Conecte duas sub-redes no roteador baseado em busybox

Question

Conecte duas sub-redes no roteador baseado em busybox

#1 resposta do (1 votos)
#2 resposta do (0 votos)

1

Eu tenho a seguinte topologia de rede, eu tentei ilustrar, então me perdoe por más habilidades de pintura.

Eu quero poder me comunicar de 10.0.0.0/24 network para 192.168.1.0/28 porque quero configurar uma máquina de log como uma virtualbox executada na minha LAN, além de algumas outras finalidades.

Eu posso acessar meu Firewall da rede 192.168.1.0/28, mas não posso fazer o contrário.

Eu sei que as rotas devem existir em ambos os sentidos no Asus Router, que é baseado em BusyBox, mas eu sempre não consigo adicionar uma rota.

Aqui estão as tabelas de roteamento:

    Asus:
/home/root # ip r s
default via 192.168.0.2 dev eth2.2  metric 1 
127.0.0.0/8 dev lo  scope link 
192.168.0.0/24 dev eth2.2  proto kernel  scope link  src 192.168.0.3 
192.168.1.0/28 dev br0  proto kernel  scope link  src 192.168.1.1 



    Firewall:

admin@piwall:~$ ip r s
default via 10.0.0.1 dev eth0  metric 202 
10.0.0.0/24 dev eth0  proto kernel  scope link  src 10.0.0.2  metric 202 
169.254.0.0/16 dev eth1  proto kernel  scope link  src 169.254.51.49  metric 203 
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.2 
192.168.1.0/28 via 192.168.0.2 dev eth1

Alguém pode me instruir como adicionar rotas corretamente para realizar minhas tarefas e explicar um pouco, eu ficaria grato.

Obrigado!

networking routing router linux subnet

por fugitive 22.02.2017 / 03:36

2 respostas

0

Suas tabelas de roteamento estão corretas - é mais provável que o roteador Asus, tendo sido feito como um gateway WAN doméstico, tenha um firewall ativado que bloqueia todas as conexões de entrada. Veja se você pode desativá-lo.

(Se o recurso NAT estiver ativo, você deve desabilitar isso também. Provavelmente não é o problema aqui, mas é completamente desnecessário fazer NAT duas vezes na mesma LAN.)

por 22.02.2017 / 09:32

Tags networking routing router linux subnet

ffmpeg combinam dois comandos Proxychains - ssh funcionando mas não scp no macOS Sierra

score 1 · Accepted Answer

Existe uma rota que não está correta, no Firewall:

192.168.1.0/28 via 192.168.0.2 dev eth1

deve estar em seu lugar:

192.168.1.0/28 via 192.168.0.3 dev eth1

Em outras palavras, a palavra-chave via precede o endereço IP da máquina através do qual a conexão deve ser feita, seu roteador Asus neste caso. Você usou o endereço IP da mesma máquina a partir da qual a conexão é iniciada.

Para que isso funcione, existem três outras condições, a primeira delas é irrelevante para você, mas eu a menciono para todos aqueles que estão configurando um pc normal como um roteador:

Ativar o encaminhamento de IPv4 removendo o comentário da linha
```
#net.ipv4.ip_forward=1
```
no arquivo /etc/sysctl.conf , e então force esta regra com
```
sudo sysctl -p
```
Isso é irrelevante para você porque o seu roteador Asus já está funcionando como um roteador, portanto, certamente tem esta opção configurada corretamente.
Verifique se as regras de firewall no roteador Asus permitem que as conexões fluam para trás . Você vê, os roteadores também protegem as máquinas dentro de sua LAN, descartando a tentativa de comunicação direta, a menos que o <> encaminhamento de porta esteja ativado. Mas isso é muito restritivo para você, porque você deseja acesso ilimitado do Firewall à sua LAN. Portanto, você precisará dessas duas regras:
```
iptables -a INPUT -s 192.168.0.2 -d 192.168.1.0/24 -j ACCEPT
iptables -a FORWARD -s 192.168.0.2 -d 192.168.1.0/24 -j ACCEPT
```
Estas duas regras aceitam comunicações (a primeira entrada para o roteador, a segunda para a interface interna) de somente a máquina Pi (por razões óbvias de segurança), para qualquer pc na sua LAN, independentemente das portas utilizadas. Isso é mais amplo do que permitir simplesmente algum encaminhamento de porta.
Seu roteador estará fazendo NAT, o que significa que todos os pacotes de saída são reescritos como se estivessem vindo da interface externa do roteador Asus, aquele com endereço IP 192.168.0.3. Isso significa que todo o pacote de resposta ao firewall Pi parecerá estar vindo de um endereço IP diferente daquele para o qual a conexão inicial foi endereçada, e assim será descartado pelo firewall Pi por razões óbvias de segurança (esta situação imita um homem no meio ataque).

Para contornar este problema, você pode muito bem suspender o NAT na Asus somente para pacotes destinados ao firewall Pi, como segue:
```
iptables -t nat -A POSTROUTING -d 192.168.1.2 -j ACCEPT
```
Para que isso funcione, você precisa ter certeza (verificando-o visualmente com
```
iptables -t nat -L -n -v
```
) que a regra acima está listada antes da seguinte regra
```
iptables -t nat -A POSTROUTING -j MASQUERADE
```
O motivo é que as regras iptables são aplicadas sequencialmente, até que a primeira regra aplicável seja encontrada e, em seguida, a inspeção de todas as regras a seguir seja não executada. Neste caso, certificar-se de que as regras estão nesta ordem nos garante que os pacotes destinados ao firewall Pi não serão escritos .