Eu tenho as configurações abaixo. node1 & node2 estão em uma LAN. Ambos usam o eth0 NIC para se conectar à LAN. Ambos são sistemas Debian. Além disso, o node1 está conectado à Internet usando o wlan0 nic. A expectativa é que tanto node1 & node2 pode alcançar a internet.
Com essa configuração, não consigo acessar a Internet. O IP do kernel mostrou a regra padrão para o roteador
Basicamente, estou me deparando com dois problemas.
Com esta configuração, a tabela node1: kernel ip mostra a regra padrão via eth0. portanto, conectando-se ao roteador1 / LAN. Eu tentei ip route del & adicione o novo dispositivo de regras padrão wlan0. tabela ip parece ser bom (pelo menos o que eu esperava regra padrão via wlan0). mas ainda assim, sem conexão com a internet. Pergunta 1: este é o jeito certo de excluir & adicione a regra padrão para alterar o comportamento do sistema para o qual dev deve escolher enviar os pacotes. Ou alguma configuração adicional que eu precise.
Agora com curiosidade, eu acabei de virar o dev. Significa que o wlan0 nic está conectado agora ao LAN & eth0 é para o roteador2 (rede externa). ip table mostra a regra padrão para eth0. Como neste momento eth0 conectado ao roteador2, eu tenho a conexão com a internet. poderia pingar, navegar & todos. Question2: É o eth0 sempre usado para a regra padrão. Como posso mudar para outro nic. aqui wlan0.
No entanto, esse sucesso não poderia durar mais, já que a partir do nó 2, eu não obtenho conexão de internet do nó-2. É configuração estática, o GW é mencionado como ip addr do node-1.
Question3: está correto? OU Preciso fazer qualquer tipo de configuração SNAT ou MASQRADE no node1 para poder OR o roteador-2 deve cuidar disso .. O que eu estou sentindo falta aqui para obter a conexão com a internet.
O acesso à Internet de / para o nó2 (se houver mais sistemas na LAN também) deve ser feito apenas pelo nó 1. o roteador LAN (roteador-1) é dhcp enaled e todos os nós são clientes para ele. O mesmo com o roteador de internet-2.
Então, neste caso, preciso fazer qualquer configuração especial no nó 1.
No nó 1, ip route: default via dev eth0 No nó 2, ip route: default via dev eth0.
outra questão complicada (mas menos importante, eu posso viver com isso usando eth0 para meu roteador conectado à internet), o que eu já perguntei é: por que o padrão é via eth0 sempre. Como posso forçá-lo a usar wlan0 (no meu caso) ligado GW. Meu del / add de padrão não está funcionando.
Sem informação adicional já posso dizer que SNAT ou do disfarce não deve ser necessário em ambos node-1 e node-2. Isso deve ser feito pelo sistema conectado à Internet (provavelmente o roteador).
Mas se o tráfego do nó-2 deve ser encaminhado através node-1, em seguida, node-1 teria que fazer SNAT ou do disfarce para node-2 (para além da SNAT / disfarce qual o gateway / router faz para Nó- 1).
Você tem o encaminhamento de IP ativado no Nó 1? Experimente: sysctl -w net.ipv4.ip_forward=1
Se isso funcionar, torne-o permanente adicionando a linha:
net.ipv4.ip_forward = 1
em /etc/sysctl.conf (certificando-se de que se uma linha semelhante a definindo como 0 for removida ou comentada).
Aqui estou assumindo (seu objetivo é alcançar) que todo o seu tráfego de internet da LAN, deve passar pelo nó-1. Você está trabalhando apenas com o IP4. Como você mencionou, o node-1 já está tendo a conexão com a internet.
No nó 2: a regra padrão da tabela ip do kernel deve ter GW como node-1 com dev eth0.
No nó 1: Com a suposição acima, a regra padrão deve ter o GW como "roteador 2" dev eth0.
Additioanlly o abaixo deve ser verdadeiro OU adicionado. 1) sinalizador IP_FORWARD.
ipv4.ip_forward flag must be set to 1. (use sysctl or change the sysctl conf file variable)
# sysctl -w net.ipv4.ip_forward="1"
nota: não sobreviverá ao reinício.
2) Adicione a regra IP Forward na tabela de filtros. Isso encaminhará todo o tráfego do dispositivo eth1 para eth0.
# iptables -t filter -A FORWARD -i eth1 -o eth0 -j ACCEPT
3) MASCAR o ip de saída
Qu: Se o mascaramento do ip de saída do node-1 é muito necessário para obter o tráfego para fora do roteador2 (para a internet), então quem faz isso MASQUERADE. Resposta: O roteador 2 faz isso por padrão.
Qu: Então, por que o roteador-2 não funcionaria para o node-2 ou qualquer outra máquina na LAN.
Resp: Como nó 2 & outros não estão no domínio do Roteador 2. Neste caso o node-1 tem que fazer o MASQUERADING explicitamente para todos os outros nós conectados em sua rede local. daí esta etapa.
# iptables -nat -A POSTROUTING --out-interface eth0 -j MASQUERADE
# iptables save
agora você obtém a conexão com a internet do nó 2 ou de qualquer outro sistema conectado em sua LAN.
OBSERVAÇÃO: No entanto, os itens acima não sobreviveriam à reinicialização do nó 1. Eu não estou cobrindo como torná-lo persistente.
Cuidado: Não tenho certeza se o item acima funcionará se a NIC para o roteador-2 for wlan0, pois o AP (roteador-2) pode rejeitar os pacotes do nó MAS-RAMRA-2. Como o mac id de eth0 @ node-1 não está cadastrado no AP, ao contrário do wlan0. Aqui temos que alterar explicitamente o endereço MAC dos pacotes eth0 para o endereço wlan0. me avise.
Tags lan