Объединение сегментов сети статическими маршрутами
Цель этого руководства — объяснить, как объединить разные сегменты сети (подсети) вместе, используя статические маршруты для пересылки трафика в нужную подсеть другого маршрутизатора. Не будем вдаваться в подробности подсетей в целом, хотя скажем, что использование подсетей имеет такие преимущества, как уменьшение сетевого трафика (меньше широковещательных кадров) и улучшение контроля доступа между узлами. Важно отметить, что связывание подсетей называется маршрутизацией, а используемые для этого интерфейсы не должны быть объединены в сетевой мост с любыми другими для правильной работы.
[edit] Создание подсетей
Существует множество способов создания подсетей в DD-WRT. По умолчанию только порт WAN не объединен в сетевой мост с другими интерфейсами, а коммутатор LAN (который является аппаратным мостом) и беспроводные интерфейсы объединены друг с другом программным обеспечением.
Способы создания дополнительных подсетей включают в себя:
- Задайте для беспроводного интерфейса значение «Unbridged», чтобы он не был объединен в сетевой мост с интерфейсами LAN коммутатора.
- Настройте VLAN, если коммутатор поддерживает их.
- Добавьте виртуальные интерфейсы к любому существующему интерфейсу, который может преодолеть аппаратные ограничения, такие как коммутаторы без поддержки VLAN.
[edit] Пример
Теперь предположим, что у вас есть три маршрутизатора Router1..3, соединенных вместе. Порт WAN маршрутизатора Router1 подключен к Интернету, что делает его шлюзом всей локальной сети, а маршрутизаторы Router2 и 3 имеют порты WAN, подключенные к портам LAN Router1. Маршрутизатор Router2 и/или 3 также может использовать режим клиента (Client mode) или повторителя (Repeater mode) (без сетевого моста!).
По умолчанию все эти маршрутизаторы будут работать в режиме маршрутизации ‘Gateway’ («Шлюз»), что означает, что они выполняют преобразование сетевых адресов (Network Address Translation, NAT), что делает компьютеры в подсети LAN невидимыми со стороны интерфейса WAN. Поскольку каждый маршрутизатор имеет интерфейс, подключенный к подсети 192.168.1.0/24, все они имеют маршруты к этой подсети. Однако маршрутизатор Router1 не имеет маршрута к 192.168.2.0/24 или 192.168.3.0/24, Router2 не имеет маршрута к 192.168.3.0/24, а Router3 не имеет маршрута к 192.168.2.0/24.
[edit] Настройка статических маршрутов
Для этой конкретной топологии только маршрутизатор Router1 должен быть настроен со статическими маршрутами, потому что у двух других есть маршруты по умолчанию, которые указывают им направлять трафик к Router1 для любой подсети, к которой у них явно нет маршрутов.
Статические маршруты настраиваются со следуюшими параметрами на странице Setup → Advanced Routing веб-интерфейса DD-WRT:
- Destination LAN NET — удаленная подсеть, для которой вы создаете маршрут.
- Subnet Mask — маска подсети удаленной подсети. Как правило, используется маска подсети класса C 255.255.255.0, которая в нотации CIDR равна /24, как показано на изображении выше.
- Gateway — адрес шлюза по умолчанию, который должен быть задан как IP-адрес следующего перехода к подсети назначения. В нашем случае это IP-адрес интерфейса WAN маршрутизаторов Router2 и Router3. В сетях с большим количеством устройств следующим переходом может не быть устройство, напрямую подключенное к целевой подсети, на пути к ней могут быть еще несколько сегментов сети с маршрутизаторами.
- Interface — это должен быть интерфейс, к которому подключен следующий переход. В нашем примере маршрутизаторы Router2 и Router3 подключены к интерфейсу LAN/WLAN (br0) маршрутизатора Router1.
Настройте маршрутизатор Router1 так, как указано на следующих изображениях:
С настроенными статическими маршрутами теперь можно безопасно отключить преобразование сетевых адресов NAT на маршрутизаторах Router2 и Router3, переключив их режим работы Operating Mode с «Gateway» на «Router» на странице Setup → Advanced Routing веб-интерфейса.
Также понадобится использовать команды Iptables, чтобы разрешить трафик через брандмауэры маршрутизаторов Router2 и Router3, чтобы обеспечить полноценную связь между подсетями. Команды Iptables необходимо сохранить в сценарии брандмауэра (firewall script) на странице Administration → Commands веб-интерфейса. Вот несколько примеров того, как это можно сделать:
[edit] Готово
Если вы всё сделали правильно — настроили маршруты и брандмауэры, то теперь устройства в разных сегментах сети смогут общаться друг с другом, не полагаясь на мостовые соединения. Если на компьютерах сети установлены программные брандмауэры, возможно, нужно будет их настроить или отключить, чтобы разрешить подключения из других подсетей.
Если вы хотите, чтобы компьютеры отображались в сетевом окружении Windows, необходимо настроить сервер WINS и настроить DHCP-сервер для объявления сервера WINS.
Объединение двух ЛВС через MikroTik.
Это описание немного сокращено в 2021г чтоб акцентировать внимание на рассматриваемой теме.
Есть роутер микротик и две ЛВС. Выполним настройки так, чтоб компьютеры обменивались пакетами на сетевом уровне и имели доступ в Интернет.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Использован MikroTik RB750Gr3 с прошивкой 6.49.
В разъем №1 подключаем провод от внешней сети (Интернет).
В разъем №2 подключаем провод от коммутатора ЛВС 8.
В разъем №3 подключаем провод от коммутатора ЛВС 9.
В сетевых адаптерах компьютеров сетей установлено получение IP-адреса по DHCP.
Внешний IP-адрес для выхода в Интернет прилетает так же по DHCP.
1.Подключение к роутеру, сброс конфигурации.
Подключаемся через WinBox по MAC-адресу.
Сбрасываем конфигурацию роутера на пустую (blank).
No Default Configuration — не оставлять дефолтную конфигурацию;
Do Not Backup — не делать резервную копию перед сбросом конфигурации.
Через командную строку терминала.
. Следует помнить, что удаляя базовые настройки, удалятся параметры безопасности. Если роутер будет работать шлюзом в Интернет необходимо настроить параметры безопасности (интерфейсы доступа, учетные записи, фильтры и прочие настройки).
Подключаемся к роутеру еще раз по MAC-адресу.
2.Назначение адресации для портов (LAN).
Для порта ether2 назначим IP-адрес 192.168.8.1
Для порта ether3 назначим IP-адрес 192.168.9.1
Каждый порт будет «смотреть» в свою сеть.
IP >> Addresses >> Нажимаем синий плюс >> В окне New Address вводим параметры:
Как связать компьютеры в разных подсетях?
PS А почему на «роутерах»? Роутер же один, который в интернет все остальные компьютеры выпускает.
fdroid, принцип описан в статье, которую я вам линканул.
Маршрутизатор смотрит циферки IP назначения и сверившись с таблицей внутри себя отправляет пакет в нужный порт. Это утрируя до примитивизма.
fdroid, есть два диапазона адресов. Чтобы пакеты могли ходить между ними — нужно устройство, в которое будут одновременно воткнуты кабели из этих сетей и умеющее передавать пакеты с одного своего порта в другой в соответствии с таблицей маршрутизации, где нужно сказать — какой диапазон по какому кабелю находится. Для этого у устройства на соответствующих интерфейсах должны быть адреса из обоих диапазонов, которые на конечных устройствах указаны в качестве шлюза либо по умолчанию, либо только для конкретных подсетей.
Как реализуется на практике — отлично рассказано в «сетях для самых маленьких».
TP-Link 841 Жесть )))
На сайте есть симулятор .
Список статических маршрутов .
Но я не уверен что можно объединить подсети )))
TL-R470T+ вот на таком может и получиться . и то под вопросом.
для начала нужна схема сети. На бумажке. Где вы нарисуете — что у вас есть и что куда включено.
Сразу — если у вас есть один роутер подключенный к провайдеру интернета, за ним серая сеть и есть второй роутер, подключенный к провайдеру (может даже тому же, но значения не имеет) и за ним другая сеть и вы хотите связать эти две сети между собой — только настройкой маршрутизации не обойдетесь.
Для начала — чтобы настраивать маршрутизацию в сети — вся сеть должна быть под вашим контролем.
Так что рисуйте, что вы хотите получить — тогда может и ответы будут более конкретные.
Как объединить две сети с разными ip в одну
Если вам надо всеголишь объединить сети то достаточно оба линка из разных сетей соединить хоть хабом и на всех узлах сети выставить маску 255.255.0.0, если же вам надо сохранить сегменты тогда вам неообхдим роутер, это может быть как железка так и комьютер с двумя сетевыми картами. В любом из вариантов возможно подключить сеть 192.168.30.0 разница лишь в том что в первом случае надо поменять на всех узлах маску а во втором добавить третью сетевую карту в компьютер или настроить третий порт на роутере.
P.S. Прежде чем заниматься подобным было бы неплохо почитать основы TCP/IP
| Цитата |
|---|
| Kalashmat пишет: комьютер с двумя сетевыми картами |
| Цитата |
|---|
| Kalashmat пишет: добавить третью сетевую карту |
| Цитата |
|---|
| Michael пишет: ну вообще-то, одной сетевой карты вполне достаточно. просто нужно прописать ее в несколько подсетей |
| Цитата |
|---|
| Если вам надо всеголишь объединить сети то достаточно оба линка из разных сетей соединить хоть хабом и на всех узлах сети выставить маску 255.255.0.0, если же вам надо сохранить сегменты тогда вам неообхдим роутер, это может быть как железка так и комьютер с двумя сетевыми картами. В любом из вариантов возможно подключить сеть 192.168.30.0 разница лишь в том что в первом случае надо поменять на всех узлах маску а во втором добавить третью сетевую карту в компьютер или настроить третий порт на роутере. |
| Цитата |
|---|
| BillyG пишет: Простите, конечно, за ламмерство, но что в данном случае вы понимаете под узлами? Все сетевые устройства? |
| Цитата |
|---|
| Kalashmat пишет: ИМХО так совершенно не секьюрно, предположим стоит свичи в него воткнуты два компа «A» 192.168.1.2 и «B» 192.168.2.2 и туда же воткнут софтверный роутер «C» с интерфейсом 192.168.1.1 и алиасом 192.168.2.1, так вот сидя на компе «A» и поменяв ip адрес на 192.168.2.3 я увижу компьютер «B» напрямую, а также если я поставлю его ip адрес то начну мешать ему нормально работать. В чем тогда логика? |
| Цитата |
|---|
| Michael пишет: с тем же успехом ты можешь мешать кому-нибудь работать из своей подсети вне зависимости от кол-ва сетевых адаптеров на роутере. |
Это интересно как? Ну возьмешь ты IP из другого сегмента один черт тебя роутер не пропустит ибо на его интерфейсе совершенно другая подсеть, а хост с оригинальным IP в пределах своей сети будет прекрасно работать.
| Цитата |
|---|
| Michael пишет: мне показалось, вопрошающему нужно было наиболее простое решение, а дляэтого достаточно 1й сетевой карточки |
Самый простой (дешевенький и эффективный) имхо способ — седлать софтверный шлюз (на слабом железе — от 100 MHz, оперативки бы побольше — 128М, но и 64 сойдет) под *nix. Убиваешь сразу много зайцев — и сети объединяешь, и файер, и петлю разрываешь.
Разрываешь с помощью Iptables — запрещаешь хождение пакетов между нужными сетевыми одного шлюза.
| Цитата |
|---|
| Joni-lover пишет: на этом варианте поподробнее |
| Цитата |
|---|
| Joni-lover пишет: если мы меняем маску подсети , то мы выйдем из положения , или нет. |
| Цитата |
|---|
| Jul_i пишет: Самый простой (дешевенький и эффективный). |
Не проще ли «железку» поставить? Места меньше занимать будет, эл. питание, шум. Да и в настройке, наверное, по-проще?
P.S. Просто сам недавно настраивал софтверный шлюз. Теперь мне до конца месяца секса не надо
Причем, сразу за ним стоит аппаратный adsl-роутер. Софтверный шлюз ставил для подсчета трафика.
Угу. Насколько я понимаю, компы каждой сети с и т.д. воткунты в свой хаб/свитч. Чтобы их соединить, бери еще один компьютер-роутер под линукс с тремя сетевыми, каждая смотрит в свою подсеть.
Требования к роутеру. К быстродействию не требователен. 100 или 133 МГц хватит. Памяти желательно бы побольше, но и 64М сойдет. Винчестер 10Га мин, если логи почаще чистить. На сетевых можно экономить (если сеть небольшая), но без фанатизма — лучше на каждую подсеть отдельную.
Прописываешь на каждой из трех сетевых IP из соответствующих подсетей — например 192.168.10.1, 192.168.20.1 и т.д. включаешь IP-forwarding. И все, если бы не было петли.
Как разорвать петлю:
Есть программа Iptables. В соверменных дистрибутивах она ставится по умолчанию, в более старых – ipchains, он зачем же отставать от жизни. http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#AEN25
Ставишь в автозагрузку скрипт вида
#!/bin/bash
iptables -t filter -A FORWARD -s 192.168.10.0/24 -d !192.168.20.0/24 -j DROP
iptables -t filter -A FORWARD -s 192.168.20.0/24 -d !192.168.10.0/24 -j DROP
#ну там еще столько подсетей, сколько нужно
exit 0
(s – источник, d – назначение, ! – «не»). Скрипт разрешает общение между подсетями и запрещает попадание пакетов из одной подсети через роутер и другую подсеть к провайдеру по петле (политика по умолчанию – «разрешить все» – файер нам не нужен – это – забота шлюзов, который смотрят во внешнюю сеть).
И все. Вроде никто не забыт, ничто не забыто
| Цитата |
|---|
| LcL пишет: Теперь мне до конца месяца секса не надо |
Упс! Таки забыто. Самое главное — маскарадинг. Без него никто никого не увидит
#!/bin/bash
#Чтобы сеть 192.168.10.0 увидела сеть 192.168.20.0
iptables -t nat -A POSTROUTING -s 192.168.10.1 -d 192.168.20.0/24 -j SNAT —to-source 192.168.20.1
#Чтобы сеть 192.168.20.0 увидела сеть 192.168.10.0
iptables -t nat -A POSTROUTING -s 192.168.20.1 -d 192.168.20.0/24 -j SNAT —to-source 192.168.10.1
#если есть другие сети, задать эти правила попарно, чтобы все со всеми
exit 0