Enrutar de un router a otro con servidor Debian (Solucionado)

Iniciado por moikano→@, 30 Agosto 2011, 16:38 PM

0 Miembros y 1 Visitante están viendo este tema.

moikano→@

Saludos.



Estoy intentando hacer un servidor con Debian squeeze que analize todo el tráfico que pasa por el. Voy hacer un pequeño esquema.






>>>>>Router wifi (este router tiene que dar wifi)

Interfaces:
-Entrada/salida a la WAN: Este puerto va conectado al ordenador servidor.
                        Configuración: IP-192.168.1.2
                                                   NETMASK: 255.255.255.0
                                                  GATEWAY: 192.168.1.1
-Puerto hacia los 4 hosts ethernet y hosts wifis: La IP desde donde se configura el router
                        Configuracion: IP-192.168.2.1
                         NETMASK: 255.255.255.0



>>>>>Servidor con Debian (Es el que se encarga de dar conexión entre el router wifi y el router con internet)

Interfaces
-Eth0: Este puerto va conectado al router con internet
                             Configuración: IP-192.168.0.199
                             NETMASK:255.255.255.0
                             GATEWAY:192.168.0.1
-Eth1: Este puerto va conectado al router wifi.
                             Configuración: IP-192.168.1.1
                             NETMASK:255.255.255.0




>>>>>>>>>>>Router internet (Este dispositivo da internet a toda la red, tiene conectado el ordenador servidor)

Interfaces
-WAN: Configurado correctamente con ip publica

-4 puertos ethernet: Este dispositivo da internet a 3 hosts mas aparte del servidor
                                       Su IP de cofiguración es: 192.168.0.1


                                                     



El router wifi tiene configurado los DNS igual que el router con internet, y la puerta de enlace es el servidor Debian.

He puesto el servidor debian en forwarding (  echo 1 > /proc/sys/net/ipv4/ip_forward )y aún así no me enruta el tráfico del router wifi al router con internet.

El router wifi esta en modo route en vez de bridge, bueno, realmente lo he probado de las dos formas.

Lo único que he podido hacer desde el router wifi es un ping al servidor debian y que se vea desde la interfaz eth1 del servidor Debian. Pero nada mas.

Que estoy haciendo mal o que me falta?

Gracias de antemano.

madpitbull_99

#1
Para tus próximos esquemas, intenta utilizar DIA, PS o al menos un croquis hecho en Paint, lo que has puesto no se entiende.

En mi Ubuntu, para configurar el IP Forward a parte del fichero que mencionas, también he tenido que modificar /etc/sysctl.conf. Me refiero a la directiva:

net.ipv4.ip_forward = 1


Y agregar rutas atendiendo a las direcciones de tu red:

route add -net -n 192.168.10.0 netmask 255.255.255.0 dev eth1
route add -net -n 192.168.20.0 netmask 255.255.255.0 dev eth2


Supongo que luego interesara hacer el NAT mediante IP Tables + IP Chains.

Código (bash) [Seleccionar]
#!/bin/sh
ipchains -F forward # Flush all previous rules and settings
ipchains -P forward DENY # Default set to deny packet forwarding
ipchains -A forward -s 192.168.10.0/24 -j MASQ # Use IP address of gateway for private network
ipchains -A forward -i ppp0 -j MASQ # Sets up external internet connection
echo 1 > /proc/sys/net/ipv4/ip_forward # Enables packet forwarding by kernel


Nota: Primero debes hacer un "flush" a las reglas del IP Tables. En muchos casos el valor (1) en el fichero ip_forward no se mantiene tras reiniciar, por lo que, tendrás que volver a cambiarlo cada vez que reinicies.

Los ejemplos son genéricos, tienes que ajustarlos a tu red.

Hay un articulo muy bueno que trata sobre este tema: Firewall and Advanced Routing Under Linux.

Es parecido a lo que tu quieres hacer.

Mas documentación:

_Routing for multiple uplinks.
_Routing Kernel Configuration.



«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

moikano→@

Si, perdón por el esquema, creía que se vería mejor, en fin.

En un principio lo he echo todo menos lo del NAT, que de momento no me interesa.

Hoy probaré las opciones de los enlaces a ver si sirven para mi caso.

Gracias

moikano→@

#3
Bueno, he estado probando y no he dado con la solución.

Voy a retocar el esquema de arriba para que se vea mejor.

CitarFirewall and Advanced Routing Under Linux.

En este enlace me parece que encontré lo que buscaba, pero no se si es que no se aplicarlo o que sencillamente no es la solución, estas son las reglas que añadí al iptables:


# iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -i eth0 -o eth1 -j ACCEPT
# iptables -t filter -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
# iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -i eth1 -o eth0 -j ACCEPT
# iptables -t filter -A FORWARD -s 192.168.1.0/24 -d 192.168.1.0/24 -i eth0 -o eth1 -j ACCEPT


No se si está bien, lo que intentaba hacer era que estuvieran todas las combinaciones posibles entre las ips de las redes y los interfaces, al ser 2 redes y 2 interfaces las combinaciones son 4 reglas.


Cualquier ayuda es bien recibida, gracias.

moikano→@

#4
Conseguí que me enrutara, pero no se si estará del todo bien configurado.

El esquema es el mismo de arriba, y al final solo he tenido que añadir una linea de iptables aparte de la de forwarding claro.

La configuración quedaría así:


#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (donde pone eth0 es la interfaz por donde se sale a internet)
#echo 1 > /proc/sys/net/ipv4/ip_forward


Creo que el problema, para explicarlo voy a numerar las redes:
1- la red del router con internet.
2-la red del servidor
3-la red del wifi.

Simplemente era que los paquetes de la 3 si llegaba a entrar en la red 1, enrutado claro esta por el servidor, pero luego no volvian a la red del 3. ya que el router de la red 1 los descartaba porque no existía un dispositivo con esa IP,

La solucion es que al hacer la máscara de red con el servidor envía los paquetes que recibe de el router wifi con su propia IP ( envio de los paquetes de la red 3 hacia la red 1 pasando por la 2), así el router con internet ( red 1) los vuelve a enrutar hacia el servidor (red 2) que este a su vez lo enruta hacía el router wifi ( red 3).

Espero que le sirva a alguien de algo esta explicación tan poco explicativa. =)


Bueno, gracias madpitbull, supongo que podría estar mejor configurado, pero por lo menos ya tengo a que agarrarme.

madpitbull_99

Antes de agregar/modificar cualquier regla al IpTables asegúrate de hacer un "flush" de las reglas, te ahorrará muchos dolores de cabeza.

Código (bash) [Seleccionar]

#!/bin/sh
echo "[+] Desactivando Firewall, acceso permitido para todo el mundo..."
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT


Después de hacer ese "flush" puedes empezar con las reglas.



«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

moikano→@

Ok, me guardo el script en la caja de herramientas.

Gracias