Alias e schede di rete
47 views
Skip to first unread message
Fabio Contucci
Apr 25, 2011, 10:54:54 AM4/25/11
to pivelli-dev
Anch'io ho avuto il problema dell'impossibilità di navigare una volta
effettuata la registrazione. Ho provato anche con due schede ma a
volte funzionava a volte no, così ho indagato un po' e, almeno sulla
mia macchina ora funziona.
Il problema deriva, almeno nel mio caso, dal fatto che il router di
alice fa l'associazione con il mac address della scheda che si
registra per il voip. Da qui un semplice alias eth0:1 non basta,
bisogna aggiungere un mac address diverso per evitare che il router
alice assegni al traffico internet la rotta per il voip.
Le strade sono due: o utilizzare 2 schede di rete o creare un alias
con mac address diverso, ma c'è ancora da fare un piccolo tuning per
evitare il femomeno "ARP FLUX" che si verifica quando si hanno due
indirizzi appartenenti alla stessa subnet collegati alla stessa rete.
Qui è spiegato molto bene cosa accade :
http://book.chinaunix.net/special/ebook/oreilly/Understanding_Linux_Network_Internals/0596002556/understandlni-CHP-28-SECT-4.html
Comunque la procedura per creare un alias con mac address diverso è
questa:
Supponiamo che eth0 sia 192.168.1.2/24 con default gateway 192.168.1.1
#creo l'alias
ip link add link eth0 address 00:11:11:11:11:11 eth0.1 type macvlan
# configuro l'alias
ifconfig eth0.1 192.168.1.3 up
#evito il problema ARP FLUX
sysctl -w net.ipv4.conf.all.arp_announce=2
sysctl -w net.ipv4.conf.all.arp_ignore=1
#creo la rotta per l'outbound proxy usando l'ip 192.168.1.2
ip ro add 85.38.234.21 via 192.168.1.1 src 192.168.1.2 dev eth0
#cambio l'ip sorgente per il default gateway
ip ro del default via 192.168.1.1 dev eth0
ip ro add default via 192.168.1.1 src 192.168.1.3 dev eth0.1
ip ro flush cache
A questo punto le cose dovrebbero funzionare, ricordarsi che se avete
un firewall abilitato bisogna impostare le regole per eth0.1
(input,forward e mascheramento) se volete navigare.
Se invece usate due schede di rete basta solo ignorare la procedura
per la creazione dell'alias e configurare il resto sostituendo a
eth0.1 il nome della scheda fisica.
effettuata la registrazione. Ho provato anche con due schede ma a
volte funzionava a volte no, così ho indagato un po' e, almeno sulla
mia macchina ora funziona.
Il problema deriva, almeno nel mio caso, dal fatto che il router di
alice fa l'associazione con il mac address della scheda che si
registra per il voip. Da qui un semplice alias eth0:1 non basta,
bisogna aggiungere un mac address diverso per evitare che il router
alice assegni al traffico internet la rotta per il voip.
Le strade sono due: o utilizzare 2 schede di rete o creare un alias
con mac address diverso, ma c'è ancora da fare un piccolo tuning per
evitare il femomeno "ARP FLUX" che si verifica quando si hanno due
indirizzi appartenenti alla stessa subnet collegati alla stessa rete.
Qui è spiegato molto bene cosa accade :
http://book.chinaunix.net/special/ebook/oreilly/Understanding_Linux_Network_Internals/0596002556/understandlni-CHP-28-SECT-4.html
Comunque la procedura per creare un alias con mac address diverso è
questa:
Supponiamo che eth0 sia 192.168.1.2/24 con default gateway 192.168.1.1
#creo l'alias
ip link add link eth0 address 00:11:11:11:11:11 eth0.1 type macvlan
# configuro l'alias
ifconfig eth0.1 192.168.1.3 up
#evito il problema ARP FLUX
sysctl -w net.ipv4.conf.all.arp_announce=2
sysctl -w net.ipv4.conf.all.arp_ignore=1
#creo la rotta per l'outbound proxy usando l'ip 192.168.1.2
ip ro add 85.38.234.21 via 192.168.1.1 src 192.168.1.2 dev eth0
#cambio l'ip sorgente per il default gateway
ip ro del default via 192.168.1.1 dev eth0
ip ro add default via 192.168.1.1 src 192.168.1.3 dev eth0.1
ip ro flush cache
A questo punto le cose dovrebbero funzionare, ricordarsi che se avete
un firewall abilitato bisogna impostare le regole per eth0.1
(input,forward e mascheramento) se volete navigare.
Se invece usate due schede di rete basta solo ignorare la procedura
per la creazione dell'alias e configurare il resto sostituendo a
eth0.1 il nome della scheda fisica.
Maurizio Marini Gmail
Apr 28, 2011, 10:44:24 AM4/28/11
to pivel...@googlegroups.com
mai letta una cosi chiara, mi inchino (bow)
Giacomo Trovato
Apr 28, 2011, 11:06:28 AM4/28/11
to pivel...@googlegroups.com
Io preferisco lavorare sempre con due schede di rete, su due sottoreti diverse.
Una per il voip Alice (192.168.1.x) ed una connessa ad internet
attraverso un firewall Zeroshell (quindi su una sottorete diversa da
quella di Alice - 192.168.0.x).
Una per il voip Alice (192.168.1.x) ed una connessa ad internet
attraverso un firewall Zeroshell (quindi su una sottorete diversa da
quella di Alice - 192.168.0.x).
Ciao!
> --
> Hai ricevuto questo messaggio perché sei iscritto al gruppo "pivelli-dev" di Google Gruppi.
> Per postare messaggi in questo gruppo, invia un'email a pivel...@googlegroups.com.
> Per annullare l'iscrizione a questo gruppo, invia un'email a pivelli-dev...@googlegroups.com.
> Per ulteriori opzioni, visita il gruppo all'indirizzo http://groups.google.com/group/pivelli-dev?hl=it.
>
>
Fabio Contucci
Apr 28, 2011, 7:53:08 PM4/28/11
to pivelli-dev
Per la carità, il mio era solo un esempio per chi non ha il router
sbloccato (quindi con la possibilità di creare un'altra sottorete).
Le possibili configurazioni dipendono dalle proprie esigenze o
comodità di configurazione, ma dal lato sicurezza, IMHO, non cambia
molto usare due reti con ip differenti, appartengono sempre alla
stessa apparecchiatura. Se viene compromessa c'è poco da fare, se hai
delle macchine su subnet 192.168.0.x collegate al router di Alice sono
ugualmente a rischio, tanto per dire.
Comunque l'importante e che tutto funzioni e che i rischi che qualcuno
si possa intrufolare dall'esterno siano davvero minimi.
Ciao
On Apr 28, 5:06 pm, Giacomo Trovato <giacomo.trov...@gmail.com>
wrote:
sbloccato (quindi con la possibilità di creare un'altra sottorete).
Le possibili configurazioni dipendono dalle proprie esigenze o
comodità di configurazione, ma dal lato sicurezza, IMHO, non cambia
molto usare due reti con ip differenti, appartengono sempre alla
stessa apparecchiatura. Se viene compromessa c'è poco da fare, se hai
delle macchine su subnet 192.168.0.x collegate al router di Alice sono
ugualmente a rischio, tanto per dire.
Comunque l'importante e che tutto funzioni e che i rischi che qualcuno
si possa intrufolare dall'esterno siano davvero minimi.
Ciao
On Apr 28, 5:06 pm, Giacomo Trovato <giacomo.trov...@gmail.com>
wrote:
Fabio Contucci
Apr 28, 2011, 7:54:00 PM4/28/11
to pivelli-dev
Grzie, troppo buono :-)
On Apr 28, 4:44 pm, Maurizio Marini Gmail <marini.mauri...@gmail.com>
wrote:
On Apr 28, 4:44 pm, Maurizio Marini Gmail <marini.mauri...@gmail.com>
wrote:
Giacomo Trovato
Apr 29, 2011, 3:22:12 AM4/29/11
to pivel...@googlegroups.com
Certo, volevo solo spiegare la mia configurazione.
Io non configuro altre sottoreti. Il router Alice rimane con la
sottorete di default (192.168.1.x) con l'indirizzo di default
(192.168.1.1).
Sotto il router Alice ho uno Zeroshell, con default gateway 192.168.1.1.
Il mio Asterisk ha due schede di rete: una, per il voip Alice, su
sottorete 192.168.1.x (gw 192.168.1.1), ed una sulla rete interna
(192.168.0.x) con gateway lo Zeroshell (192.168.0.254). Quindi la mia
rete (e l'Asterisk per il voip Eutelia) va in internet attraverso lo
Zeroshell.
Io non configuro altre sottoreti. Il router Alice rimane con la
sottorete di default (192.168.1.x) con l'indirizzo di default
(192.168.1.1).
Sotto il router Alice ho uno Zeroshell, con default gateway 192.168.1.1.
Il mio Asterisk ha due schede di rete: una, per il voip Alice, su
sottorete 192.168.1.x (gw 192.168.1.1), ed una sulla rete interna
(192.168.0.x) con gateway lo Zeroshell (192.168.0.254). Quindi la mia
rete (e l'Asterisk per il voip Eutelia) va in internet attraverso lo
Zeroshell.
Ciao!
Fabio Contucci
May 1, 2011, 8:03:57 PM5/1/11
to pivelli-dev
Un piccolo aggiornamento:
su alcune distro è abilitata la protezione contro l'ip spoofing.
Va disabilitata affinchè funzioni il tutto, per cui in sysctl.conf
aggiungere
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0
oppure
net.ipv4.conf.default.rp_filter = 2
net.ipv4.conf.all.rp_filter = 2
se si vuole autorizzare solo gli indirizzi presenti nella tabella di
routing.
su alcune distro è abilitata la protezione contro l'ip spoofing.
Va disabilitata affinchè funzioni il tutto, per cui in sysctl.conf
aggiungere
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0
oppure
net.ipv4.conf.default.rp_filter = 2
net.ipv4.conf.all.rp_filter = 2
se si vuole autorizzare solo gli indirizzi presenti nella tabella di
routing.
Maurizio Marini Gmail
May 4, 2011, 4:47:11 AM5/4/11
to pivel...@googlegroups.com
2011/4/29 Giacomo Trovato <giacomo...@gmail.com>:
> Certo, volevo solo spiegare la mia configurazione.
> Io non configuro altre sottoreti. Il router Alice rimane con la
> sottorete di default (192.168.1.x) con l'indirizzo di default
> (192.168.1.1).
> Sotto il router Alice ho uno Zeroshell, con default gateway 192.168.1.1.
> Il mio Asterisk ha due schede di rete: una, per il voip Alice, su
> sottorete 192.168.1.x (gw 192.168.1.1), ed una sulla rete interna
> (192.168.0.x) con gateway lo Zeroshell (192.168.0.254). Quindi la mia
> rete (e l'Asterisk per il voip Eutelia) va in internet attraverso lo
> Zeroshell.
quasi quasi me lo installo zeroshell, o ipcop...cosi lo uso pur eper
le vpn in ipsec
non e' male la tua conf :)
> Certo, volevo solo spiegare la mia configurazione.
> Io non configuro altre sottoreti. Il router Alice rimane con la
> sottorete di default (192.168.1.x) con l'indirizzo di default
> (192.168.1.1).
> Sotto il router Alice ho uno Zeroshell, con default gateway 192.168.1.1.
> Il mio Asterisk ha due schede di rete: una, per il voip Alice, su
> sottorete 192.168.1.x (gw 192.168.1.1), ed una sulla rete interna
> (192.168.0.x) con gateway lo Zeroshell (192.168.0.254). Quindi la mia
> rete (e l'Asterisk per il voip Eutelia) va in internet attraverso lo
> Zeroshell.
le vpn in ipsec
non e' male la tua conf :)
Giacomo Trovato
May 4, 2011, 5:05:34 AM5/4/11
to pivel...@googlegroups.com
Ho questa configurazione a casa/ufficio dal maggio 2009, su due
Alix2d13 e funziona che è una meraviglia (su una ho Debian Etch +
Asterisk + FreePbx, sull'altra Zeroshell).
Ora ho fatto un'installazione simile in un asilo privato, dove
gestisco anche telefoni Cisco con SCCP.
In ambedue i casi riesco a connetermi in VPN da PC remoto e fare
chiamate Voip, utilizzandoo Alice o Eutelia.
Alix2d13 e funziona che è una meraviglia (su una ho Debian Etch +
Asterisk + FreePbx, sull'altra Zeroshell).
Ora ho fatto un'installazione simile in un asilo privato, dove
gestisco anche telefoni Cisco con SCCP.
In ambedue i casi riesco a connetermi in VPN da PC remoto e fare
chiamate Voip, utilizzandoo Alice o Eutelia.
Ciao!
Il 04 maggio 2011 10:47, Maurizio Marini Gmail
<marini....@gmail.com> ha scritto:
Maurizio Marini Gmail
May 4, 2011, 5:29:29 AM5/4/11
to pivel...@googlegroups.com
anche tu Alix2d13!?!? :) ;)
hanno 3 schede, una la uso per il router di alice, quella al centro
per i telefoni che ho messo su una rete a parte e la terza
inutilizzata pensavo di usarla come ha suggerito Fabio...
Oppure prendere un'altra alix e installare zeroshell ...vediamo :)
hanno 3 schede, una la uso per il router di alice, quella al centro
per i telefoni che ho messo su una rete a parte e la terza
inutilizzata pensavo di usarla come ha suggerito Fabio...
Oppure prendere un'altra alix e installare zeroshell ...vediamo :)
Giacomo Trovato
May 4, 2011, 5:57:07 AM5/4/11
to pivel...@googlegroups.com
La terza scheda io la utilizzo per internet (per Eutelia), attraverso
Zeroshell.
Zeroshell.
Il 04 maggio 2011 11:29, Maurizio Marini Gmail
<marini....@gmail.com> ha scritto:
Reply all
Reply to author
Forward
0 new messages