Benvingudes i benvinguts al portal Linkat

La Linkat és la distribució educativa de GNU/Linux que ha iniciat i ofereix el Departament d'Educació a la comunitat educativa. Es tracta d'un projecte de programari lliure que permet als centres educatius, però també a tota la societat, tenir accés de forma legal, gratuïta i amb suport tècnic professional, a un conjunt molt ampli d'aplicacions: educatives, d'ofimàtica, d'Internet, multimèdia...

VLANs i problemes amb servidor de comunicacions Linkat 4 en centre Heura  Final

  • Hola,

    Hem estat fent proves d'implantació del servidor de comunicacions a la nostra xarxa, per poder fer balanceig entre el router XEBA i un parell de routers més d'estrena recent que ens fan MOLTA falta. La instal·lació i la configuració bàsica sense problemes, seguint la guia publicada de la wikilinkat

    Som un centre amb infraestructura Heura, sense Educat.

    Amb la nova configuració, quan l'accés a Internet el fem des de la subxarxa 192.168.0.0 (aules), no tenim en principi problemes, però no ens passa el mateix des de la subxarxa 192.168.1.0 (professorat) ni des de la VLAN10 d'administració 192.168.110.0. Des de la 1.0 i la 110.0 ens quedem sense sortida a Internet (de fet, quan fem un ping al servidor de comunicacions 192.168.0.17 aquest no ens respon). Un esquema simplificat de la xarxa de l'institut amb les noves IP utilitzades a les proves és visible a: http://www.glif…/2999171/L.png. A les proves hem canviat al switch de capçalera la Default Gateway 192.168.0.3 (router XEBA) per la 192.168.0.17 (servidor de comunicacions LK4).

    A més, des d'Internet perdem la visibilitat del servidor http://iesramoncasas.xtec.cat (servidor web, ssh, mysql...)

    Les ACL actualment implementades al switch de capçalera : http://goo.gl/b63L7

    De moment no hem tocat res del tallafocs iptables...

    Podeu ajudar-nos?

    Gràcies per endavant,

    Albert Martí
    Institut Ramon Casas
    Palau-solità i Plegamans
  • Hola, torno a ser jo,

    Crec que a una part del problema li he trobat solució documentada per en Joan de Gràcia en una conversa del grup “el termometretic” (gràcies, Joan!), però encara no l'he pogut provar:

    Afegir les rutes següents dins del fitxer /usr/share/lustitia/lustitia_boot

    route add -net 192.168.110/24 gw 192.168.0.5 dev eth2
    route add -net 192.168.130.0/24 gw 192.168.0.5 dev eth2
    .../...

    on eth2 és la targeta ethernet del servidor de comunicacions connectada a la xarxa local.

    Després, entenc, el ROSCO enviarà els paquets a la seva passarel·la per defecte (que al nostre cas correspon a la 192.168.0.17, que és la eth2 del servidor de comunicacions)

    Fent aquesta modificació tindrem prou per assegurar els accessos des de l'exterior al nostre servidor web iesramoncasas.xtec.cat o caldrà fer més canvis?

    Al centre em demanen, també, que la navegació des de la VLAN 10 (administració) es faci sempre pel router XEBA (Ips 0.3 i 1.3)... Com s'aconsegueix?

    Gràcies de nou,

    Albert Martí



    Editat per amarti42 el 06/Nov/2011 - 09:31.
  • Quote

    Fent aquesta modificació tindrem prou per assegurar els accessos des de l'exterior al nostre servidor web iesramoncasas.xtec.cat o caldrà fer més canvis?


    Per connectar des de l'exterior al vostre servidor es va afegir una regla de NAT al router XEBA, no? LA IP que es va posar aquí segueix coincidint amb la IP del servidor? Crec que no cal fer cap canvi, llavors.

    Salut.

    Projecte Linkat
  • Gràcies per la resposta, Pablo,

    Amb les modificacions al fitxer lustitia_boot ha quedat ja resolt el problema de l'accés a Internet des de les VLAN.

    No està resolt, en canvi, l'accés al servidor http://iesramoncasas.xtec.cat des de l'exterior. Comprovo també que des de la xarxa local no hi connecto (sí que ho puc fer apuntant directament a la IP interna 0.207 del servidor web en lloc d'apuntar al nom)

    Pot ser que tingui a veure amb el fet que el router XEBA té com a IP 192.168.0.3 però també la 192.168.1.3 com a IP secundària (aquesta darrera és la que s'utilitza per sortir a l'exterior, ja que aquest router està connectat a la targeta 192.168.1.17 del servidor de comunicacions). La regla NAT que deu existir al router XEBA (s'ha de dir que no hi tenim accés) deu buscar probablement la IP 0.207 del servidor i no la pot trobar... Què hi podem fer? (El servidor, per cert, també té una 2a IP 1.207)

    Puc monitoritzar d'alguna manera les sortides pels diferents routers?

    Tampoc no veig com puc 'obligar' la VLAN 10 a sortir pel router XEBA...

    Gràcies de nou, i disculpeu l'extensió dels missatges...

    Albert Martí



    Editat per amarti42 el 07/Nov/2011 - 20:44.
  • Hola novament,

    Efectivament tenim problemes per accedir des dels equips d'administració i gestió (VLAN10) a determinats llocs web (Per exemple "La meva XTEC", l'espai de Google Apps de l'INS Ramon Casas... Un parel d'exemples de missatge d'error al navegador:
    "sites.google.com ha enviat un missatge incorrecte o no esperat. Codi d'error: -12263)"
    o bé:
    "Error de connexió SSL. No és possible establir una connexió segura amb el servidor. Pot tractar-se d'un problema d'autorització de client que no teniu,..."

    La navegació per altres llocs web funciona sense problemes.

    Albert
  • Hola,

    Per fer funcionar webs amb SSL o HTTPS cal seguir la guia de configuració del servidor de comunicacions:
    http://linkat.x…icacions#HTTPS

    Cal crear les regles IPTABLES i configurar el navegador dels clients.

    A veure si amb això ja et funciona.

    Salut.

    Projecte Linkat
  • Hola Pablo,

    Ara ja ho hem resolt, efectivament no havíem observat aquestes instruccions. Ens queda anar configurant ara els navegadors dels clients...

    Com comentaves més amunt, donat que no hem fet canvis al router XEBA ni a la IP del servidor (segueix essent la 192.168.0.207) l'explicació que no puguem veure l'adreça http://iesramoncasas.xtec.cat ha de buscar-se al servidor de comunicacions... Quines comprovacions hi hauria de fer?

    Gràcies altre cop,

    Albert Martí
  • Hola Albert,

    La regla d'Iptables que necessites és aquesta, que et redireccioni tot el transit del port 80 cap a la IP del teu servidor web (eth0 és la targeta del servidor de comunicacions que es troba mirant a fora de la xarxa i hauries de canviar la IP 192.168.0.240 per la IP del teu servidor web):

    Code

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.240:80


    A veure si et funciona.

    Salut.

    Projecte Linkat
  • Pablo,

    Ho he provat però no ho soluciona. Ho he fet inserint la línia que em comentes a l'arxiu /usr/share/lustitia/nat, reiniciant després lustitia_rc i també ho he provat des de línia de comandes. Segur que no hi tindrà res a veure que la IP principal del router sigui la 0.3 i algun registre de la taula d'encaminaments del router no sigui ara l'adient?

    Albert



    Editat per amarti42 el 09/Nov/2011 - 14:40.
  • Hola,

    crec que el teu problema és que el servidor web està sortint pel servidor de comunicacions.
    Intenta fer que la gateway del servidor web sigui directament el router Xeba perquè és allà on hi ha la regla que redirecciona cap al servidor web.

    Per fer que funcioni ara, hauries de demanar que les peticions que es reben des d'Internet al Xeba les redireccioni al servidor de comunicacions i després amb la regla que t'havia passat es redireccionen contra el servidor web. És més fàcil la primera opció de canviar la gateway al servidor web i acabaràs abans.

    Salut.

    Projecte Linkat
  • Hola Pablo,

    Tenim un problema per fer el que dius, ja que des del servidor web no veig la IP del router XEBA ja que està connectat al swicth dels routers que es connecta per la ethernet 192.168.1.17 al servidor de comunicacions, i aquest per la 0.17 amb la LAN, on és el servidor web 0.207.

    Entenc que amb aquesta opció el router s'hauria de desvincular del servidor de comunicacions, cosa que no busquem ja que aquesta màquina fa de gateway de tota la LAN... (el switch de capçalera envia tot el tràfic que va a Internet a la IP 0.17...)

    Si tornem a connectar el router XEBA directament al switch de capçalera resoldrem la visibilitat des d'Internet del servidor, però llavors la LAN tal i com té configurada la passarel·la per defecte deixarà de tenir sortida per aquest router (la VLAN 10 té com a porta d'enllaç la 110.1...) Potser sí podria connectar-hi algun sector de la VLAN docent però llavors ja no tenim la funcionalitat proxy que ens ha de donar el servidor de comunicacions...

    Quin embolic, gràcies per la paciència...

    Albert Martí

    Nota: Vaig demanar al SAU poder consultar la taula d'enrutaments del XEBA però em van venir a dir que com que aquest router no era la causa dels problemes de comunicacions que poguéssim tenir m'hauria d'adreçar en tot cas al gestor de la meva àrea TIC i exposar el problema... :(



    Editat per amarti42 el 11/Nov/2011 - 05:48.
  • Hola altre cop,

    A l'espera de trobar una solució millor hem aplicat, com proposaves, que la gateway del servidor sigui el router XEBA. Ara ja és visible, però el nostre objectiu és fer-ne també ús com a porta de sortida de la VLAN d'administració.

    Gràcies, i seguirem dilucidant...

    Albert
  • Hola novament,

    Per si pot resultar d'interès, comento la solució que ens està resolent el problema. Ha consistit a fer un bypass entre el switch de capçalera i el de routers -amb el XEBA ara també connectat- afegint un cable de connexió entre aquests dos switches (aprofito el fet que aquest router XEBA té una IP 0.3 que permet la visibilitat des d'Internet del servidor 0.207 i una segona IP 1.3 que possibilita la sortida de tràfic de la LAN des del servidor de comunicacions procedent del switch de capçalera).

    La següent línia al fitxer /usr/share/lustitia_boot :
    route add -host 213.176.163.213/32 gw 192.168.1.3 dev eth0
    encamina les sol·licituds al servidor saga.xtec.cat a través del router XEBA...

    Fins la propera,

    Albert Martí



    Editat per amarti42 el 16/Nov/2011 - 08:11.
  • 0 usuaris

Aquesta llista mostra els usuaris actius durant els darrers 20 minuts.