Shapping trafficu s jednou sitovkou

[MEluZíNa]

Zdravim,
zajimalo by me, zda jde shapovat traffic na jedny sitovce. Predstavuju si to tak, ze bych mel comp s linuxem, v nem jednu sitovku a ta mela dve ip adresy. Jedna ip adresa by byla jako vychozi brana pro usery a druhou by linux pouzival pro pripojeni do netu. Síť by vypadala viz obrazek.
Mozna nekomu prijde divny ze hlavni AP ma adresu 192.168.2.6 a pripojuje se k nemu klient s 192.168.1.1 ale takle mi to tu funguje... Spis esi pujde shapovat na ty jedny sitovce... Dik za rady

[MadCap]

aky je dovod nemat v tom PC dve sietovky? ta struktura jak ju mas nakreslenu je brutalne nezmyselna tiez ...

[MEluZíNa]

aky je dovod nemat v tom PC dve sietovky? ta struktura jak ju mas nakreslenu je brutalne nezmyselna tiez ...

co je na tom tak nesmyslneho? Ten klient je na jiny budove a tam nemuzu dat nic krom nej. Takze ten komp musi byt napojen AP. Mno a AP je HW AP takze tam zadnej soft nenarvu. Takze mi z toho takle vysla jedina moznost jak to udelat. BTW nechci vyhazovat penize za dalsi wifinu do toho kompu(pak by to slo dat mezi AP a klienta...) A proc nechci dat druhou sitovku, to je proto, ze nemam tolik volnych portu na switchi...
Takze tak, jenom me proste zajima esi by to takle slo...

[MV]

Ja si jen nejsem presne jisty, jestli by fungovalo spojeni z routeru 192.168.1.2 na 192.168.1.1, kdyz je v ceste Wifi AP s adresou jineho segmentu. Pokud je tim Wifi AP myslem ovislink tak by to mozna fungovalo, ale tezko rict.

Pri preadresovani sem resil docasne podobny "paskvil" s adresama a behalo to:
na Linux AP jsem u wifi adapteru nastavil adresu jak ze stareho rozsahu 172.25.16.x tak i z noveho 10.69.136.x.
Klient mel ovislinka1120, jehoz IP jsem zmenil na dalku take na 10.69.136.x. Samotne pocitace za timto ovislinkem, ale mely adresy stareho rozsahu 172.25.16.x a fungovalo to. Ovislink1120 totiz v klient rezimu (a mozna i v AP rezimu, to vsak nevim, nepouzivame ho tak) funguje jaksi transparentne

[MEluZíNa]

Urcite se dostane. To AP je Edimax EW-6114Wb. Ted mam nastavenou ip AP na 192.168.3.1 a ostatni je stejne jako na obrazku a v pohode se z pc dostanu na net... Takze v tom problem nebude. Tak az budu mit trochu casu tak to vyzkousim esi pujde ten shaping, ale vzhledem k tomu ze to budu delat poprvy a ete takle tak nevim jak to dopadne

[KUBA]

Jo, neměl by to bejt problém, v Linuxu to bude vypadat jako druhý rozhraní, ikdyž to fyzicky bude jen jedno. Shaping na tom rozchodíš. Problém by byl akorát u interface sensitive věcí, třeba DHCP. A musíš počítat s bezpečnostními riziky, když si někdo z těch PC nastaví jinou adresu, tak nepojede přes tvoji gateway. Ta nakreslená struktura dává smysl, ale zvážil bych investici 500 Kč do druhý síťovky a switche, myslím, že se to vyplatí.

[TIMBERJACK]

Ja si jen nejsem presne jisty, jestli by fungovalo spojeni z routeru 192.168.1.2 na 192.168.1.1, kdyz je v ceste Wifi AP s adresou jineho segmentu. Pokud je tim Wifi AP myslem ovislink tak by to mozna fungovalo, ale tezko rict.

Pri preadresovani sem resil docasne podobny "paskvil" s adresama a behalo to:
na Linux AP jsem u wifi adapteru nastavil adresu jak ze stareho rozsahu 172.25.16.x tak i z noveho 10.69.136.x.
Klient mel ovislinka1120, jehoz IP jsem zmenil na dalku take na 10.69.136.x. Samotne pocitace za timto ovislinkem, ale mely adresy stareho rozsahu 172.25.16.x a fungovalo to. Ovislink1120 totiz v klient rezimu (a mozna i v AP rezimu, to vsak nevim, nepouzivame ho tak) funguje jaksi transparentne

Ovis je transparetni vůči IP pochopitelně,ale starší firmware nepropuštěj mac adresy.

[Jezevec]

Fungovat ti to bude, jinak tucnak uz nejakej ten patek nepouziva k pridani dalsi IP vyrobeni dalsiho rozhrani a prida jich libovolne mnoztvi k vybranemu rozhrani (ne ze by dalsi rozhrani vyrobit neslo).

Ovsem viz predchozi, pokud si zmenim GW, tak si namydlenej, protoze se tvymu shapingu vyhnu.

Pro tyhle ucely jsi mel zvolit AP(klienta) s routerem (Asus/Linksys/...), ktery shapovat umi (trebas Linksys s OpenWRT). Myslim ze investovat do dalsi sitovky(zadarmo) + switche (za 300 - 500Kc) je lepsi reseni z hlediska bezpecnosti (muzes celou sit ochranit i FW).

Edit: Technicka, pro podobne ucely je PNG nebo GIF, ne JPG. Obrazek bude mensi a ostrejsi. JPG je urcen pro fotografie, kde ztrata informaci nevadi.

[MEluZíNa]

Ok,priste png

konecne mam trochu casu, tak jsem zkousel zatim obycejny routovani ale zatim se mi to prilis nedari. Vzhledem k tak specifickym podminkam mi google zatim moc napomocen nebyl
Takze mam nekolik otazek
1) Co mam nastavit do /etc/network/interface

Kód:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.1.2
        netmask 255.255.255.0
        gateway 192.168.1.1

auto eth0:1
iface eth0:1 inet static
        address 192.168.2.1
        netmask 255.255.255.0

To mi v poradku pridalo dalsi ip,sla pingovat, ale kdyz chci routovat mezi eth0 a eth0:1 , tak co vsechno mam pridat pomoci prikazu ip route? A nemela by se pridat gateway pro eth0:1?

Kód:

ip route add 192.168.1.0/24 dev eth0  table 120
ip route add 192.168.2.0/24 dev eth0:1 table 120
ip route add default via 192.168.1.1 table 120  
ip ru    add from 192.168.2.0/24      table 120

? Druhy radek mi ale vyhodi chybu ze nenaslo zarizeni eth0:1 .
Tak nevim esi je ten zbytek pak spravne. Dik

PS: ete jsem vycetl ze bych si mel nastavit net.ipv4.ip_forward = 1 ; tak je to nastaveno...

[Jezevec]

Za normalnich okolnosti nemusis routem pridavat nic. Staci routovani povolit (pokud neni) pomoci sysctl nebo echo > /proc/...

[MEluZíNa]

Co znamena routovani povolit? Esi to net.ipv4.ip_forward=1 tak to mam.
Ale stejne se nemuzu pingnout dal nez na 192.168.1.2
A co ta vychozi brana pro to eth0:1 ? jaka ma byt? Zkousel jsem 192.168.2.4 a to se to nako zacyklilo...

[Jezevec]

postni sem bud ip ro ls nebo route. Default GW je jen jedna pro stroj, ne pro kazdy rozhrani. Taky se podivej co mas v iptables.

tohle vyhod:

Kód:

 ip route add 192.168.1.0/24 dev eth0  table 120
ip route add 192.168.2.0/24 dev eth0:1 table 120
ip route add default via 192.168.1.1 table 120  
ip ru    add from 192.168.2.0/24      table 120

to se prida automaticky.

[MEluZíNa]

Route:

Kód:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
default         192.168.2.2     0.0.0.0         UG    0      0        0 eth0

Interface

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.2.4
netmask 255.255.255.0
gateway 192.168.2.2
dns 10.15.6.1

auto eth0:1
iface eth0:1 inet static
address 192.168.1.2
netmask 255.255.255.0

Trochu jsem pozmenil ipiny viz obrazek.


Mno ale proste se pres 192.168.2.4 nedostanu dal.

[Jezevec]

To AP ti funguje jako bridge ? => vidis MAC adresy veci za nim ?

Kazdopadne by ti mel jit ping 192.168.1.1 - X. Pokud AP u me neni bridge, tak ti to fungovat nebude.

Apropos, to tvoje AP neexistuje (Edimax EW-6114Wb).

[MEluZíNa]

Sorry je to 6104wb.

AP bliz k ISP je v rezimu klient a AP u me je standard AP.

Ale kazdopadne, jak jsem psal na zacatku, tak kdyz AP u me bude mit napr 192.168.2.1 a vsechno ostatni 192.168.1.x tak to funguje(myslim ted bez routovani). Takze v tom problem imho nebude...

Ted jsem zkusil dat AP u me 192.168.2.1. A kdyz mam nastavenou na PC 192.168.1.3,GW 192.168.1.2 tak se na tu 192.168.2.1 nedostanu. Takze urcite to neni transparentnosti....