On 03/01/2013 09:02 AM, Adrian Sevcenco wrote:
>
>> iar la prima vedere nici nu ai nevoie de xl2tpd, poti rezolva problema
>> cu orice fel de tunel intre sediul vechi si cel nou si eventual un pic
>> de nat facut pe o masina din sediul vechi. eventual chiar pe switch daca
>> e destul de inteligent
> switchul din institut e un hp 2900 iar cel din noua locatie un 1910 ..
> se pot face rutari dar NAT nu cred ...
nu vad nimic relevant pentru NAT in
http://cdn.procurve.com/training/Manuals/2900-MulticastRouting-Jan2008-59916198.pdf
> poti sa imi explici cum intervine NAT in problema asta?
Pui o masina in sediul vechi care sa redirectioneze traficul catre
cea din noul sediu (eventual prin un tunel point-to-point) si sa
raspunda la arpuri pt cele 3 adrese vechi. Cind vin cereri adresate
celor 3 IP-uri vechi, masina din sediul vechi face DNAT si le
reexpediaza catre cea care a fost mutata. Eventual poti face si un SNAT
, daca e cazul.
Am practicat in disperare sportul asta acum vreo 12-14 ani cind
instalam ADSL la i-cafeuri si licee si se dorea ca masinile din retea sa
aiba fiecare alocat un IP public dar in acelasi timp sa fie cit-de-cit
protejate de atacuri si sa se faca oaresce filtrari asupra traficului
lor, si pe ingress si pe egress. Masinile din reteaua interna aveau
exclusiv IP-uri private iar pe router se adaugau reguli de iptables la
stilul
iptables -A PREROUTING -d 1.2.3.$i -j DNAT --to 10.0.0.$i
iptables -A POSTOUTING -s 10.0.0.$i -j SNAT --to 1.2.3.$i
In PRE se adaugau si ceva conditii de filtrare in functie de jocurile
practicate acolo, astfel incit sa nu fie redirectionat intregul trafic
ci doar ceea ce era relevant pentru situatia in cauza.
Diferenta e ca in acele cazuri aveam control asupra modului cum se
facea routarea cap-coada si puteam declara clasa 1.2.3.x ca fiind
accesibila via IP-ul extern al routerului retelei respective. In cazul
tau, adresele fiind direct conectate si pt ca probabil nu ai control
asupra ce se intimpla "deasupra", va trebui sa configurezi masina din
sediul vechi sa raspunda ea la arp-uri. Daca treaba aste e deranjanta,
probabil avem unul din putinele cazuri nefericite in care e nevoie de
proxyarp
manuel
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
