Cara membuat subnet antara dua jaringan yang berbeda

1

Saya butuh bantuan untuk membangun subnet pertama saya di antara dua router.

Kantor saya terletak di dekat kantor lain, dan kedua kantor itu dihubungkan bersama dengan kabel jaringan, dan kedua kantor memiliki akses Internet yang independen.

Setiap jaringan memiliki ruang lingkup IP jaringan mereka sendiri:

  • Jaringan A adalah 10.35.1.*
  • Jaringan B adalah 10.35.2.*

Saya ingin mengatur subnet antara dua jaringan itu, untuk berbagi sumber daya jaringan.

Bagaimana saya bisa mengatur router DD-WRT saya, untuk merutekan kedua jaringan itu?

Berikut ini sketsa cepat desain jaringan:

Sebenarnya semua Subnet mask adalah 255.255.255.0

     Network  A                                Network  B

    PC1              PC2                 PC3              PC4         
(10.35.1.10)    (10.35.1.11)         (10.35.2.12)    (10.35.2.13)
     |                |                   |                |
     ------------------                   ------------------
             |                                    |
      Router A (DD-WRT)  --------------------  Router B
        (10.35.1.1)                          (10.35.2.1) 
             |                                    |
             |                                    |
         {Internet}                           {Internet}

Sunting: Sekarang saya telah menambahkan rute statis manual di router pada 10.35.1.1 (disorot dengan warna kuning pada gambar) Tapi masih tidak bisa melakukan ping 10.35.1.1 dari Router TelNet atau PC dari Network A Tabel routing penuh

networking router dd-wrt subnet Hugo
sumber
Gunakan 2 IP (/ 30) "jaringan lem" di antaranya, dan atur rute di router. Untuk peluang terbaik mendapatkan jawaban yang lebih panjang / lebih terperinci dan spesifik, apa yang sudah Anda coba sejauh ini, dan di mana tepatnya Anda terjebak? Juga spesifik tentang router mana yang dipertanyakan, dan bagaimana mereka terhubung, mungkin akan membantu.
Ƭᴇcʜιᴇ007
3
Anda sudah memiliki "subnet". Anda membutuhkan rute antara keduanya.
grawity
Rute apa tepatnya? Inilah yang saya coba; Destination LAN NET: 10.35.2.0 Subnet mask: 255.255.255.0 Getway: 10.35.2.1
Hugo
Tetapi dengan rute itu, router di 10.35.2.1 tetap tidak dapat dijangkau
Hugo
Saya telah menambahkan tabel Routing lengkap dalam pertanyaan
Hugo

Jawaban:

2

Pertama, setiap jaringan lokal akan menjadi subnet sendiri (yang merupakan singkatan untuk "subnetwork", di mana "jaringan" mengacu pada seluruh jaringan; dalam kasus Anda, "jaringan" kemungkinan besar adalah Internet). Yang perlu Anda lakukan adalah mengatur perutean antara dua subnet. Mereka akan tetap menjadi entitas yang terpisah, tetapi lalu lintas akan dapat mengalir di antara mereka.

Hal pertama yang perlu Anda konfirmasi adalah bahwa rentang IP tidak tumpang tindih. Misalnya, 10.35.1 / 24 dan 10.35.2 / 24 baik-baik saja, tetapi 10.35.1.0/16 dan 10.35.2.0/16 tidak (karena dalam kasus terakhir, rentang IP tumpang tindih dan tidak ada cara yang baik untuk router untuk mengetahui lalu lintas mana yang harus pergi kemana).

Saya tidak tahu persis langkah apa yang perlu Anda lakukan untuk mengkonfigurasi ini di dd-wrt (seperti pada "klik di sini, ketik ini, ..."), tetapi yang perlu Anda lakukan adalah:

  1. Secara fisik sambungkan Router A ke Router B (baik kabel atau nirkabel, langsung atau melalui terowongan, tetapi mereka membutuhkan cara untuk berbicara satu sama lain).
  2. Konfigurasikan Router A untuk merutekan lalu lintas yang dimaksudkan untuk jaringan yang dilayani oleh Router B (10.35.2 / 24) di seluruh tautannya ke Router B.
  3. Konfigurasikan Router B untuk merutekan lalu lintas yang dimaksudkan untuk jaringan yang dilayani oleh Router A (10.35.1 / 24) di seluruh tautannya ke Router A.
  4. Pada kedua router, atur semua aturan firewall yang diperlukan untuk memungkinkan lalu lintas mengalir antara jaringan yang dilayani oleh Router A dan Router B. Tergantung pada spesifikasinya, ini mungkin atau mungkin tidak benar-benar diperlukan.

Langkah 2 dan 3 (yang merupakan saus ajaib untuk membuat ini bekerja sama sekali) biasanya dicapai melalui pengaturan rute statis . Setiap tumpukan IP yang cukup kompeten menyediakan cara untuk melakukan ini, dan saya tidak bisa membayangkan bahwa dd-wrt akan menjadi pengecualian, meskipun mekanisme yang tepat tentang bagaimana melakukan itu berbeda-beda. Ide umumnya adalah untuk memberi tahu setiap router bahwa "untuk mencapai jaringan abcd / e", perlu "meneruskan lalu lintas melalui tautan fghij" dan / atau "meneruskan lalu lintas ke router hop berikutnya, KLMN"; ini adalah cara semua perutean pada jaringan IP seperti Internet bekerja. Jika Anda menentukan router hop berikutnya, maka router itu harus dapat dijangkau melalui beberapa rute yang dikonfigurasi lainnya .

Misalnya, pertimbangkan tabel perutean IPv4 berikut, yang harus serupa dengan apa yang telah Anda siapkan:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

Apa yang dikatakan ini adalah: untuk mencapai jaringan 192.168.1.0 netmask 255.255.255.0 (yang sesuai dengan 192.168.1 / 24), gunakan gateway 0.0.0.0 (yaitu, cukup buang lalu lintas ke jaringan) melalui antarmuka eth0. Untuk mencapai jaringan 0.0.0.0 netmask 0.0.0.0 (atau 0.0.0.0/0, "rute default"), opsi terbaik adalah meminta 192.168.1.254 untuk meneruskan lalu lintas ke tujuan akhir. Hanya router jaringan inti yang tidak memiliki rute default; itu disebut DFZ atau zona bebas-standar . Ketika Anda mendapatkan kesalahan "no route to host", itu hampir selalu karena Anda telah menekan router yang tidak memiliki cara meneruskan lalu lintas menuju host tujuan.

Rute selalu dipertimbangkan dengan cara yang paling spesifik-cocok-menang, dan juga sebagai konsekuensinya rute default hanya dikonsultasikan jika tidak ada rute terkonfigurasi lainnya yang cocok. Oleh karena itu, jika saya ingin merutekan lalu lintas ke 172.16.128.0/23 melalui tautan fisik yang dilampirkan ke eth1, saya akan berakhir dengan tabel routing seperti berikut:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 eth0
172.16.128.0    0.0.0.0         255.255.254.0   U     0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

Dengan membuat perubahan yang sesuai di sisi lain, saya dapat memastikan bahwa lalu lintas kembali akan dapat mengalir kembali ke jaringan asal, memungkinkan komunikasi dua arah melalui tautan khusus.

Setelah Anda membuat jenis perubahan dalam konfigurasi dd-wrt di kedua ujungnya, host di dua jaringan setidaknya harus dapat berbicara dengan router di ujung lain tautan. (Pada titik itu, sangat mungkin untuk mengkonfigurasi firewall untuk memungkinkan lalu lintas yang sesuai.)

sebuah CVn
sumber
Saya sudah mencoba melakukan apa yang Anda katakan, tetapi masih tidak berhasil. Saya telah menambahkan rute statis pada setiap router. Dari contoh di atas, saya telah menambahkan rute di router A (Router DD-WRT); Dest: 10.35.2.0, Mask: 255.255.254.0 Metric 0 Gateway: 0.0.0.0 dan pada Route B (Router Asus); Dest: 10.35.1.0, Topeng: 255.255.254.0, Gateway 0.0.0.0, Metrik 0
Hugo
@Hugo Harap edit pertanyaan Anda untuk menyertakan rentang IP dan mask subnet yang tepat untuk setiap jaringan. (Karena Anda menggunakan ruang RFC 1918 , ini seharusnya tidak menimbulkan masalah.) Saya cukup yakin netmask yang Anda kutip salah; / 23 bukan panjang awalan umum pada LAN (saya hanya menggunakannya untuk menggambarkan rute yang berbeda).
CVn
Saya tidak yakin saya mengerti apa yang Anda maksud dengan "range", apa artinya "/ 23"? sebenarnya semua PC di belakang masing-masing router memiliki topeng 255.255.255.0, dan di sana masing-masing IP Router memiliki Gateway default
Hugo
0

Ini sebenarnya masalah yang mudah. Dua DD-WRT dapat dikonfigurasi sebagai pasangan server klien OpenVPN, yang memungkinkan penggabungan dua subnet yang terpisah.

Menyiapkan koneksi OpenVPN, dalam konfigurasi bridged dijelaskan pada halaman wiki DD-WRT yang sangat jelas ini . Konfigurasi kadang-kadang disebut VPN dijembatani situs-ke-situs.

Satu-satunya hal yang tersisa untuk dilakukan adalah meyakinkan kedua router bahwa kedua subnet itu sebenarnya milik jaringan yang lebih besar. Anda dapat mencapai ini hanya dengan menggunakan subnet mask yang lebih luas. Yang terkecil yang mencakup jaring yang ada adalah /22, atau 255.255.252.0. Ini menyiratkan bahwa Anda harus mengubah subnet mask di GUI konfigurasi setiap router DD-WRT. Setelah ini selesai, akan butuh waktu (= waktu sewa, atau 1 jam untuk sebagian besar LAN) untuk perubahan untuk disebarkan ke klien DHCP Anda.

Komentar:

  1. Jangan tidak mengubah rentang IP ditugaskan oleh setiap router. Saat mereka berdiri sekarang, mereka tidak tumpang tindih, yang terpenting.

  2. Anda akan mendapatkan lintas lalu lintas Layer 2 dari satu subnet ke yang lain. Ini termasuk lalu lintas ARP, dan sebagainya. Jika Anda memiliki jaringan cepat komersial, yaitu , setidaknya 10Mb / s, jangan khawatir tentang itu sama sekali, Anda tidak akan membuang-buang bandwidth yang langka sama sekali. Alih-alih, Anda akan memiliki semua protokol yang bekerja lintas, Anda dapat mencetak pada printer di kantor lain, berbagi direktori dan file, dan sebagainya: tidak ada batasan, semuanya akan bekerja seolah-olah kedua kantor itu satu. Jika Anda benar-benar ingin memblokir lalu lintas layer-2 referensi di atas menunjukkan kepada Anda bagaimana melakukannya dengan ebtables , tetapi itu tidak sepadan dengan rasa sakitnya.

  3. Ketika permintaan DHCP dibuat, tidak jelas router mana yang akan memenangkan perlombaan, yang berarti bahwa Anda mungkin memiliki 10.35.1.xx pc di tengah-tengah 10.35.2.xx saudara-saudara. Anda tidak perlu khawatir tentang ini: tepatnya karena kedua subnet terintegrasi dengan sempurna, sistem akan bekerja dengan sempurna apa pun yang terjadi. Namun jika Anda terganggu oleh ini, yang harus Anda lakukan adalah memperkenalkan iptablesaturan, pada setiap router yang memblokir balasan DHCP (bukan permintaan, yang menggunakan soket mentah ): 

      iptables -A FORWARD -dport 67:68 -sport 67:68 -j DROP

  4. Sistemnya kuat. Tujuh tahun lalu saya membuat satu koneksi jenis ini antara rumah saya dan lab saya di Universitas tempat saya bekerja: koneksi tidak pernah memiliki kesalahan.

MariusMatutiae
sumber
Terima kasih Marius atas masukan Anda, tetapi saya ingin melakukan bagian itu tanpa VPN
Hugo
@Hugo Kenapa? VPN memberikan keamanan total, dengan overhead yang dapat diabaikan karena enkripsi.
MariusMatutiae
Keamanan bukanlah masalah, karena kedua jaringan dalam satu lingkaran tertutup. Tetapi nanti saya akan mencoba menambahkan jaringan ketiga (rumah saya) melalui VPN. Dan dari sana saya pikir akan mencoba saran Anda.
Hugo
0

Saya akhirnya menyerah, DD-WRT adalah cara untuk buggy.

DD-WRT pada Linksys WRT54G, bangun DD-WRT v24-sp2 (08/07/10) vpn (revisi SVN 14896)

Keamanan nirkabel terus beralih ke TKIP tanpa alasan, jadi laptop dan ponsel pintar saya tidak dapat terhubung. Tautan PPTP VPN antara ke akses rute DD-WRT tidak lengkap.

Apa lagi, yang tidak saya lakukan sekarang ...

Saya akan pergi dengan solusi lain.

Tapi terima kasih semuanya atas masukan Anda, saya sudah belajar saya sedikit lebih banyak dari Anda!

Solusi menggunakan Subnet Masking

Sebagai catatan ... Saya sudah bisa menautkan ke dua jaringan 10.35.1.0/24 dan 10.35.2.0/24, bersama-sama, menggunakan SubNet Mask yang berbeda. Pada setiap router, dan setiap server DHCP yang Anda perlukan untuk menyertakan lingkup IP, penyihir adalah sesuatu seperti 255.255. 252 .0 (10.35.0.1 - 10.35.3.254). Topeng agak terlalu lebar, tapi sebenarnya tidak terlalu penting bagiku. Saya akan menambahkan subnet lain nanti.

Hugo
sumber