0 0 0 eth1
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1800
192.168.101.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1801
192.168.102.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1802
192.168.103.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1803
192.168.104.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1804
192.168.105.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1805
192.168.106.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1806
192.168.107.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1807

[shaazz]

Во-первых по таблице
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0
будет идти только по первому интерфейсу из таблицы,
т.е. если нужно для одинаковой сети разные интерфейсы, то нужно использовать PBR (from to) - разделять на таблицы и там прописывать маршруты по умолчанию. Ну и с VLAN по той же схеме скорее всего нужно загонять (отдельная таблица и шлюз по умолчанию)

Второе, для eth1 есть шлюз 10.33.2.249, а он не поймет что к нему приходит с 192
.168.10X.0 , поэтому на сервере нужно будет включить NAT.

Я попробую у себя собрать стенд.

[shaazz]

Собрал стенд PC WinXP 192.168.107.10 (VLAN_ID 107) -> Server Debian -> Маршрутизатор 192.168.0.200 -> Сервер ПО 192.168.0.10
На клиенте поднят VLAN 107, шлюз прописан 192.168.107.1
На сервере поднят VLAN на eth0 vlan107-192.168.107.1, на eth1 прописан шлюз 192.168.0.200, включен NAT, ip_forward. На eth0 IP - 192.168.10.100, на eth1 IP - 192.168.0.100 (т.е. из разных сетей чтобы не заморачиваться с PBR). Ну и все работает, с PC пингуется сервер ПО. Вот таблица
ip r
default via 192.168.0.200 dev eth1
192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.100
192.168.10.0/24 dev eth0 proto kernel scope link src 192.168.10.100
192.168.107.0/24 dev vlan107 proto kernel scope link src 192.168.107.1

А как у клиентов передается тэг VLAN?

[ult1mate]

shaazz: на филиалах пакеты без тэгов. тэги только на центральной антенне.
в пн попробую еще раз попробовать и nat включить

[ult1mate]

shaazz: на стенде Вы маршруты прописывали?

[shaazz]

Нет маршруты не прописывал, и так все заработало. Возможно, у тебя с филиала пакеты не тэгируются VLAN. Для теста, если есть возможность на филиале настроить управляемый свич на нужный VLAN и включить туда комп и антенну, либо на самом компе настроить VLAN через утилиты к сетевой карте.

[ult1mate]

shaazz: убрал маршруты, изменил айпи eth0 на адрес из другой сети - по прежнему максимум, что пингуется - это eth1. nat включал:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- верно?
провайдер говорит, что на удаленных антеннах нет тегов, есть ли смысл настраивать вланы на удаленных компах?

[shaazz]

нет, натить нужно интерфейс, который смотрит в твою локалку eth1
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

если тэгов нет - то не нужно

[ult1mate]

shaazz: хм, так я тоже пробовал

[ult1mate]

shaazz: может быть я какой-нибудь пакет не установил или что-то не подгружается после перезагрузки?
- vlans установил
- подгрузил 1 раз, в начале, 8021q
- вланы и интерфейсы прописаны в interfaces на автоматическое поднятие
- сохранил iptables-save >/etc/iptables.conf
- net.ipv4.ip_forward раскомментирован в /etc/sysctl.conf
- маршруты убрал, до eth1 добивается без них
вроде, все

[shaazz]

Может ты где-то напутал? Перепроверь сам, напиши последовательно что проверял.
Если не помогло, выдай с сервера

iptables -t nat -L -vnx
ip r

запусти пинг с PC филиала на сервер ПО и поснифай на сервере трафик tcpdump

tcpdump -i vlan107 -n (PC филиала - 192.168.107.10, сервер ПО - 192.168.0.10)
04:45:00.078910 IP 192.168.107.10 > 192.168.0.10: ICMP echo request, id 512, seq 50177, length 40
04:45:00.079064 IP 192.168.0.10 > 192.168.107.10: ICMP echo reply, id 512, seq 50177, length 40

tcpdump -i eth1 -n (eth1 - 192.168.0.100, сервер ПО - 192.168.0.10)
04:39:58.992172 IP 192.168.0.100 > 192.168.0.10: ICMP echo request, id 512, seq 38656, length 40
04:39:58.992364 IP 192.168.0.10 > 192.168.0.100: ICMP echo reply, id 512, seq 38656, length 40
здесь видно NAT, подмена 192.168.107.10 на 192.168.0.100

[shaazz]

>> - подгрузил 1 раз, в начале, 8021q
чтобы после перезагрузки работало
sudo su -c 'echo "8021q" >> /etc/modules'

[shaazz]

посмотреть статистику по VLAN интерфейсу

cat /proc/net/vlan/vlan107
vlan107 VID: 107 REORDER_HDR: 1 dev->priv_flags: 1
total frames received 5900
total bytes received 365647
Broadcast/Multicast Rcvd 0

total frames transmitted 6584
total bytes transmitted 454728
Device: eth0
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: