Hola lista, bueno mi problema es que tengo dos subredes totalmente separadas con salidas a internet distintas y tengo que conectar esas dos subredes la verdad no tengo ni la menor idea de que servicios vas a compartir entre ellas una esta en la sub red 192.168.x.x y la otra en la sub red 172.26.x.x como ya mensiones cada subred tiene su propia salida a internet se me ocurre hacerlo con un gateway que una a las 2 subredes pero las maquinas tendrian 2 gateway y no creo que eso se pueda hacer o si? si lo intento con 2 gw mi red quedaría lago asi:
############# ########### ## INTERNET## ------(GATEWAY1)------(SUBRED 192.168.X.X)----(GATEWAY 2)-----(SUBRED 172.26.x.x)------(GATEWAY3)----#INTERNET# #############
###########
La otra solución que se me ocurre es conectarlas por VPN entre las 2 redes metiendo los servidores VPN en los GATEWAY 1 Y 2
(GATEWAY1 con servicio VPN)------(SUBRED 192.168.X.X) (SUBRED 172.26.x.x)------(GATEWAY3 con servicio VPN)
| |
| |
| | | ###############
| | ## INTERNET ## |
|-------------------------------------------------###############-----------------------------------------------------------------------------|
Alguien tiene alguna otra idea la que querian realizar aqui en mi laboratorio era la de los 3 gateway pero no se si se puedan tener 2 gateway por maquina se puede configurar una maquina para que tenga 2 gateway? seria como balanceo de carga?
2010/8/3 daniel danielog2073@gmail.com:
Hola lista, bueno mi problema es que tengo dos subredes totalmente separadas con salidas a internet distintas y tengo que conectar esas dos subredes la verdad no tengo ni la menor idea de que servicios vas a compartir entre ellas una esta en la sub red 192.168.x.x y la otra en la sub red 172.26.x.x como ya mensiones cada subred tiene su propia salida a internet se me ocurre hacerlo con un gateway que una a las 2 subredes pero las maquinas tendrian 2 gateway y no creo que eso se pueda hacer o si? si lo intento con 2 gw mi red
La otra solución que se me ocurre es conectarlas por VPN entre las 2 redes metiendo los servidores VPN en los GATEWAY 1 Y 2
Alguien tiene alguna otra idea la que querian realizar aqui en mi laboratorio era la de los 3 gateway pero no se si se puedan tener 2 gateway por maquina se puede configurar una maquina para que tenga 2 gateway? seria como balanceo de carga?
No hay problema en tener N gateways, lo que debe existir es un único gateway DEFAULT o por defecto. Cuando tienes más de un gateway, para que tus redes queden conectadas, cada host debe saber qué redes quedan detrás de cada gateway que no sea el default; y eso es, por lo menos, un problema administrativo.
Como las redes tienen direccionamiento privado (192.168.X.X y 172.26.X.X) no hay posibilidad de rutear de una a otra usando Internet salvo con alguna solución de VPN. El diseño adecuado para tu problema depende de si tus redes están conectadas únicamente mediante Internet o tienes alguna otra posibilidad. Si se encuentran a distancia, es decir, no tienes la posibilidad de tender un tercer medio que sea tuyo para conectarlas (como el caso donde las redes están en diferentes salas, o pisos de un edificio, o edificios contiguos), puedes construir una red privada virtual de nivel 3 (donde circulan paquetes IP entre una red y otra), por ejemplo con OpenVPN.
Si a los routers que hacen de salida a Internet, les agregas la función de cliente y servidor de VPN, entonces los mismos gateways sirven para encaminar el tráfico hacia la otra red y hacia el resto de Internet a la vez.
Lo que yo ice una vez fue en un pc configurar un router, a la cual llegaban dos redes en segmentos separados, 192.168.x.x y 10.185.x.x, cada una por cables diferentes, y en el miniserver instale tres tarjetas de red por la cual dos eran de las redes internas y una para la salida a internet, en ese miniserver ruteador, asigne ip que eran los gateway para cada red interna y a su vez la interfaz de internet la rutie con NAT hacia las internas,
Espero haberme explicado un poco :)
Saludo.-
El 3 de agosto de 2010 18:02, Eduardo Grosclaude < eduardo.grosclaude@gmail.com> escribió:
2010/8/3 daniel danielog2073@gmail.com:
Hola lista, bueno mi problema es que tengo dos subredes totalmente
separadas
con salidas a internet distintas y tengo que conectar esas dos subredes
la
verdad no tengo ni la menor idea de que servicios vas a compartir entre ellas una esta en la sub red 192.168.x.x y la otra en la sub red
172.26.x.x
como ya mensiones cada subred tiene su propia salida a internet se me
ocurre
hacerlo con un gateway que una a las 2 subredes pero las maquinas
tendrian 2
gateway y no creo que eso se pueda hacer o si? si lo intento con 2 gw mi
red
La otra solución que se me ocurre es conectarlas por VPN entre las 2
redes
metiendo los servidores VPN en los GATEWAY 1 Y 2
Alguien tiene alguna otra idea la que querian realizar aqui en mi laboratorio era la de los 3 gateway pero no se si se puedan tener 2
gateway
por maquina se puede configurar una maquina para que tenga 2 gateway?
seria
como balanceo de carga?
No hay problema en tener N gateways, lo que debe existir es un único gateway DEFAULT o por defecto. Cuando tienes más de un gateway, para que tus redes queden conectadas, cada host debe saber qué redes quedan detrás de cada gateway que no sea el default; y eso es, por lo menos, un problema administrativo.
Como las redes tienen direccionamiento privado (192.168.X.X y 172.26.X.X) no hay posibilidad de rutear de una a otra usando Internet salvo con alguna solución de VPN. El diseño adecuado para tu problema depende de si tus redes están conectadas únicamente mediante Internet o tienes alguna otra posibilidad. Si se encuentran a distancia, es decir, no tienes la posibilidad de tender un tercer medio que sea tuyo para conectarlas (como el caso donde las redes están en diferentes salas, o pisos de un edificio, o edificios contiguos), puedes construir una red privada virtual de nivel 3 (donde circulan paquetes IP entre una red y otra), por ejemplo con OpenVPN.
Si a los routers que hacen de salida a Internet, les agregas la función de cliente y servidor de VPN, entonces los mismos gateways sirven para encaminar el tráfico hacia la otra red y hacia el resto de Internet a la vez.
-- Eduardo Grosclaude Universidad Nacional del Comahue Neuquen, Argentina _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
muchas gracias por contestar Eduardo ya estuve buscando pero no encuentro nada de como tener mas de un gateway e tendria que agregar en el archivo /etc/sysconfig/network-script/ifcg-eth0 algo como esto?
# Intel Corporation 82557/8/9/0/1 Ethernet Pro 100 DEVICE=eth0 BOOTPROTO=none HWADDR=00:30:48:28:52:E9 ONBOOT=yes IPADDR=192.168.1.33 NETMASK=255.255.255.0 GATEWAY1=192.168.1.251 GATEWAY2=192.168.1.254 DNS1=148.206.32.29
y como le hago para que cada maquina conozca donde esta cada subred en los gateway? no hay ningun impedimento en conectar las redes están en el mismo edificio
Camilo deja me ver si entendi conectaste una de las interfaces de cada gateway a el router y del router sale a internet entonces tienes una sola salida a internet? por que yo tengo 2 y no tengo una maquina con 2 intefaces de red.
Gracias de antemano.
2010/8/3 daniel danielog2073@gmail.com:
y como le hago para que cada maquina conozca donde esta cada subred en los gateway? no hay ningun impedimento en conectar las redes están en el mismo edificio
Entonces la cosa tiene solución más fácil. Te digo cuál sería el escenario más preferible (según yo) y veamos qué hipótesis se cumplen y cuáles no, y vamos modificando la solución.
Lo ideal sería que:
1. Ambas redes dispongan de un equipo CentOS (u otro Linux) como gateway 2. Este gateway esté conectado a un modem o router que le da acceso a Internet 3. Estos equipos CentOS sean los gateways default de su red (es decir, cada host de la red A tenga configurado como gateway default, router por defecto o puerta de enlace al equipo CentOS situado sobre su red local) 4. Estos equipos CentOS dispongan cada uno de una placa de red secundaria 5. Puedas conectar ambas placas de red secundarias de los CentOS entre sí mediante un cable cruzado, o hacer llegar ambas placas por su propio cable a un switch común.
Si puedes reunir las condiciones anteriores, todo lo que hará falta es que agregues unas simples reglas de ruteo a los CentOS para que cada red acceda a la otra. Si falta alguna de las condiciones, dinos cuál, y cuál es la situación en su lugar. Fíjate que estoy diciendo que las PCs acceden a través del Linux a Internet, no a través del router directamente.
Gráficamente:
PC PC PC PC ----+-----+----+ +--------+----+---- |CentOS A|+----+|CentOS B|
Espero que no se descomponga este gráfico... Los "+" son placas de red. (Debería haber un lenguaje gráfico estándar para estos diagramitas, no?)
gracias Eduardo pues por los requerimientos que me dices si los cumplo todos a excepción de que segun el diagrama no entonces lo centos que es gateway deberian tener 3 tarjetas de red cada uno?, osea una tarjeta que va a su respectiva subred otra que va conectada a el otro centos gateway y una mas que es la salida a internet? por que segun los requerimientos si los cumplo pero al ver el diagrama no veo la salida a internet esa es una interfaz mas?
gracias de ante mano.
2010/8/3 daniel danielog2073@gmail.com
gracias Eduardo pues por los requerimientos que me dices si los cumplo todos a excepción de que segun el diagrama no entonces lo centos que es gateway deberian tener 3 tarjetas de red cada uno?, osea una tarjeta que va a su respectiva subred otra que va conectada a el otro centos gateway y una mas que es la salida a internet? por que segun los requerimientos si los cumplo pero al ver el diagrama no veo la salida a internet esa es una interfaz mas?
Es correcto, la conexión a Internet puede tratarse de una conexión serial, USB, etc o de una tercera salida Ethernet. Si es tu caso, y sólo tienes dos, lo ideal sería que tuvieras una tercera.
Si puedes agregar la tercera placa a los dos, todo se simplifica, pero si no llegas, de todos modos se puede hacer. Por ejemplo, supongamos que la red donde está conectado CentOS_A es 192.168.X.X. Pones una tercera placa al gateway CentOS_A, lo conectas a la red remota y le das una dirección sobre la red correspondiente (digamos 172.26.1.2). Con ese acto ya queda ruteando hacia la otra red. Lo que resta es configurar el ruteo del otro gateway. A ése le pones una regla de ruteo que diga que la red 192.168.X.X se alcanza a través de 172.26.1.2:
route add network 192.168.0.0 netmask 255.255.255.0 gw 172.26.1.2
(o las direcciones de red y máscara que correspondan). Y no hace falta reconfigurar los clientes. Estos datos también los puedes poner estáticamente en el archivo de rutas de la placa (/etc/sysconfig/network-scripts/route-ethX). La sintaxis sería
ADDRESS0=172.26.1.0 NETMASK0=255.255.255.0 GATEWAY0=172.26.1.2
El 0 al final de los identificadores relaciona los tres datos entre sí, puede ser cualquier número. Luego de cualquier modificación debes reiniciar el servicio de red. Además de arreglar el ruteo debes recordar permitir FORWARD sin NAT entre ambas redes en tu script de firewall.
Bajo este esquema, cuando un host de la red A quiera conectar con algo de la otra, el CentOS_A lo encaminará. Cuando alguien de la red B quiera ir a la A, el CentOS_B le contestará con un mensaje ICMP Redirect indicándole que vaya por 172.26.1.2 (que es accesible para el cliente porque está en su red). Esa información se guarda en la cache de ruteo del cliente. Es un poco más de tráfico pero funciona.
Si con este esquema quieres correr servicios de Windows basados en broadcast (como los de Grupo de Trabajo) necesitarás dirigirte a las estaciones por IP o preparar un servidor WINS en una de las redes (porque los broadcasts no atraviesan los routers, así que de otro modo el servicio de nombres de Windows no funcionará).
Si no tienes una tercera placa para ninguno de los CentOS hay que ingeniárselas con direcciones secundarias para las mismas placas (por ejemplo, las que están del lado de los routers), y conectar los cuatro elementos mediante un switch, pero no es recomendable porque te complicará entender qué está pasando cuando tengas un problema.
2010/8/4 Eduardo Grosclaude eduardo.grosclaude@gmail.com
(o las direcciones de red y máscara que correspondan). Y no hace falta reconfigurar los clientes. Estos datos también los puedes poner estáticamente en el archivo de rutas de la placa (/etc/sysconfig/network-scripts/route-ethX). La sintaxis sería
ADDRESS0=172.26.1.0 NETMASK0=255.255.255.0 GATEWAY0=172.26.1.2
Ooops! Es ADDRESS0=192.168.0.0
O la dirección de red que corresponda en la otra red.
Muchas gracias monica una pregunta si pongo eso que me dices en la tabla de routeo por donde saldrian a internet cada subred? por ejemplo si de la subred A mando una peticion a Internet como biene de la direccion de la red A lo va a mandar a la subred B entonces de la subred B es por donde sale a internet? y la subred B sale a Iternet por la sub red A? espero no confundirte por ejemplo el esquema que me comentas
# INTERNET#------(GATEWAY1)------(SUBRED 192.168.X.X)----(GATEWAY 2)-----(SUBRED 172.26.x.x)------ \
pata1 <-> pata2 |
(GATEWAY3)--- -#INTERNET# A perdón creo que no me explique bien si ya te entendí el problema aquí es te tengo dos salidas a internet una para cada subred y tengo que conservar cada salida y conectar esas dos subredes por eso tantos gw pero la tabla de ruteo iría en el gateway2 y le puedo decir al gw3 y gw 1 que todo lo que no vaya para internet se lo mande al gw2 y en el gw2 hacer lo que me dices todo lo que venga de subred A mandarlo a subred B y lo que venga de subred B mandarlo a la subred A eso lo puedo hacer con IPTABLES y route no? espero no te confunda.
Eduardo no puedo ponerle mas tarjetas a los gw centos (bueno si puedo pero me estan calificando mis jefes la calidad de mi trabajo y no quiero pedir mucho equipo solo como ultimo recurso) entonces con el esquema que manejas puedo tener el esquema inicial con los 3 gw y hacer lo que me dices con el comando route y decirle a cada gw por default de cada subred que todo todo lo de la subred 192.168.0.0 esta detras de la maquina 192.168.1.254 y lo mismo para la otra subred y configurar el firewall para que solo lo que vaya para el puerto 80 salga por los gw por default de cada red tambien puede ser una opcion no?
Voy a estudiar bien como funciona el comando route e iptables y luego les comento gracias y saludos!!!!!!!!!
2010/8/4 daniel danielog2073@gmail.com
Eduardo no puedo ponerle mas tarjetas a los gw centos (bueno si puedo pero me estan calificando mis jefes la calidad de mi trabajo y no quiero pedir mucho equipo solo como ultimo recurso)
Permíteme un consejo de administrador de redes con amarga experiencia: no acostumbres a la conducción a que todo lo haces con 0 recursos. Es una trampa para ti y para ellos, se pondrán un cepo sobre la capacidad de crecimiento de la organización.
entonces con el esquema que manejas puedo tener el esquema inicial con los 3
gw y hacer lo que me dices con el comando route y decirle a cada gw por default de cada subred que todo todo lo de la subred 192.168.0.0 esta detras de la maquina 192.168.1.254 y lo mismo para la otra subred y configurar el firewall para que solo lo que vaya para el puerto 80 salga por los gw por default de cada red tambien puede ser una opcion no?
Euhhhm... La verdad que sin signos de puntuación y sin respirar no entiendo lo que me preguntas :D pero creo que la respuesta es sí.
A ver si lo puedo explicar bien.
El gateway2 es el que une las 2 subredes, no tienes por que ponerle ese gateway a ningún equipo, ya que desde el gateway 1 y el gateway 3, puedes decir que toda la info que vaya para internet, pues que vaya para internet y toda las peticiones que vayan hacia la otra red que vayan al gateway 2, y el gateway 2 con su enrutamiento interno ya sabrá reenviarlos a la pata correspondiente.
Incluso, si el PC está conectado a un switch de capa 3, podrías hacer el enrutamiento desde el switch, pero si no es el caso, simplemente lo que tienes que hacer es lo primero que he dicho, que el gateway que recibe toda la información diga, si sale hacia internet o hacia el gateway 2 para que este le redirija a la otra red.
Si algo no entiendes avisa y si alguien ve que he dicho algo mal que corrija!! por que hace bastante qeu no toco nada de redes de esta manera.
Un saludo.
________________________________ De: daniel danielog2073@gmail.com Para: centos-es@centos.org Enviado: mié,4 agosto, 2010 19:20 Asunto: Re: [CentOS-es] unir dos subredes con salidas independientes a internet
Muchas gracias monica una pregunta si pongo eso que me dices en la tabla de routeo por donde saldrian a internet cada subred? por ejemplo si de la subred A mando una peticion a Internet como biene de la direccion de la red A lo va a mandar a la subred B entonces de la subred B es por donde sale a internet? y la subred B sale a Iternet por la sub red A? espero no confundirte por ejemplo el esquema que me comentas
# INTERNET#------(GATEWAY1)------(SUBRED 192.168.X.X)----(GATEWAY 2)-----(SUBRED 172.26.x.x)------ \ pata1 <-> pata2 | (GATEWAY3)--- -#INTERNET# A perdón creo que no me explique bien si ya te entendí el problema aquí es te tengo dos salidas a internet una para cada subred y tengo que conservar cada salida y conectar esas dos subredes por eso tantos gw pero la tabla de ruteo iría en el gateway2 y le puedo decir al gw3 y gw 1 que todo lo que no vaya para internet se lo mande al gw2 y en el gw2 hacer lo que me dices todo lo que venga de subred A mandarlo a subred B y lo que venga de subred B mandarlo a la subred A eso lo puedo hacer con IPTABLES y route no? espero no te confunda.
Eduardo no puedo ponerle mas tarjetas a los gw centos (bueno si puedo pero me estan calificando mis jefes la calidad de mi trabajo y no quiero pedir mucho equipo solo como ultimo recurso) entonces con el esquema que manejas puedo tener el esquema inicial con los 3 gw y hacer lo que me dices con el comando route y decirle a cada gw por default de cada subred que todo todo lo de la subred 192.168.0.0 esta detras de la maquina 192.168.1.254 y lo mismo para la otra subred y configurar el firewall para que solo lo que vaya para el puerto 80 salga por los gw por default de cada red tambien puede ser una opcion no?
Voy a estudiar bien como funciona el comando route e iptables y luego les comento gracias y saludos!!!!!!!!!
Monica muchas gracias ya resolví mi problema con la topologia que estaba manejando, bueno explico mi solución la red es esta
(INTERNET)<--->(GATEWAY1)<---->(192.168.X.X)<--->(GATEWAY2)<-->(172.26.X.X)<-->(GATEWAY3)<-->(INTERNET)
Espero no se descomponga mi dibujo :P
Bueno lo primero que hice gracias a la ayuda de Eduardo, fue que los gw1 y gw3 con ayuda del iptables decirles que redes estaban detrás de que ip, explico:
En el gw1 con el comando route escribes:
route add -net 172.26.0.0 netmask 255.255.255.0 gw 192..168.1.254
Donde la ip 192.168.1.254 es la ip del gw2 y 172.26.0.0 es la red con la que se va a conectar la mascara de la red que sera usada.
En el gw1 con el comando route escribes:
route add -net 192.168.0.0 netmask 255.255.255.0 gw 172..26.1.1
Donde la ip 172.26.1.1 es la ip del gw2 y 192.168.0.0 es la red con la que se va a conectar la mascara de la red que sera usada.
Y por ultimo en el gw2 activamos una regla con iptables para el redireccionamiento:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE iptables -t nat -A POSTROUTING -s 172.26.1.0/24 -o eth0 -j MASQUERADE
Y listo así de fácil, muchas gracias por su ayuda y procurare escribir con signos de puntuación la próxima ves :P .
2010/8/5 daniel danielog2073@gmail.com
En el gw1 con el comando route escribes:
route add -net 172.26.0.0 netmask 255.255.255.0 gw 192..168.1.254
Donde la ip 192.168.1.254 es la ip del gw2 y 172.26.0.0 es la red con la que se va a conectar la mascara de la red que sera usada.
Recuerda que esta información de ruteo no queda estáticamente definida para el próximo arranque, sino que hay que editar /etc/sysconfig/network-scripts/route-ethX como dijimos antes.
Recuerda que esta información de ruteo no queda estáticamente definida para el próximo arranque, sino que hay que editar /etc/sysconfig/network-scripts/route-ethX como dijimos antes.
Y si el archivo no existe lo puedo crear? utilizo centos 5.5
Saludos, hermanos.
Recuerda que esta información de ruteo no queda estáticamente definida para el próximo arranque, sino que hay que editar /etc/sysconfig/network-scripts/route-ethX como dijimos antes.
Y si el archivo no existe lo puedo crear? utilizo centos 5.5
Igual lo puedes poner en el /etc/rc.local. Tienes varias vías para establecerlas.
--
Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas
Infomed: http://www.sld.cu/
2010/8/5 Héctor Suárez bolodia@medired.scu.sld.cu
Saludos, hermanos.
Recuerda que esta información de ruteo no queda estáticamente definida para el próximo arranque, sino que hay que editar /etc/sysconfig/network-scripts/route-ethX como dijimos antes.
Y si el archivo no existe lo puedo crear? utilizo centos 5.5
Igual lo puedes poner en el /etc/rc.local. Tienes varias vías para establecerlas.
Correcto, pero lo interesante de la otra forma es que así las rutas responden al comando service network start / stop.
Con uno o 2 gateways puedes hacerlo, cada gateway de su red y punto y luego a través de enrutamiento estático o dinámico conectas las 2 redes!!
No tiene spor que ponerle 2 GW a cada equipo, simplemente con que en cada GW le digas, lo que venga con dirección 172.26.x.x lo envías pro esta pata y lo que venga de la 192.168.x.x lo envías por esta otra.
Es una manera sencilla de contarlo, pero así puedes conectarlas 2 redes y mas o menos te quedaría así:
############# ########### ## INTERNET## ------(GATEWAY1)------(SUBRED 192.168.X.X)----(GATEWAY 2)-----(SUBRED 172.26.x.x)------(GATEWAY3)----#INTERNET# ############# pata 1 <-> pata 2 ###########
Un saludo.
________________________________ De: daniel danielog2073@gmail.com Para: centos-es@centos.org Enviado: mar,3 agosto, 2010 23:24 Asunto: [CentOS-es] unir dos subredes con salidas independientes a internet
Hola lista, bueno mi problema es que tengo dos subredes totalmente separadas con salidas a internet distintas y tengo que conectar esas dos subredes la verdad no tengo ni la menor idea de que servicios vas a compartir entre ellas una esta en la sub red 192.168.x.x y la otra en la sub red 172.26.x.x como ya mensiones cada subred tiene su propia salida a internet se me ocurre hacerlo con un gateway que una a las 2 subredes pero las maquinas tendrian 2 gateway y no creo que eso se pueda hacer o si? si lo intento con 2 gw mi red quedaría lago asi:
############# ########### ## INTERNET## ------(GATEWAY1)------(SUBRED 192.168.X.X)----(GATEWAY 2)-----(SUBRED 172.26.x.x)------(GATEWAY3)----#INTERNET# ############# ###########
La otra solución que se me ocurre es conectarlas por VPN entre las 2 redes metiendo los servidores VPN en los GATEWAY 1 Y 2
(GATEWAY1 con servicio VPN)------(SUBRED 192.168.X.X) (SUBRED 172.26.x.x)------(GATEWAY3 con servicio VPN) | | | | | | | ############### | | ## INTERNET ## | |-------------------------------------------------###############-----------------------------------------------------------------------------|
Alguien tiene alguna otra idea la que querian realizar aqui en mi laboratorio era la de los 3 gateway pero no se si se puedan tener 2 gateway por maquina se puede configurar una maquina para que tenga 2 gateway? seria como balanceo de carga?
-
Camilo Astete -
daniel -
Eduardo Grosclaude -
Héctor Suárez Planas -
Monica BM