Routa trafik från flera nätverk till en gemensam printer.

Permalänk

Routa trafik från flera nätverk till en gemensam printer.

Hejsan, jag lade upp den här på ett annat forum men det är lite mindre aktivt såg jag efteråt, så gör ett försök här och hoppas jag inte gör någon irriterad eller liknande!

Jag har ett litet problem jag sitter o klurar på.

Jag har 5 nätverk som är helt oberoende av varandra (dom är dock i samma byggnad) och dom ska alla kunna använda en gemensam multifunktionskopiator (print + scanning via smtp).

Nätverken får absolut inte komma åt varandra på något sett, scanningen är ett mindre problem då det förmodligen bara är användarna från ett av nätverken som får använda scanningen(Ägaren av kopiatorn).

Min tanke är att använda en dator med 6st NIC´s (ett till varje nätverk + printern som får ett eget) och routa trafiken via iptables/SNAT. Vi kan kalla datorn för Printrouter.
Vidarebefodrar man all trafik som går mot printroutern från ett nätverk, så borde printroutern se ut som en printer från dessa nätverk?
Ska försöka skriva upp lite hur jag menar.

NICet i Printroutern som är kopplat direkt till kopiatorn har IPnr: 192.168.100.100 och kopiatorn i sig 192.168.100.50.
NICet till Nätverk1 har ip 192.168.0.250
NICet till Nätverk2 har ip 192.168.0.251
NICet till Nätverk3 har ip 192.168.1.252
NICet till Nätverk4 har ip 192.168.9.253
NICet till Nätverk5 har ip 192.168.50.254
Vilket IP-Spann som Printrouterns NIC's till nätverkena hamnar i har jag ingen kontroll över, då alla 5 nätverk redan är uppe och snurrar. Kan det bli problem om det är flera nätverk som använder tex 192.168.0.x ? Eller kan man separera trafiken beroende från vilket NIC det kommer ifrån? Jag lekte lite i VMWare och gjorde två maskiner, en linuxmaskin och en Windowsmaskin. Linuxmaskinen fick 2st NIC´s, eth0=192.168.0.200 kopplad till VirtualSwitch2 och eth1=192.168.0.201 kopplad till VirtualSwitch3. Windowsmaskinen kopplades till VirtualSwitch2 men kunde ändå komma åt 192.168.0.201 som är ansluten till VirtualSwitch3. Är detta bara någon form av bugg i Vmware eller kommer det att bli ett problem? Isåfall, går det att få bort via iptables?

Skulle det vara möjligt att routa det såpass att när jag från Nätverk1 ska installera denna printer, installerar drivrutinen och använder ipnr 192.168.0.250 ?

Routingen borde ju vara ganska enkelt. All trafik som kommer till NIC 1-5 ska routas vidare till NIC 6, i princip iaf.

Är jag ute på djupt vatten? Någon som kan ge exempel på hur man ska lägga upp det i iptables ?

Tack på förhand !
MVH Erik.

Permalänk
Medlem

Du behöver något som kan routa mellan flera nät samt kunna specifiera vilken trafik som är tillåten mellan de.

Alltså en pc med linux eller en routerdist, eller en riktig router typ cisco etc. Fördel om du har switch som klara VLAN, då klarar du dig med 1-2 nätverkskort i datorn.

Ska de ha samma nät måste du NATa, vilket kommer krångla till det rejält. Föreslår att du försöker ändra så det blir olika nät.

Om du ska köra linux med iptables lägger du till regler på input som bara tillåter trafik mot internet (om datorn ska NATa mot internet) och adressen som skrivaren har, sen har du default drop.

Beror på hur nätet är uppbyggt idag, har alla separata internetuppkopplingar?

Permalänk

Tack för svaret!

Skrivet av maniak:

Du behöver något som kan routa mellan flera nät samt kunna specifiera vilken trafik som är tillåten mellan de.

Alltså en pc med linux eller en routerdist, eller en riktig router typ cisco etc. Fördel om du har switch som klara VLAN, då klarar du dig med 1-2 nätverkskort i datorn.

Ska de ha samma nät måste du NATa, vilket kommer krångla till det rejält. Föreslår att du försöker ändra så det blir olika nät.

En pc med linuxdist är grundtanken, men vad för cisco-router skulle kunna funka?
Jag har inte rättigheter att ändra i nätverken som redan är uppsatta, det är dock inte säkert att det är samma ip-spann heller då jag inte varit där och rekat ännu.

Att använda VLAN-Switch fungerar bara om dom inte har samma ip-adress spann antar jag?

Skrivet av maniak:

Om du ska köra linux med iptables lägger du till regler på input som bara tillåter trafik mot internet (om datorn ska NATa mot internet) och adressen som skrivaren har, sen har du default drop.

Datorn ska bara NATa mot printern.
Men om jag NATar all inkommande trafik mot printern. Då kommer altså printern bete sig som om den vore medlem i alla nätverken separat?

Skrivet av maniak:

Beror på hur nätet är uppbyggt idag, har alla separata internetuppkopplingar?

Alla nät är helt separata med separata internetuppkopplingar osv, dom har egentligen ingenting med varandra att göra. Det enda dom ska dela är printern (vilken kommer använda kontokontroll för att kontrollera vilket nät som skrivit ut och om det är färg/svartvit utskrift)

Permalänk
Medlem

Jag tycker inte det ser så svårt ut, precis som maniak skrev så tycker jag det verkar lite overkill med så många nätverkskort, en klart snyggare lösning hade varit att använda VLAN om din utrustning stödjer det.

Hur som helst, oavsett om du använder VLAN eller inte så ser jag det inte som något större problem att lösa ditt problem.

En av lösningar är precis som du redan nämnt att använda NAT, lämpligtvis DNAT.

Snyggast blir då att lägga till ett helt nytt nätverk, om du nu använder många nätverk under 192.168.x.x kan det vara bra att använda ett helt annat nätverk för detta nätverk eftersom det kommer vara bakom nat och blir då lätt bortglömt när det i framsidan kanske skissas på att användan nya nät. Säg att vi använder 172.16.0.0/24 för printers, varpå din brandvägg har 172.16.0.1 och din pinter 172.16.0.2

några regler som behövs för att få natten att lira typ:
iptables -t nat -A POSTROUTING -p tcp --dport 631 -o eth0 -j DNAT --to-destination 172.16.0.2
iptables -t nat -A POSTROUTING -p tcp --dport 631 -o eth1 -j DNAT --to-destination 172.16.0.2
iptables -t nat -A POSTROUTING -p tcp --dport 631 -o eth2 -j DNAT --to-destination 172.16.0.2
iptables -t nat -A POSTROUTING -p tcp --dport 631 -o eth3 -j DNAT --to-destination 172.16.0.2
iptables -t nat -A POSTROUTING -p tcp --dport 631 -o eth4 -j DNAT --to-destination 172.16.0.2

där eth0, eth1, eth2, eth3 och eth4 är nätverkskorten mot dina lokala nätverk

Ännu snyggare är dom du har möjlighet att göra dina klienters default gateway aware av det nya nätverket. Lättast är då att bara slänga på en static-route där. Tex: "route add -net 172.16.0.0/24 gw 192.168.0.250" om det är en unix-maskin.

Då behöver du bara ett par regler som förhindrar att någon försöker utnyttja din printserver för att routa sig mellan nätverken.

iptables -I FORWARD -s 192.168.0.0/24 -d 172.16.0.0/24 -j ACCEPT
iptables -I FORWARD -s 192.168.1.0/24 -d 172.16.0.0/24 -j ACCEPT
iptables -I FORWARD -s 192.168.9.0/24 -d 172.16.0.0/24 -j ACCEPT
iptables -I FORWARD -s 192.168.50.0/24 -d 172.16.0.0/24 -j ACCEPT
iptables -P FORWARD DROP

Permalänk
Medlem
Skrivet av Erik Englund:

Att använda VLAN-Switch fungerar bara om dom inte har samma ip-adress spann antar jag?

Svar nej, det en VLAN switch gör är att den ger dig möjlighet att tagga trafiken med ett VLAN nummer på porten mot din printserver vilken du sedan lägger upp ett antal interface på med de vlan-nummer du taggat i swtichen. Då kommer trafiken bli separerad som om du skulle haft 5 olika nätverkskort. Eftersom allt det sker på Layer två nivå är det helt oberoende av vilka adresser du använder.

Permalänk
Skrivet av nfm:

Svar nej, det en VLAN switch gör är att den ger dig möjlighet att tagga trafiken med ett VLAN nummer på porten mot din printserver vilken du sedan lägger upp ett antal interface på med de vlan-nummer du taggat i swtichen. Då kommer trafiken bli separerad som om du skulle haft 5 olika nätverkskort. Eftersom allt det sker på Layer två nivå är det helt oberoende av vilka adresser du använder.

Aha! Tack! Det snyggar ju helt klart upp saker och ting, det får helt enkelt bli en VLAN switch.
Skulle en Zyxel ES2108 funka bra? Runt 1400kr ex.moms, känns overkill att gå upp på en 24p cisco switch, dock endast en femhundring dyrare.

Skrivet av nfm:

En av lösningar är precis som du redan nämnt att använda NAT, lämpligtvis SNAT då du har fasta adresser överallt.

Snyggast blir då att lägga till ett helt nytt nätverk, om du nu använder många nätverk under 192.168.x.x kan det vara bra att använda ett helt annat nätverk för detta nätverk eftersom det kommer vara bakom nat och blir då lätt bortglömt när det i framsidan kanske skissas på att användan nya nät. Säg att vi använder 172.16.0.0/24 för printers, varpå din brandvägg har 172.16.0.1 och din pinter 172.16.0.2

några regler som behövs för att få natten att lira typ:
iptables -t nat -A POSTROUTING -p tcp --dport 631 -o eth0 -j SNAT --to-source 172.16.0.2
iptables -t nat -A POSTROUTING -p tcp --dport 631 -o eth1 -j SNAT --to-source 172.16.0.2
iptables -t nat -A POSTROUTING -p tcp --dport 631 -o eth2 -j SNAT --to-source 172.16.0.2
iptables -t nat -A POSTROUTING -p tcp --dport 631 -o eth3 -j SNAT --to-source 172.16.0.2
iptables -t nat -A POSTROUTING -p tcp --dport 631 -o eth4 -j SNAT --to-source 172.16.0.2

där eth0, eth1, eth2, eth3 och eth4 är nätverkskorten mot dina lokala nätverk

Ja, du har en riktigt bra poäng där!

Skrivet av nfm:

Ännu snyggare är dom du har möjlighet att göra dina klienters default gateway aware av det nya nätverket. Lättast är då att bara slänga på en static-route där. Tex: "route add -net 172.16.0.0/24 gw 192.168.0.250" om det är en unix-maskin.

Jag har förmodligen inte möjlighet att göra detta. Men jag ska definitivt ha det i åtanke och se efter om möjligheten finns!

En VLAN-Switch och en liten dator med en något bantat Ubuntu och dubbla NIC´s får göra susen. Ska kika om det finns några fina små färdiga datorer man kan köpa in.

Permalänk
Medlem
Skrivet av Erik Englund:

Jag har förmodligen inte möjlighet att göra detta. Men jag ska definitivt ha det i åtanke och se efter om möjligheten finns!

Om du inte gör det han skrev så kommer inte datorerna kunna hitta till din router och sedan till din skrivare.

Permalänk
Skrivet av The_SLain_Man:

Om du inte gör det han skrev så kommer inte datorerna kunna hitta till din router och sedan till din skrivare.

Är det inte så att om jag inte lägger till den som sökväg i gatewayen så kommer jag få lov ansluta till tex, 192.168.0.250 istället för 172.16.0.2 ?

Den kommer ju vidarebefodra all trafik direkt till printern med NAT, så i praktiken borde det inte bli någon skildnad?

Permalänk
Avstängd

Fan vad mycket kunskap det finns här på swec. Swec är bäst!

Permalänk
Medlem
Skrivet av Erik Englund:

Är det inte så att om jag inte lägger till den som sökväg i gatewayen så kommer jag få lov ansluta till tex, 192.168.0.250 istället för 172.16.0.2 ?

Den kommer ju vidarebefodra all trafik direkt till printern med NAT, så i praktiken borde det inte bli någon skildnad?

Jag uppfattade det som att din printer router inte var default gateway på nätet och om du inte kan göra den router som är default gateway medveten om ditt printernät och hur man tar sig dit så kommer datorerna inte att hitta dit.
Men kan ha missförstått din setup också.

Permalänk
Medlem

sjukt, gör exakt samma sak på mitt jobb nu 5 nät på en våning om ska komma åt ett gemensamt printer nät men inte ha någon access till varandra.

Permalänk
Medlem
Skrivet av The_SLain_Man:

Jag uppfattade det som att din printer router inte var default gateway på nätet och om du inte kan göra den router som är default gateway medveten om ditt printernät och hur man tar sig dit så kommer datorerna inte att hitta dit.
Men kan ha missförstått din setup också.

Har routern i fråga en adress i varje nät och natar mot printern så kommer det fungera.

Permalänk
Skrivet av The_SLain_Man:

Jag uppfattade det som att din printer router inte var default gateway på nätet och om du inte kan göra den router som är default gateway medveten om ditt printernät och hur man tar sig dit så kommer datorerna inte att hitta dit.
Men kan ha missförstått din setup också.

Den är inte default gateway i något utav nätena.

Skrivet av tJev:

sjukt, gör exakt samma sak på mitt jobb nu 5 nät på en våning om ska komma åt ett gemensamt printer nät men inte ha någon access till varandra.

Visst är det kul med lite special ibland

Skrivet av maniak:

Har routern i fråga en adress i varje nät och natar mot printern så kommer det fungera.

Ja, visst borde det vara så.

Kan det räcka med en lite mera avancerad switch med vlan och inbyggd nat? Altså att skippa datorn helt?
Cisco borde väl kanske ha någon lämplig switch?