Как на роутере настроить статический MAC для шлюза? (речь не о опции клонировать MAC)?

Question

[GBIT]

Объясню подробнее: статическая натройка WAN порта, нужно создать связку IP - MAC для шлюза роутера. По сути на компьютере это ARP запись.
Вопрос относится к дешевым моделькам роутеров. Ну для прикидки <3000 р. Т.к. приходится работать только с ними. Дорогие модели в руках не держал.
В частности, хочется настроить домашние DIR 300, и около того D-Link; всякие Keenetic Lite от ZyXEL; Netgear ... и т.п.

Comments

[GBIT]

история такая,
есть сеть. В ней есть шлюз. На шлюзе 2 интерфейса. На 1й DHCP раздал IP. На 2м прописан статический IP. MAC соответственно этих интерфейсов разные. Шлюз поднят на Debian.
Так вот для WAN порта настраиваемого роутера шлюзом является 2й интерфейс. Настраиваем статический IP на роутер, шлюз, все работает.
Все бы хорошо, НО. Иногда роутер начинает слать пакеты на 1й интерфейс. И тогда соответственно клиенты роутера никуда дальше шлюза не попадают. Однозначно проблема именно в этом т.к. та же сама ситуация на рабочей машине разрешается ARP связкой.
Извиняюсь за длинный комментарий.

Answer 1

[kolupalkin]

в настройках DIR 300 на wanпорте есть опция клон мака или можно вбить руками нужный тебе мак

Comments

[GBIT]

Нет. Вы говорите о MAC адресе на WAN порт роутера.
А я спрашивал о том как настроить чтобы пакеты с этого WAN порта шли на строго определенный IP (это решается статической настройкой шлюза) + строго определенный MAC (вот где это прописать я не знаю)

[kolupalkin]

DMZ ?

[Александр Карабанов]

Не не так это решается. Это решается настройкой фаирвола. Добавлением статической записи в ARP-кэш на вашем роутере этого не решить.

Расскажите подробнее, что в итоге должно получиться? Компьютеры из локалки за роутером (подключенные в LAN порты этого роутера) должны ходить на строго определённый IP и ни ни какие иные?

[GBIT]

@oia опять не то.
@karabanov
история такая,
есть сеть. В ней есть шлюз. На шлюзе 2 интерфейса. На 1й DHCP раздал IP. На 2м прописан статический IP. MAC соответственно этих интерфейсов разные. Шлюз поднят на Debian.
Так вот для WAN порта настраиваемого роутера шлюзом является 2й интерфейс. Настраиваем статический IP на роутер, шлюз, все работает.
Все бы хорошо, НО. Иногда роутер начинает слать пакеты на 1й интерфейс. И тогда соответственно клиенты роутера никуда дальше шлюза не попадают. Однозначно проблема именно в этом т.к. та же сама ситуация на рабочей машине разрешается ARP связкой.
Извиняюсь за длинный комментарий.
ps на всякий случай добавлю его в вопрос, чтобы было понятнее людям.

[Александр Карабанов]

Из какой подсети выдаются IP по DHCP на первый интерфейс.
Из какой подсети прописан IP на втором интерфейсе.
Какой IP прописан на роутере на WAN порту.
Так шлюз это не роутер DIR-300, а полноценная машина на GNU/Linux?

[GBIT]

10.0.0.1/24
192.168.1.1/24
192.168.1.100
да именно так.
вот для наглядности схема
i065.radikal.ru/1402/d2/9c959809fe26.jpg

[Александр Карабанов]

Маркируйте пакеты и настраивайте роутинг на машине с GNU/Linux, примерно так: Используем 2+ провайдера

[GBIT]

@karabanov спасибо! Было дело как-то парился с балансировкой нагрузки на 2 провайдера, но не слишком успешное решение вышло.
настройками роутера не решить проблему?
Желание крутить настройки на машине, очевидно, не велико :)

[Александр Карабанов]

НО. Иногда роутер начинает слать пакеты на 1й интерфейс. И тогда соответственно клиенты роутера никуда дальше шлюза не попадают.

А, как роутер DIR-300 может слать пакеты на 10.0.0.1 если на нём жестко прописаны настройки и в качестве шлюза используется 192.168.1.1?

Однозначно проблема именно в этом т.к. та же сама ситуация на рабочей машине разрешается ARP связкой.

Эта машина подключена в свичь или в роутер DIR-300?

[GBIT]

@karabanov

А, как роутер DIR-300 может слать пакеты на 10.0.0.1 если на нём жестко прописаны настройки и в качестве шлюза используется 192.168.1.1?

такая история получается, что если из Шлюза выдернуть один кабель, который на 192.168.1.1, то интерфейс 10.0.0.2 подхватывает второй ip адрес и забирает этот трафик, а вот почему не обрабатывает.. возможно по тому, что в настройках iptables накрутили (настраивал не я). Так вот время от времени динамические ARP таблицы обновляются и интерфейс 192.168.1.1 уже имеет MAC от интерфейса 10.0.02.

Эта машина подключена в свичь или в роутер DIR-300?

в свичь. иначе не логично получается. именно в свичь.

[Александр Карабанов]

@GBIT, покажите, что выводит команда cat /etc/network/interfaces /etc/network/interfaces (прям интересно стало)

PS
Вы "сами себе злобные буратины", зря вы такое намутили. Или найдите где-то управляемый свичь и раскидайте машины по виланам, а на машине с GNU/Linux организуйте интервилан-роутинг и будет все тип-топ :)

[Александр Карабанов]

D-Link DES-1100-16 или D-Link DES-1100-24 убогие свичи, но умеют виланы (правда штук 30 только).

Если совсем все плохо, то дотяните кабель от роутера к машине на GNU/Linux или этот срастите.

Я не спорю, так как вы делаете сделать можно, но песок в пустыне тоже можно продавать, только ведь никто не делает этого. Не правильно это.

[GBIT]

@karabanov

root@gateway:~# cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth1
iface eth1 inet dhcp

auto eth0
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

post-up /etc/nat-up

скорее всего вас заинтересует теперь /etc/nat-up

я соглашусь, что наверное тут не грамотно настроено, но я только принялся работать с системой.
да и опыт честно скажу пока по сути нулевой.

а вот по поводу нового оборудования и изменений в топологии, скажу, что точек доступа >1 и ставить оборудование нет возможности в силу определенных причин.

[Александр Карабанов]

@GBIT, ога, покажите /etc/nat-up

[GBIT]

@karabanov,

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.1.0/24 --match state ! --state  INVALID -j ACCEPT
iptables -A INPUT ! -s 192.168.1.0/24 --match state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

/etc/init.d/pdnsd start

iptables -t mangle -A PREROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j TTL --ttl-set 64

iptables -t mangle -A POSTROUTING -s 10.0.0.0/255.255.255.0 -j MARK --set-mark 999
iptables -t mangle -A POSTROUTING -s 10.0.0.0/255.255.255.0 -j RETURN


а далее на каждый IP свое правило

iptables -A FORWARD -i eth0 -s 192.168.1.2 --match state ! --state INVALID -j ACCEPT
iptables -t mangle -A POSTROUTING -d 192.168.1.2 -j MARK --set-mark 2
iptables -t mangle -A POSTROUTING -d 192.168.1.2 -j RETURN

iptables -A FORWARD -i eth0 -s 192.168.1.3 --match state ! --state INVALID -j ACCEPT
iptables -t mangle -A POSTROUTING -d 192.168.1.3 -j MARK --set-mark 3
iptables -t mangle -A POSTROUTING -d 192.168.1.3 -j RETURN

...

iptables -t nat -A POSTROUTING ! -d 192.168.1.0/24 -j MASQUERADE

iptables -t nat -A PREROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.1:#port#

[GBIT]

адреса во всей этой истории заменяны, ну так, чтобы дышалось спокойнее.
настраивалось по мануалам всего инета, так что вполне возможны не корректные места.

[Александр Карабанов]

Вот в этом правиле явно укажите интерфайс с которого должны уходить пакеты

iptables -t nat -A POSTROUTING ! -d 192.168.1.0/24 -j MASQUERADE

Вроде опция -o за это отвечает, но точно не помню.

такая история получается, что если из Шлюза выдернуть один кабель,

Но зачем вы выдёргиваете кабель?