NAT entre redes locais

jairovisks
(usa Debian)

Enviado em 06/06/2011 - 18:10h

Salve galera do VOL, pra variar me deparei com um problema que tem que ser resolvido urgente aqui na empresa.

Tenho o seguinte cenário:
- Dois sites interligados através de um link ponto-a-ponto
- Dois routers linux (um em cada ponta)
- Rede site1: 10.10.1.0/24
- Rede site2: 10.10.2.0/24
- Todas as máquinas se conversam normalmente.

O problema:
- O meu link aceita apenas 50 endereços MAC passando por ele por vez
- Tenho 600 máquinas (200 site 1 e 400 site 2)

Solução proposta pelo fonecedor:
- Fazer um NAT entre as redes, dessa forma sempre passaria apenas um MAC por vez.

O que fiz até agora:
- Fiz o nat em um dos roteadores, funcinou blz. Quando envio um pacote para a outra rede a origem do pacote é sempre o ip do roteador.

Problema:

Como faço para fazer o nat do sentido inverso? ficou muito confuso pra mim, não sei se é possível "natear" toda a rede nas duas pontas.
Apenas um lado eu consegui sem problemas, mas isso só resolve o problema dos MACs em um sentido, no outro continua com problemas.

Se alguém tiver uma sugestão ficarei imensamente grato,

PS.: Se não fui bem claro posta aí que tento explicar melhor

removido
(usa Nenhuma)

Enviado em 06/06/2011 - 19:33h

vamos aos esclarecimentos, pois ainda não entendi direito:

1º- a rede A tem 200 maquinas e a rede B tem 400 maquinas?
2º- o problema é fazer os roteadores que interligam ambas as redes a fazer um snat para passar um mac só é isso, ou seja um mac só para rede B da rede A e vice-versa, passar um mac para se conectar a internet?
3º- Os roteadores que está usando aceita scripts, o firmware é baseado no GNU/Linux?

me esclarece isso ai para começamos a tentar resolver o problema, certo?

aguardo seu post....

jairovisks
(usa Debian)

Enviado em 07/06/2011 - 08:56h

Olá eabreu...

Vamos lá:

1º- a rede A tem 200 maquinas e a rede B tem 400 maquinas?
Isso mesmo.

2º- o problema é fazer os roteadores que interligam ambas as redes a fazer um snat para passar um mac só é isso, ou seja um mac só para rede B da rede A e vice-versa, passar um mac para se conectar a internet?
Na verdade a interligação é apenas entre as redes, não para acesso à internet.
Em relação aos MACs é extamente isso.

3º- Os roteadores que está usando aceita scripts, o firmware é baseado no GNU/Linux?
Na verdade eu estou utilizando dois PCs com GNU/Linux trabalhando como roteadores, utilizei o bonding para "agregar os dois links"

Desde já grato pela ajuda

removido
(usa Nenhuma)

Enviado em 07/06/2011 - 19:57h

Depois destes esclarecimentos.. vamos lá......

na maquina 1 (roteador 1) voce faz o seguinte, usa uma regra do iptables para fazer um snat para maquina 2(roteador 2) e vice-versa, certo? vamos primeiro fazer deste jeito se não dê certo tentaremos de outra forma, blz?

Mãos a obra....

configuração da maquina 1 (roteador da rede 1), adicionando regra usando o iptables:

# iptables -t nat -A POSTROUTING -s endereço da rede "lan" -o placa de rede wan -j SNAT --to endereço da placa de rede wan

exemplo:

# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to 10.10.1.1

EXPLICAÇÃO:

* Note acima primeiramente anuncio o programa (iptables e em seguida informo sobre a criação de uma nova regra (-A) ao fim da lista e antes anuncio que tal regra deve ser atribuida a tabela (-t nat)tabela nat, sob a chain POSTROUTING (CHAIN QUE FAZ ALTERAÇÕES EM PACOTES APÓS O TRATAMENTO DO ROTEAMENTO).

* Depois digo que qualquer pacote que possua como origem (-s) rede 192.168.1.0/24 (qualquer endereço desta rede) e que saia pela placa eth1 do roteador 1 deverá ter seu endereço alterado (-j SNAT) alvo SNAT para 10.10.1.1 (--to 10.10.1.1)

OBS: lembre-se que antes de adicionar está regra habilite a função se redirecionamento de pacote (forward) no kernel:

echo "1" > /proc/sys/net/ipv4/ip_forward;

na maquina 2 (roteador 2) faça o mesmo porém trocando o endereço de origem (-s) pelo correspondente, placa wan (-o) pelo correspondente e ip de de troca (--to 10.10.2.0) exemplo: --to 10.10.2.1..

Posta aqui o resultado, se deu certo maravilha, se não deu certo posta o que aconteceu..

flw...

removido
(usa Nenhuma)

Enviado em 08/06/2011 - 19:03h

Testou? deu certo?

fabianocoisa
(usa Debian)

Enviado em 08/06/2011 - 19:40h

Utilizando NAT você não vai conseguir fazer auditoria nos serviços da rede ( Maquina X com ip X acessou serviço Y ).
Caso seja necessário e dependendo da tua necessidade, como alternativa sugiro a utilização de VPN entre os dois roteadores GNU/Linux para interligar as duas redes. Você ainda pode utilizar recursos de compactação e ampliar um pouco a performance do link, mas como falei depende da situação.

Abraço!

jairovisks
(usa Debian)

Enviado em 09/06/2011 - 09:19h

eabreu... não deu certo...

Fazendo o nat de um lado só blz... mas quando faço do outro lado ele perde a comunicação entre as redes...

jairovisks
(usa Debian)

Enviado em 09/06/2011 - 09:20h

fabianocoisa...

Vou trafegar algumas coisas em VoIP sobre essa rede, com a VPN e compactação não terá impacto?

PS.: Sou muito leigo no assunto VPN... XD

diegobnx
(usa Debian)

Enviado em 09/06/2011 - 13:25h

Acho que a VPN resolveria seus problemas como o fabiano disse, imagine que VPN seria um cabo de rede de uma ponta a outra ou um enlace de duas antenas... recomendo o OpenVPN, eu uso ele é muito bom!

Espero ter ajudado de alguma forma rsrs,
abrax.

jairovisks
(usa Debian)

Enviado em 09/06/2011 - 15:53h

Dando uma pesquisada na net acho que realmente a VPN seria a melhor solução...
vou instalar e testar... depois posto o resultado..

Abraço

removido
(usa Nenhuma)

Enviado em 09/06/2011 - 17:52h

* Quando faz em ambos os lados, voce perde comunicação geral?
* Voce fez como descrevi, certinho?
* Seus roteadores tem algum tipo de bloqueio...?

Muito estranho pois era pra funcinar numa boa..