On 03/01/2013 11:36 AM, manuel "lonely wolf" wolfshant wrote: > On 03/01/2013 09:02 AM, Adrian Sevcenco wrote: >> >>> iar la prima vedere nici nu ai nevoie de xl2tpd, poti rezolva problema >>> cu orice fel de tunel intre sediul vechi si cel nou si eventual un pic >>> de nat facut pe o masina din sediul vechi. eventual chiar pe switch daca >>> e destul de inteligent >> switchul din institut e un hp 2900 iar cel din noua locatie un 1910 .. >> se pot face rutari dar NAT nu cred ... > nu vad nimic relevant pentru NAT in > http://cdn.procurve.com/training/Manuals/2900-MulticastRouting-Jan2008-59916198.pdf > >> poti sa imi explici cum intervine NAT in problema asta? > Pui o masina in sediul vechi care sa redirectioneze traficul catre > cea din noul sediu (eventual prin un tunel point-to-point) si sa > raspunda la arpuri pt cele 3 adrese vechi. Cind vin cereri adresate > celor 3 IP-uri vechi, masina din sediul vechi face DNAT si le > reexpediaza catre cea care a fost mutata. Eventual poti face si un SNAT > , daca e cazul. > Am practicat in disperare sportul asta acum vreo 12-14 ani cind > instalam ADSL la i-cafeuri si licee si se dorea ca masinile din retea sa > aiba fiecare alocat un IP public dar in acelasi timp sa fie cit-de-cit > protejate de atacuri si sa se faca oaresce filtrari asupra traficului > lor, si pe ingress si pe egress. Masinile din reteaua interna aveau > exclusiv IP-uri private iar pe router se adaugau reguli de iptables la > stilul > iptables -A PREROUTING -d 1.2.3.$i -j DNAT --to 10.0.0.$i > iptables -A POSTOUTING -s 10.0.0.$i -j SNAT --to 1.2.3.$i > In PRE se adaugau si ceva conditii de filtrare in functie de jocurile > practicate acolo, astfel incit sa nu fie redirectionat intregul trafic > ci doar ceea ce era relevant pentru situatia in cauza. > Diferenta e ca in acele cazuri aveam control asupra modului cum se > facea routarea cap-coada si puteam declara clasa 1.2.3.x ca fiind > accesibila via IP-ul extern al routerului retelei respective. In cazul > tau, adresele fiind direct conectate si pt ca probabil nu ai control > asupra ce se intimpla "deasupra", va trebui sa configurezi masina din > sediul vechi sa raspunda ea la arp-uri. Daca treaba aste e deranjanta, > probabil avem unul din putinele cazuri nefericite in care e nevoie de > proxyarp Multumesc de explicatie si de idei! Atit de multe optiuni de a ma impusca in picior :D .. mai studiez eu si vad ce ma atrage sa experimentez :D
Multumesc! Adrian
_______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
