Как создать подсеть между двумя различными сетями

во-первых, каждая локальная сеть будет своей собственной подсетью (что является сокращением для "подсети", где "сеть" относится ко всей сети; в вашем случае "сеть", скорее всего, интернет). Необходимо настроить маршрутизацию между двумя подсетями. Они останутся отдельными сущностями, но трафик между ними сможет протекать.

первое, что вам нужно подтвердить, это то, что диапазоны IP не перекрываются. Например, 10.35.1 / 24 и 10.35.2 / 24 в порядке, но 10.35.1.0 / 16 и 10.35.2.0 / 16 не (потому что в последнем случае диапазоны IP перекрываются и нет никакого хорошего способа для маршрутизатора знать, какой трафик должен пойти куда).

Я не знаю точно, какие шаги вам нужно предпринять, чтобы настроить это в dd-wrt (как в "нажмите здесь, введите это,..."), но то, что вам нужно сделать, это:

1. физически подключите маршрутизатор A к маршрутизатору B (проводной или беспроводной, прямой или через туннель, но им нужен способ поговорить с каждым другие.)
2. настроить маршрутизатор A для маршрутизации любого трафика, предназначенного для сети, обслуживаемой маршрутизатором B (10.35.2/24) по ссылке на маршрутизатор B.
3. настроить маршрутизатор B для маршрутизации любого трафика, предназначенного для сети, обслуживаемой маршрутизатором A (10.35.1/24) по ссылке на маршрутизатор A.
4. на обоих маршрутизаторах настройте все необходимые правила брандмауэра, чтобы разрешить трафик между сетями, обслуживаемыми маршрутизатором A и маршрутизатором B. В зависимости от особенностей это может или не может быть строго обязательно.

шаги 2 и 3 (которые являются волшебным соусом для выполнения этой работы вообще) обычно выполняются путем настройки статические маршруты. Любой умеренно компетентный стек IP обеспечивает способ сделать это, и я не могу себе представить, что dd-wrt будет каким-либо исключением, Хотя точная механика того, как это сделать, варьируется. Общая идея-рассказать каждому маршрутизатору, что "для достижения сети.б.С. D/Е", он должен "направить трафик через fghij ссылке" и/или "передайте трафик маршрутизатору следующего перехода k.l.м. n"; так работает вся маршрутизация в IP-сети, такой как интернет. Если вы задаете маршрутизатор следующего перехода, то этот маршрутизатор должен быть доступен через другие настроить маршрут.

например, рассмотрим следующую таблицу маршрутизации IPv4, которая должна быть аналогична настроенной:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

чем это говорит: в сеть 192.168.1.0 маска 255.255.255.0 (что соответствует 192.168.1 / 24), используйте шлюз 0.0.0.0 (то есть просто сбрасывайте трафик в сеть) по интерфейсу eth0. Для достижения сети 0.0.0.0 маска подсети 0.0.0.0 (или 0.0.0.0 / 0, "маршрут по умолчанию"), лучший вариант, чтобы спросить 192.168.1.254 направить трафик к его конечному пункту назначения. Только маршрутизаторы основной сети не имеют маршрута по умолчанию; это называется DFZ или зона по умолчанию. Когда вы получаете" нет маршрута к хосту " ошибка, это почти всегда, потому что вы попали маршрутизатор, который имеет нет способа передачи трафика на конечный хост.

маршруты всегда рассматриваются в способе наиболее конкретных совпадений, и также как следствие маршрут по умолчанию только консультируется, если никакие другие настроенные совпадения маршрута. Следовательно, если я хочу направить трафик к 172.16.128,0 / 23 по физическому соединению, присоединенному к eth1, я бы закончил с таблицей маршрутизации так же, как следующее:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 eth0
172.16.128.0    0.0.0.0         255.255.254.0   U     0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

путем делать соответствуя изменение на другой стороне, я могу обеспечить что обратный трафик сможет поступать обратно в исходную сеть, обеспечивая двустороннюю связь по выделенному каналу.

как только вы сделали этот тип изменения в вашей конфигурации DD-wrt на обоих концах, хосты в двух сетях должны по крайней мере быть в состоянии говорить с маршрутизатором на другом конце ссылки. (в этот момент, это, скорее всего, сводится к настройке брандмауэра, чтобы разрешить соответствующий трафик через.)

Это на самом деле простая задача. Две DD-WRT могут быть сконфигурированы как пара клиент-сервер OpenVPN, которая позволяет объединить две отдельные подсети.

настройка OpenVPN соединения, в мостовой настройки объясняется на этой очень ясной странице DD-WRT wiki. Конфигурации иногда называют сайтами мост через VPN.

единственное, что осталось сделать, это убедить два маршрутизатора, что две подсети на самом деле принадлежит к большой сети. Этого можно достичь, просто используя более широкую маску подсети. Самая маленькая из существующих сетей /22, или 255.255.252.0. Это означает, что необходимо будет изменить маску подсети в GUI конфигурации каждого маршрутизатора DD-WRT. После этого потребуется некоторое время (= время аренды или 1 час для большинства локальных сетей) для распространения изменений на DHCP-клиенты.

комментарии:

1. Do не изменить диапазон IP-адресов, назначенных каждым маршрутизатором. В их нынешнем виде они не дублируют друг друга, и это все, что имеет значение.

2. вы получите некоторое пересечение трафика уровня 2 из одной подсети в другую. Это включает трафик ARP и так далее. Если у вас коммерчески быстрая сеть,то есть, по крайней мере 10 МБ/с, не беспокойтесь об этом вообще, вы не будете тратить скудную пропускную способность вообще. Вместо этого у вас будет all протоколы работают через делите, можно печатать на принтере в другом офисе, делиться каталогами и файлами и так далее: есть no ограничения, все будет работать как бы два отделения-одно. Если вы действительно хотите заблокировать трафик уровня 2, ссылка выше покажет вам, как это сделать с помощью ebtables, но это не стоит боли.

3. когда запрос DHCP сделан, неясно, какой маршрутизатор выиграет гонку, что означает, что у вас может быть 10.35.1.xx шт среди 10.35.2.xx братья. Вам не нужно беспокоиться об этом: именно потому, что две подсети идеально интегрированы, система будет работать безупречно, несмотря ни на что. Однако, если вы обеспокоены этим, все, что вам нужно сделать, это ввести iptables правило, на каждом роутере которое блокирует DHCP ответы (не те запросы, которые используют сырые сокеты):

     iptables -A FORWARD -dport 67:68 -sport 67:68 -j DROP
   

4. система устойчива. Семь лет назад я установил одно соединение такого типа между дом и моя лаборатория в университете, где я работаю: соединение никогда не было сбоем.