Форум StopLinux
- Темы: Активные | Без ответа
Объявление
#1 17-08-11 23:07:01
- Гареев Станислав
- Вижуалкибергоп
- Из Пятигорск
- Зарегистрирован: 24-07-10
- Сообщений: 3,103
- Сайт
Сеть которую не поднять
Есть такая задумка.
Множество локалок по всему миру связанных VPN туннелями, лучше не спрашивайте для чего это мне нужно, вам не понять.
Внутри локалки я ясен пень решил использовать диапазон 192.168.255.255/16
Для VPN подсети 10.255.255.255/24
Вроде бы всё понятно, но при проектировании сети такого масштаба вылезают вопросы настройки маршрутизации, а это адская работа и моей квалификации для этого не хватает. К тому же я не знаю до конца как всё это сделать, когда воображаю возможные таблицы маршрутизации исчезает желание что либо делать.
Подумал я и решил. Что если использовать IP v6. Как я понял 128 бит там не сколько для увеличения диапазона. А сколько для удобства маршрутизации.
Если есть действительно IT специалисты сетевеки, поясните мне в чём я ошибаюсь и как реализовать роутинг в такой сети.
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
#2 18-08-11 07:17:34
- Rector
- ректор Захаров
- Зарегистрирован: 07-03-10
- Сообщений: 1,584
Re: Сеть которую не поднять
Множество локалок по всему миру связанных VPN туннелями, лучше не спрашивайте для чего это мне нужно, вам не понять.
Ну если нам не понять, тогда тебе никто не поможет -) А может ты ботнет мутишь? Тогда это будет вот так;
) Ладно, шутки в сторону. Если серьёзно, то одна из типовых схем ниже.
Все смалл-роутеры имеют внешние айпи-адреса и корневой роутер тоже. Виртуальные каналы IPsec. Это позволит прозрачно собрать все территориально распределенные подсети в единую сеть. Если всё будешь поднимать на Linux, то особых настроек маршрутизации не требуется, так, пару строк в конфиге. Собственно на Cisco это поднимается тоже легко. Но я сомневаюсь что в Cisco IOS ты знаешь даже пару команд, так что делай на чем привычней -)
Винда - это ведро с тухлыми червями. (с) Rector
---
-хакир недоучка, некто Ректор, прославленный мудак из мухосранска, автор «Я этого не потерплю» и «Cмотри,а то я начну работать против тебя» «Ломаю по IP недорого» и других не менее веселых выражений. Любитель подсматривать в замочную скважину и читать чужую почту. (c) Неизвестный техник из лаборатории
Неактивен
#3 18-08-11 09:57:17
- Гареев Станислав
- Вижуалкибергоп
- Из Пятигорск
- Зарегистрирован: 24-07-10
- Сообщений: 3,103
- Сайт
Re: Сеть которую не поднять
А может ты ботнет мутишь?
Нет, сеть вообще для общения и wi-fi роуминга.
Погуглил я немного.
Не совсем то о чём я думал. Сеть ведь должна быть децентрализованной и каждый узел должен быть связан со всеми.
То есть без корневого маршрутизатора.
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
#4 18-08-11 10:36:41
- Rector
- ректор Захаров
- Зарегистрирован: 07-03-10
- Сообщений: 1,584
Re: Сеть которую не поднять
Рассказывай что ты хочешь от этой сети. А так на пальцах, ничего не выйдет.
Винда - это ведро с тухлыми червями. (с) Rector
---
-хакир недоучка, некто Ректор, прославленный мудак из мухосранска, автор «Я этого не потерплю» и «Cмотри,а то я начну работать против тебя» «Ломаю по IP недорого» и других не менее веселых выражений. Любитель подсматривать в замочную скважину и читать чужую почту. (c) Неизвестный техник из лаборатории
Неактивен
#5 18-08-11 13:40:12
- Гареев Станислав
- Вижуалкибергоп
- Из Пятигорск
- Зарегистрирован: 24-07-10
- Сообщений: 3,103
- Сайт
Re: Сеть которую не поднять
Рассказывай что ты хочешь от этой сети. А так на пальцах, ничего не выйдет.
В общем будут местные локалки с упором на беспроводной сегмент (жалко в Есентуках нельзя, там особый режим из за радара). В каждой локалке небольшое сервачок-шлюз-vpn и роуминг типа:
Несколько друзей поставили точки беспроводного доступа в нескольких домах и соеденили их в один сегмент, следовательно смартфон каждого из этих друзей в доме каждого из них будет иметь доступ к интернетам.
Далее куча таких сетей (сегментов) через шлюзы объединяется между собой (широковещательные пакеты нафиг естественно). Таким образом попав в чужую сеть и авторизовавшись на её сервере, получаешь доступ к интернетам, а так же к ресурсам своей сети.
Нарисовал не очень, просто потому что детали ещё и знаю.
В общем вопросы в том какие всё же маски подсетей выбрать и как обойтись без центрального сервера.
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
#6 19-08-11 04:45:28
Re: Сеть которую не поднять
Какая прелесть, цкайнед в бане, никто Стасяна не троллит :-) :-) :-) камрад, если у тебя сеть А класса 10.0.0.0 с маской 255.255.255.0 то ты пишешь 10.0.0.0/8, т.к. 24 это сеть В класса. По маскам можешь меня пинать, я циско делаю :-) добавь мой джаббер се.
З.Ы. Станислав, тут деловое предложение к тебе - ты убираешь с форума всех клоунов и прочий хлам + больше его не постишь, а мы, с модераторским составом, 'тебя крышуем' от троллей. Договор?))
MOP3E, ты со мной за восстановление мира и порядка на форуме?))
Интеллигент боится лишь одного — касаться темы зла и его корней, потому что справедливо полагает, что здесь его могут сразу выeбaть телеграфным столбом.©
Неактивен
#7 19-08-11 07:31:59
- Rector
- ректор Захаров
- Зарегистрирован: 07-03-10
- Сообщений: 1,584
Re: Сеть которую не поднять
ОК! Я понял тебя. Вот смотри на схему....
Как видно из схемы, провайдеры бывают разные, в том числе, которые строят так называемые "гавносети" -))) И айпи адреса они могут выбирать произвольно из диапазона частных адресов, типа 10.х.х.х, 192.168.x.x, 172.x.x.x и ничего ты с ними не сделаешь. Вообщем, для построения сети которую ты хочешь, без гемора не обойтись -) Но в любом случае, необходимо выполнить главное условие - VPN-серверы должны иметь реальные адреса. Второе условие, но трудно выполнимое - айпи-адреса в виртуальных каналах не должны пересекаться с адресами в локальных сетях провайдеров. Частично эту проблему можно решить проведя сравнительный анализ диапазонов айпи провайдеров и выбрать точки наименьшего пересечения, а также разрулить маршрутами.
Но если это всё на уровне пионерской сети -
Несколько друзей поставили точки беспроводного доступа в нескольких домах и соеденили их в один сегмент
тогда айпи-адреса можно согласовать, а ещё лучше сделать сеть по схеме с корневым роутером.
Винда - это ведро с тухлыми червями. (с) Rector
---
-хакир недоучка, некто Ректор, прославленный мудак из мухосранска, автор «Я этого не потерплю» и «Cмотри,а то я начну работать против тебя» «Ломаю по IP недорого» и других не менее веселых выражений. Любитель подсматривать в замочную скважину и читать чужую почту. (c) Неизвестный техник из лаборатории
Неактивен
#8 19-08-11 20:10:55
- Гареев Станислав
- Вижуалкибергоп
- Из Пятигорск
- Зарегистрирован: 24-07-10
- Сообщений: 3,103
- Сайт
Re: Сеть которую не поднять
ОК! Я понял тебя. Вот смотри на схему....
Ну очень близко к тому что бы мне хотелось. Просто есть такая хрень.
65530 сетей (по всему миру) , по 250 клиентских компьютеров в каждой их них.
Гость в каждой из таких сетей получит типа IP 192.168.0.0
Если он соедениться по VPN с 192.168.0.1 то получит адрес из диапазона 10.0.0.0
Вот поэтому я и думаю что стоит использовать IP v6 дабы не пересекаться.
Нахрена такие заморочки? Безлимитный доступ в интернет всё равно через провайдера. Всего-навсего нужно получить у него белый IP и спокойно шлюзоваться с этого адреса. Главное - маршруты корректно задать.
Нужно в общем что бы все эти пионер-сети были шифрованными каналами соединены между собой + роуминг с интернет доступом.
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
#9 19-08-11 21:12:49
- Waschbar
- Недобитый Енот
- Из Defaultcity
- Зарегистрирован: 15-07-10
- Сообщений: 114
Re: Сеть которую не поднять
И айпи адреса они могут выбирать произвольно из диапазона частных адресов, типа 10.х.х.х, 192.168.x.x, 172.x.x.x и ничего ты с ними не сделаешь.
А не 10.х.х.х, 192.168.0.x, 172.16.x.x ?
65530 сетей (по всему миру) , по 250 клиентских компьютеров в каждой их них
Надо быть скромнее. 8189 сетей по 253 в каждой. Причем все находятся в чрезвычайно огромной тугодумной локалке и инета как такового нет ни у кого.
Если он соедениться по VPN с 192.168.0.1 то получит адрес из диапазона 10.0.0.0
Может лучше он соединится с 10.0.0.1 и получит айпи вида 10.*.*.*?
Вот поэтому я и думаю что стоит использовать IP v6 дабы не пересекаться.
А может лучше дождаться пока провайдер не начнет раздавать шестые айпишники за бесплатно? Тотчас наступит коммунизьм.
А всех кто будет в локалках раздавать 192.168.5/24 забанят за спуфинг.
Неактивен
#10 19-08-11 21:21:29
- Гареев Станислав
- Вижуалкибергоп
- Из Пятигорск
- Зарегистрирован: 24-07-10
- Сообщений: 3,103
- Сайт
Re: Сеть которую не поднять
А может лучше дождаться пока провайдер не начнет раздавать шестые айпишники за бесплатно? Тотчас наступит коммунизьм.
Не а, ждать не охото.
В общем пока надумал примерно так. Раздавать локалки 192.168.0.0 или 192.168.1.0.
А вот внутри VPN сети, должны ходить IP v6 пакеты.
Подскажите диапазоны IP v6 для локалок и с чем там едят роутинг и адресацию.
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
#11 19-08-11 21:36:35
- Waschbar
- Недобитый Енот
- Из Defaultcity
- Зарегистрирован: 15-07-10
- Сообщений: 114
Re: Сеть которую не поднять
В общем пока надумал примерно так. Раздавать локалки 192.168.0.0 или 192.168.1.0
Мысель была что можно создать локалку 10.*.*.* с подлокалками 10.1.*.* 10.2.*.* и т.д но.... есть одно НО. Вышеупомянутые провайдеры с говносетями, где сначала абонент цепляется к локалке вида 10.*.*.* а к интернету цепляется по VPN все как один используют сети класса А то бишь 10. и т.д. То есть сразу вся затея накрывается медным тазом.
Тот же некночиупомянутый быдлайн просто не пускает в сеть, если не снята галка с IPV6.
А вопще, Вы, Станислав, пытаетесь создать интернет на базе интернета. Есть ли в этом смысл?
Вот я например щас могу цепануться к нашему офису удаленно по VPN, но при этом у меня становится недоступен интернет.
Может будет проще всем людям земли договориться и не ставить паролей на вайфай? Идешь по городу - везде халявный интернет.
Редактировался Waschbar (19-08-11 21:44:36)
Неактивен
#12 19-08-11 21:45:28
- Гареев Станислав
- Вижуалкибергоп
- Из Пятигорск
- Зарегистрирован: 24-07-10
- Сообщений: 3,103
- Сайт
Re: Сеть которую не поднять
А вопще, Вы, Станислав, пытаетесь создать интернет на базе интернета. Есть ли в этом смысл?
Типа того. Но тут важнее социальный фактор, не пытайся понять.
Тот же некночиупомянутый быдлайн просто не пускает в сеть, если не снята галка с IPV6.
На одном интерфейсе включить, на другом выключить.
Может будет проще всем людям земли договориться и не ставить паролей на вайфай? Идешь по городу - везде халявный интернет.
Нет, смысл в том что группы людей которые скидываются на интернет, объединяются в большую и защищённую сеть.
Шлюз имеет подключение к интернету, к локалке и к VPN...
Вот я например щас могу цепануться к нашему офису удаленно по VPN, но при этом у меня становится недоступен интернет.
Надеюсь VPN не маршрут по умолчанию?
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
#13 19-08-11 21:57:31
- Waschbar
- Недобитый Енот
- Из Defaultcity
- Зарегистрирован: 15-07-10
- Сообщений: 114
Re: Сеть которую не поднять
Надеюсь VPN не маршрут по умолчанию?
Нет, это у всех так. Это написано даже в памятке сотрудника. Что как только вы подключаетесь удаленно у вас становится недоступен интернет.
Неактивен
#14 19-08-11 22:04:27
- Rorschach
- Еще один Великий Человек
- Из прошлого
- Зарегистрирован: 04-05-10
- Сообщений: 7,401
Re: Сеть которую не поднять
Нет, смысл в том что группы людей которые скидываются на интернет, объединяются в большую и защищённую сеть.
facepalm.jpg. Beeline WiFi. не?
Неактивен
#15 19-08-11 22:05:37
- Гареев Станислав
- Вижуалкибергоп
- Из Пятигорск
- Зарегистрирован: 24-07-10
- Сообщений: 3,103
- Сайт
Re: Сеть которую не поднять
Нет, это у всех так. Это написано даже в памятке сотрудника. Что как только вы подключаетесь удаленно у вас становится недоступен интернет.
Кстати, я когда делал VPN шлюз (в интернет) , у меня диапазон выдаваемый VPN сервером совпадал с диапазоном локалки. И всё как ни странно работало.
Хотя я понял в чём дело, дело в адресе шлюза.
Можешь скинуть таблицу маршрутизации свою которя во время подключения к VPN рабочему?
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
#16 19-08-11 22:38:38
- Waschbar
- Недобитый Енот
- Из Defaultcity
- Зарегистрирован: 15-07-10
- Сообщений: 114
Re: Сеть которую не поднять
Можешь скинуть таблицу маршрутизации свою которя во время подключения к VPN рабочему?
C:\Users\****>route print
===========================================================================
Список интерфейсов
38...........................VPN-подключение
20...e0 2a 83 fd 77 2c ......Microsoft Virtual WiFi Miniport Adapter
14...e0 2a 83 fd 77 2c ......Broadcom 4313 802.11b/g/n
10...64 31 58 13 76 d9 ......Realtek PCIe GBE Family Controller
1...........................Software Loopback Interface 1
19...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
11...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.100 4245
0.0.0.0 0.0.0.0 On-link 192.168.18.103 21
77.246.***.4 255.255.255.255 192.168.0.1 192.168.0.100 4246
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
192.168.0.0 255.255.255.0 On-link 192.168.0.100 4501
192.168.0.100 255.255.255.255 On-link 192.168.0.100 4501
192.168.0.255 255.255.255.255 On-link 192.168.0.100 4501
192.168.18.103 255.255.255.255 On-link 192.168.18.103 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
224.0.0.0 240.0.0.0 On-link 192.168.0.100 4502
224.0.0.0 240.0.0.0 On-link 192.168.18.103 21
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
255.255.255.255 255.255.255.255 On-link 192.168.0.100 4501
255.255.255.255 255.255.255.255 On-link 192.168.18.103 276
===========================================================================
Постоянные маршруты:
Отсутствует
IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует
Неактивен
#17 19-08-11 22:50:42
- Гареев Станислав
- Вижуалкибергоп
- Из Пятигорск
- Зарегистрирован: 24-07-10
- Сообщений: 3,103
- Сайт
Re: Сеть которую не поднять
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.100 4245
0.0.0.0 0.0.0.0 On-link 192.168.18.103 21
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
255.255.255.255 255.255.255.255 On-link 192.168.0.100 4501
255.255.255.255 255.255.255.255 On-link 192.168.18.103 276
Очевидно
192.168.0.100 - это интрфейс в локалку, а 192.168.18.103 это VPN?
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
#18 19-08-11 22:57:13
- Waschbar
- Недобитый Енот
- Из Defaultcity
- Зарегистрирован: 15-07-10
- Сообщений: 114
Re: Сеть которую не поднять
192.168.0.100 - это интрфейс в локалку, а 192.168.18.103 это VPN?
Да. 192.168.0.100 - мой адрес на дилинке моем, а 18.103 - випиэн. Причем я точно помню что в конторе все айпишники на 10 начинаются.
И это я не на свой комп заходил а на сервер. Комп выключен - я с понедельника в отпуске.
Неактивен
#19 19-08-11 23:05:36
- Гареев Станислав
- Вижуалкибергоп
- Из Пятигорск
- Зарегистрирован: 24-07-10
- Сообщений: 3,103
- Сайт
Re: Сеть которую не поднять
Попробуй когда создаёшь VPN соединение (блин, уже не помню как в винде) сделать его не маршрутом по умолчанию.
Учитывая что диапазоны в общем не пересекаются, наверное можно сделать нормальную маршрутизацию.
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
#20 19-08-11 23:19:45
- Waschbar
- Недобитый Енот
- Из Defaultcity
- Зарегистрирован: 15-07-10
- Сообщений: 114
Re: Сеть которую не поднять
Попробуй когда создаёшь VPN соединение (блин, уже не помню как в винде) сделать его не маршрутом по умолчанию.
Пишет что подключено. Пи этом есть интернет, но не видно сервера. Вот так вот.
Неактивен
#21 19-08-11 23:45:28
- Гареев Станислав
- Вижуалкибергоп
- Из Пятигорск
- Зарегистрирован: 24-07-10
- Сообщений: 3,103
- Сайт
Re: Сеть которую не поднять
Пишет что подключено. Пи этом есть интернет, но не видно сервера. Вот так вот.
А если к серверу отдельно маршрут прописать?
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
#22 19-08-11 23:58:54
- Waschbar
- Недобитый Енот
- Из Defaultcity
- Зарегистрирован: 15-07-10
- Сообщений: 114
Re: Сеть которую не поднять
А если к серверу отдельно маршрут прописать?
Станислав, тут такое дело.... у нас парни у которых CCIE есть сидят удаленно без инета и не булькают. То есть подключился к удаленному - с него и интернет.
Видимо в этом есть какой-то смысл.
Неактивен
#23 20-08-11 00:12:32
- Гареев Станислав
- Вижуалкибергоп
- Из Пятигорск
- Зарегистрирован: 24-07-10
- Сообщений: 3,103
- Сайт
Re: Сеть которую не поднять
Станислав, тут такое дело.... у нас парни у которых CCIE есть сидят удаленно без инета и не булькают. То есть подключился к удаленному - с него и интернет.
Видимо в этом есть какой-то смысл.
Смысл есть, такой же как и в "элитном" прокси.
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
✅ Выделенные от 3000 ₽/месяц. RAM 4-64GB, DISK до 4TB;
✅ Intel Xeon, SSD, XEN, iLO/KVM, Windows/Linux, Администрирование;
✅ Бесплатно Full Backup и Anti-DDoS.