Gracias a todos por su ayuda!!! ya tengo todo funcionando.... no 100% pero funciona !!! tambien solucione el problema en el cisco!!
bien, ahora voy con la pregunta.... :-) tengo todo configurado como dice el mail de abajo, el problema que tengo es que no puedo llegar a la red 10.0.0.0/8 desde los host conectados al linux. Es decir, no puedo hacer un ping desde 200.68.245.246 a la 10.0.0.5 porque? pero si llego a la 10.0.0.2 y a la 10.0.0.1. bueno... por ahora ese es mi karma :-) saludos a todos! El vie, 23-04-2004 a las 18:16, nmag only escribi�: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Hola, > > Establezca la red entre el Cisco y el Router gnu/linux como > 10.0.0.0/8 en vez de 10.0.0.0/29 (tiene que cambiarlo en > ambos) > > Esto es lo que deber�a tener: > > |internet| > . | > . # IP WAN > .(cisco) > . # 10.0.0.1 > . | > . | [10.0.0.0/8] > . | > . # 10.0.0.2 > (======================Router gnu/linux==================) > .# 200.68.245.253 # 200.68.245.245 # 200.68.245.249 > .| | | > .| [200.68.245.252/30] | [200.68.245.244/30] | [200.68.245.248/30] > .| | | > .# 200.68.245.254 # 200.68.245.246 # 200.68.245.250 > > Ahora, el Router gnu/linux llega a 10.0.0.1 y tambi�n a > 200.68.245.254, 200.68.245.246 y 200.68.245.250 > > Primero revisar si ip forwarding est� habilitado (ya me dijo en > otro correo que si pero confirmelo) ahora revisar la pol�tica del > canal FORWARD del Router gnu/linux pruebe poni�ndolo en ACCEPT, ya > cuando logre la conectividad puede poner sus reglas de filtrado > por ahora: > > iptables -P FORWARD ACCEPT > > Ahora revisar la configuraci�n de los host que est�n conectados al > Router gnu/linux por eth(1|2|3) > > el host 200.68.245.254 deber� tener al menos algo como: > > host_1:~# ip route show > 200.68.245.252/30 dev eth0 proto kernel scope link src 200.68.245.254 > default via 200.68.245.253 dev eth0 > > > el host 200.68.245.246 deber� tener al menos algo como: > > host_2:~# ip route show > 200.68.245.244/30 dev eth0 proto kernel scope link src 200.68.245.246 > default via 200.68.245.245 dev eth0 > > > el host 200.68.245.250 deber� tener al menos algo como: > > host_3:~# ip route show > 200.68.245.248/30 dev eth0 proto kernel scope link src 200.68.245.250 > default via 200.68.245.249 dev eth0 > > > Si su configuraci�n es as�, y los hosts no llegan a la red 10.0.0.0/8, > osea no hacen ping al 10.0.0.2 del Router gnu/linux y no hacen ping al > 10.0.0.1 del cisco entonces tendr� que agregar una ruta est�tica por > cada host indic�ndoles por cual dispositivo encontrar� la red > 10.0.0.0/8, por ejemplo: > > host_1:~# ip route add 10.0.0.0/8 via 200.68.245.253 dev eth0 > > host_2:~# ip route add 10.0.0.0/8 via 200.68.245.245 dev eth0 > > host_3:~# ip route add 10.0.0.0/8 via 200.68.245.249 dev eth0 > > Y haga la prueba... > > Saludos! > > nmag only > ____________ > > > SeB@ wrote: > | aqui envio las rutas y direcciones de las eth: > | > | premier:~# ip route show > | 200.68.245.248/30 dev eth3 proto kernel scope link src 200.68.245.249 > | 200.68.245.252/30 dev eth1 proto kernel scope link src 200.68.245.253 > | 200.68.245.244/30 dev eth2 proto kernel scope link src 200.68.245.245 > | 10.0.0.0/29 dev eth0 proto kernel scope link src 10.0.0.2 > | default via 10.0.0.1 dev eth0 > | > | > | premier:~# ip addr show > | 1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue > | link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 > | inet 127.0.0.1/8 scope host lo > | 2: teql0: <NOARP> mtu 1500 qdisc noop qlen 100 > | link/void > | 3: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 > | link/ether 00:60:08:6d:76:44 brd ff:ff:ff:ff:ff:ff > | inet 10.0.0.2/29 brd 10.0.0.7 scope global eth0 > | 4: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 > | link/ether 00:a0:24:da:d5:de brd ff:ff:ff:ff:ff:ff > | inet 200.68.245.253/30 brd 200.68.245.255 scope global eth1 > | 5: eth2: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 > | link/ether 00:04:75:c9:4b:87 brd ff:ff:ff:ff:ff:ff > | inet 200.68.245.245/30 brd 200.68.245.247 scope global eth2 > | 6: eth3: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 > | link/ether 00:04:75:c9:4c:22 brd ff:ff:ff:ff:ff:ff > | inet 200.68.245.249/30 brd 200.68.245.251 scope global eth3 > | premier:~# > | > | > | y las pruebas que me pedias: > | ping desde el router linux hacia el cisco, y a los otros host funciona. > | ping desde cualquier host conectado a eth1/3 hasta el router linux, que > | seria el gw, si tiene ping. Pero cuando hago ping hacia la 10.0.0.1 ya > | no tengo ping. :-( > | > | > | espero haberme explicado > | > | y... gracias nuevamente !! > | > | > | El jue, 22-04-2004 a las 17:20, nmag only escribi�: > | > | Le recomiendo que use iproute 2, si no lo tiene, inst�lelo > | > | apt-get install iproute > | > | ejecute: > | > | ~ ip route show > | > | y > | > | ~ ip addr show > | > | y env�a los resultados de ambos comandos para poder ayudarle... > | > | El truco esta con jugar con las rutas est�ticas... > | > | Por ahora haga la prueba siguiente (mientras env�a los datos que le da > | ip route)... > | > | Desde el router linux compruebe que recibe respuesta ping del cisco > | (10.0.0.1) y compruebe que puede hacer ping a los nodos que estan > | conectados a eth3 (200.68.245.248), eth2 (200.68.245.252) y eth1 > | (200.68.245.244) osea .249, .253 y .245, si la respuesta de los ping de > | estos nodos es adecuada entonces haga una prueba adicional m�s, esta vez > | ya no desde el router linux, sino desde uno de los equipos que se > | conectan directamente a eth1, eth2 o eth3, por ejemplo podr�a ser el > | equipo que tiene el ip 200.68.245.245, desde dicho equipo hacer ping a > | su punto adyacente en eth1 del router linux osea hacerle un ping a > | 200.68.245.244, si la respuesta es correcta, entonces hacer otro ping > | pero esta vez al ip del al interfaz eth0 del router linux que en este > | caso deber�a ser 10.0.0.2, si tambi�n responde entonces el router linux > | estar�a trabajando perfectamente... el problema podr�a ser el cisco. > | > | En el router cisco** tiene que tener habilitado ip routing y al menos > | una ruta est�tica la cual debe se�alar que puede encontrar al red > | 200.68.245.240/28 v�a 10.0.0.2 (que es el IP del router linux) > | > | Adicionalemente tiene que tener en cuenta que si tiene otros equipos > | detr�s de los equipos que tienen los IP p�blicos fijos deber� adicionar > | rutas est�ticas por cada red en el router linux, por ejemplo un servidor > | que hace NAT en 200.68.245.253 que evidetemente es el equipo que est� > | conectado al eth1 del router linux y detr�s de el hay una red > | 192.168.1.0/24, entonces el router linux tendr� que tener una ruta > est�tica > | > | ip route add 192.168.1.0/24 via 200.68.245.253 dev eth1 > | > | Esa l�nea de ip route 2 es bien sugerente, le dice al router linux que > | la red 192.168.1.0/24 se encontrar� a trav�s del equipo con IP > | 200.68.245.253 que esta conectado a la interfaz eth1 > | > | Es ese esquema es exactamente el mismo que debe seguir el cisco** para > | encontrar la red 200.68.245.240/28 a trav�s del ip 10.0.0.2 que es el > | del router linux. > | > | Saludos! > | > | nmag only > | ____________ > | > | > | SeB@ wrote: > | | Excelentes sus respuestas, ya me aclararon mucho el panorama... > | | GRACIAS a todos! > | | > | | > | | pero tengo algun otro problemita ya que no me rutea :-( > | | ya elimine el NAT del router linux, tengo el iptables "limpio" > | | y la que sigue es la tabla de rutas: > | | > | | Destination Gateway Genmask Flags Metric Ref Use Iface > | | 200.68.245.248 0.0.0.0 255.255.255.252 U 0 0 0 eth3 > | | 200.68.245.252 0.0.0.0 255.255.255.252 U 0 0 0 eth1 > | | 200.68.245.244 0.0.0.0 255.255.255.252 U 0 0 0 eth2 > | | 10.0.0.0 0.0.0.0 255.255.255.248 U 0 0 0 eth0 > | | 0.0.0.0 10.0.0.1 0.0.0.0 UG 0 0 0 eth0 > | | > | | y tengo el ipfordwarding activado > | | > | | que deberia modificar??? > | | > | | > | | > | | > | | > | | saludos! > | | > | | > | | > | | El mi�, 21-04-2004 a las 18:00, nmag only escribi�: > | | > | | SeB@ wrote: > | | | Bueno, ante todo gracias por su tiempo.... > | | | > | | | y paso a explicar mejor :-) > | | | > | | | [Internet] nota: las # son eth > | | | | > | | | | > | | | | > | | | # (1 ip publica (1)) > | | | [Cisco] > | | | # (1 ip publica (2)) (pienso ponerle privada cuando funcione > todo) > | | | | > | | | | > | | | # (1 ip publica (3)) (tambien en el futuro iria una privada) > | | | [router Linux] > | | | #1 #2 #3 (cada una con una ip publica y serian el gw de > | | | | \ \ cada subred #1, #2, #3) > | | | | \ \ > | | | | \ \ > | | | # # # > | | | [SUBRED1][SUBRED2][SUBRED3] en cada una de estas subredes 1 o 2 > | | | ip publicas y hago nat para que puedan > salir el > | | | resto de las pcs (con ip privada) de la red. > | | | algunas dee estas prestan servicio web, ftp > | | | mail, etc. > | | | > | | | > | | | esta bien todo esto??? o es un delirio?? ;-) > | | > | | La idea est� bien, y no es un deliro... > | | > | | lo que tiene que tener en claro es: > | | > | | |internet| > | | . | > | | . # (ip que pertenece al sistema aut�nomo del proveedor) > | | .(cisco) <-- RUTA EST�TICA PARA ENCONTRAR LA RED PUBLICA A TRAV�S DE LA > | | . # (ac� debe poner un IP privado) PRIVADA > | | . | [se convierte en una red privada] > | | . # (otro IP privado) > | | (router gnu/linux) <-- SIN NAT, CON DEFAULT GATEWAY EL IP PRIVADO CISCO > | | . # # # # (cuatro subredes /30 que salen de la subred /28 de ips > | | . | | | | p�blicos que su proveedor le ha asignado) > | | . | | | | [las cuatro subredes /30] > | | . # # # # (estas cuatro interfaces pertenecen a 4 servidores) > | | (servidores) <-- SE PUEDEN PONER SERVICIOS CON IPS P�BLICOS FIJOS Y SI > | | . REQUIERE DAR INTERNET A OTROS EQUIPOS AQU� SI IR�A NAT > | | > | | Si se da cuenta una subred /30 le da 4 ips uno de red otro broadcast y > | | justo le quedan 2 ips p�blicos fijos disponibles por los 4 tiene los > | | 16 ips p�blicos asignados por su proveedor, y le quedar�an justitos... > | | > | | Ahora las interfaces de cara a su red del (router linux) tendr�an un ip > | | p�blico fijo y los servidores tambi�n y en ellos podr�a montar > | | servicios... y si su lan se extiende, ah� si tendr�an que usar NAT pero > | | ser�a a trav�s de los 4 servidores finales... > | | > | | Lo que hay que considerar es en cambiar la configuraci�n del (cisco) > | | para que la interfaz que mira hacia su lan tenga configurada una red > | | privada (en vez de la subred p�blica /28 que le asigno su proveedor) y > | | adicionar una ruta est�tica para que sepa que esa subred /28 de ips > | | p�blicos fijos asignados por su proveedor se encuentra ahora a trav�s de > | | esa red privada y obvio que el router linux distinguir� las subredes /30 > | | definidas en �l... > | | > | | Ahora un ejemplo con n�meros, supongamos su ip wan (el del sistema > | | aut�nomo es 216.10.234.21) y le han asignado la subred 216.12.30.128/28 > | | > | | primero hagamos subredes /30 de sus ips disponibles... > | | > | | 216.12.30.128/30 (red .128, brd .131, ips disponibles .129 y .130) > | | 216.12.30.132/30 (red .132, brd .135, ips disponibles .133 y .134) > | | 216.12.30.136/30 (red .136, brd .139, ips disponibles .137 y .138) > | | 216.12.30.140/30 (red .140, brd .143, ips disponibles .141 y .142) > | | > | | Y tenemos todo dividido y listo para implementar, no nos olvidemos de > | | nuestra red privada, que sea un 10.0.0.0/29 puede ser... ahora como > | | queda nuestro esquema con n�mero y no palabras :)) > | | > | | |internet| > | | . | > | | . # 216.10.234.21 > | | .(cisco) > | | . # 10.0.0.1 > | | . | > | | . # 10.0.0.2 > | | (======================Router gnu/linux=====================) > | | .# 216.12.30.129 # 216.12.30.133 # 216.12.30.137 # 216.12.30.141 > | | .| | | | > | | .| | | | > | | .# 216.12.30.130 # 216.12.30.134 # 216.12.30.138 # 216.12.30.142 > | | (servidor) (servidor) (servidor) (servidor) > | | . ^http ^correo ^NAT1 ^NAT2 > | | > | | Supongo que ahora queda un poco mas claro > | | > | | Saludos! > | | > | > > - -- > nmag only > gnupg 0xA024A03F [pgp.mit.edu] && GNU/Linux Registered User #312624 > > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.2.4 (GNU/Linux) > Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org > > iD8DBQFAiYfHy3Ce2qAkoD8RAkz/AKCHnvf4IriLhAOmP+3A8AVJ/ULJHgCfdJMB > uTqjIZcqe+DOyWAM62vuc0w= > =UXXJ > -----END PGP SIGNATURE-----
