Cliente Vlan não acessa internet (CentOS)

jaymegm
(usa CentOS)

Enviado em 22/12/2015 - 13:38h

Pessoal, tudo bem?
Criei um servidor DHCP com VLAN e switch gerenciável usando o dot1q.

Segui os tutoriais:
https://www.vivaolinux.com.br/artigo/DHCP-e-VLANs-no-CentOS-65-Instalacao-e-configuracao?pagina=1
https://www.vivaolinux.com.br/artigo/Criando-Redes-Locais-Virtuais-(VLANs)-com-Linux?pagina=1

O meu cliente DHCP obtém a Vlan normalmente, o problema é que não tem acesso a internet.

O IP distribuído pela interface ETH0, funciona normalmente, mas o da subinterface ETH0.10 não.

Segue meus arquivos de configuração:

1) cat /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0

TYPE=Ethernet

UUID=c2f9a57c-c890-4ac2-a2d5-3ddbac85d6da

ONBOOT=yes

NM_CONTROLLED=yes

BOOTPROTO=none

HWADDR=00:0C:29:BF:68:E6

IPADDR=192.168.0.10

PREFIX=24

GATEWAY=192.168.0.1

DNS1=192.168.0.20

DNS2=192.168.0.1

DNS3=8.8.8.8

DEFROUTE=yes

IPV4_FAILURE_FATAL=yes

IPV6INIT=no

NAME=eth0

 

2) cat /etc/sysconfig/network-scripts/ifcfg-eth0.10

DEVICE=eth0.10

TYPE=Ethernet

ONBOOT=yes

NM_CONTROLLED=yes

BOOTPROTO=none

IPADDR=192.168.0.10

PREFIX=24

GATEWAY=192.168.10.1

DNS1=192.168.0.20

DNS2=192.168.0.1

DNS3=8.8.8.8

DEFROUTE=yes

IPV4_FAILURE_FATAL=yes

IPV6INIT=no

NAME=eth0.10

VLAN=yes

 

3) cat /etc/sysconfig/network

VLAN=yes

NETWORKING=yes

HOSTNAME=local

GATEWAY=192.168.0.1

 

4) cat /etc/sysconfig/dhcpd

DHCPDARGS="eth0 eth0.10";

 

5) Script para criar VLAN e rotas

#!/bin/bash



VCONFIG=/sbin/vconfig



$VCONFIG add eth0 10

ifconfig eth0.10 192.168.10.1 netmask 255.255.255.0 up



route add default gw 192.168.0.1 

echo "Criado rota DEFAULT" 

route add -net 192.168.10.0/24 gw 192.168.0.1

echo "Criado rota VLAN 10" 



service network restart

service dhcpd restart



exit 0

 

6) ifconfig

eth0      Link encap:Ethernet  Endereço de HW 00:0C:29:BF:68:E6  

          inet end.: 192.168.0.10  Bcast:192.168.0.255  Masc:255.255.255.0

          endereço inet6: fe80::20c:29ff:febf:68e6/64 Escopo:Link

          UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1

          RX packets:3011 errors:0 dropped:0 overruns:0 frame:0

          TX packets:1169 errors:0 dropped:0 overruns:0 carrier:0

          colisões:0 txqueuelen:1000 

          RX bytes:317391 (309.9 KiB)  TX bytes:195895 (191.3 KiB)



eth0.10   Link encap:Ethernet  Endereço de HW 00:0C:29:BF:68:E6  

          inet end.: 192.168.0.10  Bcast:192.168.0.255  Masc:255.255.255.0

          endereço inet6: fe80::20c:29ff:febf:68e6/64 Escopo:Link

          UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1

          RX packets:0 errors:0 dropped:0 overruns:0 frame:0

          TX packets:14 errors:0 dropped:0 overruns:0 carrier:0

          colisões:0 txqueuelen:0 

          RX bytes:0 (0.0 b)  TX bytes:900 (900.0 b)

 

7) cat /etc/dhcp/dhcpd.conf

ddns-update-style none;

default-lease-time 86400;

max-lease-time 604800;

authoritative;

log-facility local7;

option domain-name "local";

option domain-name-servers 192.168.0.20, 192.168.0.1, 8.8.8.8;



# Configurando escopo DHCP.

##PLACA PRINCIPAL DHCP ETH0

subnet 192.168.0.0 netmask 255.255.255.0 {

        range 192.168.0.100 192.168.0.199;

        option subnet-mask 255.255.255.0;  

        option routers 192.168.0.1;

        option broadcast-address 192.168.0.255;

}

## VLAN 10 - ADMINISTRATIVO

subnet 192.168.10.0 netmask 255.255.255.0 {

        range 192.168.10.100 192.168.10.199;

        option subnet-mask 255.255.255.0;

        option routers 192.168.10.1;

        option broadcast-address 192.168.10.255;

}

 

8) Interfaces do cliente Windows (ipconfig)

Configuração de IP do Windows



Adaptador Ethernet OnBoad:



   Sufixo DNS específico de conexão. . . . . . : local

   Endereço IPv4. . . . . . . . . . . . . . : 192.168.0.101

   Máscara de Sub-rede . . . . . . . . . . . . : 255.255.255.0

   Gateway Padrão. . . . . . . . . . . . . . . : 192.168.0.1



Adaptador Ethernet OffBoard:



   Sufixo DNS específico de conexão. . . . . . : local

   Endereço IPv4. . . . . . . .  . . . . . . . : 192.168.10.100

   Máscara de Sub-rede . . . . . . . . . . . . : 255.255.255.0

   Gateway Padrão. . . . . . . . . . . . . . . : 192.168.10.1

 

Davidand
(usa Debian)

Enviado em 22/12/2015 - 16:16h

192.168.10.1 o trafego desta rede esta liberado para nat no firewall ?

jaymegm
(usa CentOS)

Enviado em 22/12/2015 - 16:20h

Eis a questão, iniciante em Linux, estou vendo tutoriais de squid e firewall neste momento.. mas me parece bem complexo =/.
Então com certeza não há NAT nenhum, e como faria isso?

Davidand
(usa Debian)

Enviado em 22/12/2015 - 16:47h

iptables -A FORWARD -s 192.168.10.0 -i Eth0 -j ACCEPT


Substitua a Eth0 pela sua placa wan

Caso não funcione acrescente a regra abaixo :

iptables -t nat -A POSTROUTING -s 192.168.10.0 -o Eth0 -j MASQUERADE

Inclua ou atualize seu squid.conf : acl rede_local src 192.168.0.0/16

Obs: Substitua o rede_local , pelo nome da regra que esta definida em sua ACL

Será necessario que o squid releia o squid.conf, então execute o comando : squid3 -k reload ,ou, service squid restart
service squid stop
service squid start

Seu squid é transparente ou autenticado

jaymegm
(usa CentOS)

Enviado em 22/12/2015 - 19:02h

Fiz o que me falou, não deu certo!!! Já não sei mais o que testar... Algum roteamento no Switch tem q ser feito??
Segure meus arquivos:

1) iptables - L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

ACCEPT     icmp --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            

ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 

ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:squid 

REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 



Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         

ACCEPT     all  --  192.168.10.0         anywhere            

REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination  

 

2) cat /usr/etc/squid.conf

cache_effective_user squid #Usuário que vai rodar o processo do Squid

error_directory /usr/share/errors/pt-br/ #Direcionando as páginas para o idioma Portugues

acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl localnet src fc00::/7       # RFC 4193 local private network range

acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443          # https

acl Safe_ports port 80          # http

acl Safe_ports port 21          # ftp

acl Safe_ports port 443         # https

acl Safe_ports port 70          # gopher

acl Safe_ports port 210         # wais

acl Safe_ports port 1025-65535  # unregistered ports

acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http

acl Safe_ports port 591         # filemaker

acl Safe_ports port 777         # multiling http

acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager

http_access deny manager

acl proibidos url_regex "/usr/etc/proibidos"

http_access deny proibidos

http_access allow localnet

http_access allow localhost

http_access deny all

http_port 3128

coredump_dir /usr/var/cache/squid





refresh_pattern ^ftp:           1440    20%     10080

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern -i (/cgi-bin/|\?) 0     0%      0

refresh_pattern .               0       20%     4320

 

3) route -n

Tabela de Roteamento IP do Kernel

Destino         Roteador        MáscaraGen.    Opções Métrica Ref   Uso Iface

192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0.10

192.168.10.0    192.168.0.1     255.255.255.0   UG    0      0        0 eth0

169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0

169.254.0.0     0.0.0.0         255.255.0.0     U     1004   0        0 eth0.10

0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

 

4) Tabela roteamento do Switch

Destination	Mask	  Protocol	Priority	Next Hop	Interface

127.0.0.0	255.0.0.0	Direct	0	         127.0.0.1	InLoopBack0

127.0.0.1	255.255.255.255	Direct	0	         127.0.0.1	InLoopBack0

192.168.0.0	255.255.255.0	Direct	0	         192.168.0.2	Vlan-interface1

192.168.0.2	255.255.255.255	Direct	0	         127.0.0.1	InLoopBack0

192.168.10.0	255.255.255.0	Direct	0	         192.168.10.1	Vlan-interface10

192.168.10.1	255.255.255.255	Direct	0	         127.0.0.1	InLoopBack0

192.168.20.0	255.255.255.0	Direct	0	         192.168.20.1	Vlan-interface20

192.168.20.1	255.255.255.255	Direct	0	         127.0.0.1	InLoopBack0

 

Davidand
(usa Debian)

Enviado em 23/12/2015 - 14:55h

post a tabela de nat do iptables: iptables -t nat -n -L



Post o traceroute para o dns 8.8.8.8 .
Você consegue pingar maquinas que estão nesta mesma vlan ou na outra lan ?

jaymegm
(usa CentOS)

Enviado em 30/12/2015 - 11:37h

Desculpe a demora, fiquei longe do serviço alguns dias.
Na verdade são 5 VLANs: eth0 eth0.10 eth0.20 eth0.30 eth0.40 eth0.50
Mas coloquei as eth0 eth0.10, mas para facilitar aqui no forum.
Vamos lá...
Fiz outro servidor, sem o SQUID. Agora tenho apenas o IPTABLES para me avacalhar rsrs
Nesse agora eu fiz a ETH1, mas está desativada.. fiz apenas para caso necessite.
Habitei o "ip_forward" e então passei a pingar os GW das VLANs como 192.168.10.1, entretanto um ip que estiver na VLAN 10, tipo 192.168.10.101, eu nao pingo.
Coloquei as regras que me pediu... como mostra na tabela, mas sem sucesso.
Apenas de colocar os comandos o IPTABLES já aplica a regra? Ou tem que fazer algo depois?

1) iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

ACCEPT     icmp --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            

ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 

REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 



Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         

REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

ACCEPT     all  --  192.168.10.0         anywhere            



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination         

 

2) iptables -t nat -n -L

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination         



Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination         

MASQUERADE  all  --  192.168.10.0         0.0.0.0/0           



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination 

 

3) Tabela SWITCH

Destination	Mask	             Protocol	Priority	Next Hop	Interface

127.0.0.0	255.0.0.0	       Direct	0	       127.0.0.1	InLoopBack0

127.0.0.1	255.255.255.255	       Direct	0	       127.0.0.1	InLoopBack0

192.168.0.2	255.255.255.255	       Direct	0	       127.0.0.1	InLoopBack0

192.168.10.1	255.255.255.255	       Direct	0	       127.0.0.1	InLoopBack0

192.168.20.1	255.255.255.255	       Direct	0	       127.0.0.1	InLoopBack0

192.168.30.1	255.255.255.255	       Direct	0	       127.0.0.1	InLoopBack0

192.168.40.1	255.255.255.255	       Direct	0	       127.0.0.1	InLoopBack0

192.168.50.1	255.255.255.255	       Direct	0	       127.0.0.1	InLoopBack0

0.0.0.0	        0.0.0.0	               Static	60	       192.168.0.1	Vlan-interface1

192.168.0.0	255.255.255.0	       Direct	0	       192.168.0.2	Vlan-interface1

192.168.10.0	255.255.255.0	       Direct	0	       192.168.10.1	Vlan-interface10

192.168.20.0	255.255.255.0	       Direct	0	       192.168.20.1	Vlan-interface20

192.168.30.0	255.255.255.0	       Direct	0	       192.168.30.1	Vlan-interface30

192.168.40.0	255.255.255.0	       Direct	0	       192.168.40.1	Vlan-interface40

192.168.50.0	255.255.255.0	       Direct	0	       192.168.50.1	Vlan-interface50

 

Também tentei esse SCRIPT, mas tbm sem sucesso.

#!/bin/bash



#limpando tabelas

    iptables -F &&

	iptables -X &&

	iptables -t nat -F &&

	iptables -t nat -X &&



#liberando acesso interno da rede

	iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT &&

	iptables -A OUTPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT &&

	iptables -A FORWARD -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT &&



	iptables -A INPUT -p tcp --syn -s 192.168.10.0/255.255.255.0 -j ACCEPT &&

	iptables -A OUTPUT -p tcp --syn -s 192.168.10.0/255.255.255.0 -j ACCEPT &&

	iptables -A FORWARD -p tcp --syn -s 192.168.10.0/255.255.255.0 -j ACCEPT &&



#compartilhando a web na rede interna

	iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j MASQUERADE &&

	iptables -t nat -A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth0 -j MASQUERADE &&	

	echo 1 > /proc/sys/net/ipv4/ip_forward &&



	echo "Iptables Pronto"

 

O tracert no cliente Windows fica assim:

C:\Users\Jayme>tracert 8.8.8.8



Rastreando a rota para 8.8.8.8 com no máximo 30 saltos



  1     *        *        *     Esgotado o tempo limite do pedido.

  2     *        *        *     Esgotado o tempo limite do pedido.

  3     *        *        *     Esgotado o tempo limite do pedido.

  4     *        *        *     Esgotado o tempo limite do pedido.

  5     *        *        *     Esgotado o tempo limite do pedido.

  6     *        *        *     Esgotado o tempo limite do pedido.

 

E o ipconfig:

Configuração de IP do Windows

Adaptador Ethernet:



   Sufixo DNS específico de conexão. . . . . . : cce.bh-pampulha

   Endereço IPv4. . . . . . . .  . . . . . . . : 192.168.10.100

   Máscara de Sub-rede . . . . . . . . . . . . : 255.255.255.0

   Gateway Padrão. . . . . . . . . . . . . . . : 192.168.10.1



 

qxada07
(usa Slackware)

Enviado em 30/12/2015 - 13:28h

jaymegm,

Vamos começar do começo...rsrs

Das maquinas que não estão com acesso a internet você consegue pingar o gateway???

Você colocou a porta do switch que vai para o servidor como trunking????

Att.

01010010 01101001 01100011 01100001 01110010 01100100 01101111 00100000 01010110 01100001 01110011 01100011 01101111 01101110 01100011 01100101 01101100 01101100 01101111 01110011

jaymegm
(usa CentOS)

Enviado em 30/12/2015 - 15:00h

A porta com como trunk sim:
Switch HP 1910

Port	            Untagged Membership	     Tagged Membership	       Link Type	   PVID	 

GE1/0/50	      1	                     10, 20, 30, 40, 50	            Trunk	      1

 

Segue:

ETH0
IP: 192.168.0.10 (ip do servidor linux, o dhcp relay no switch manda pra esse ip inclusive.)
GW: 192.168.0.1 (Ip do roteador load balance)

VLAN 10: ETH0.10 - IP: 192.168.10.1
VLAN 20: ETH0.20 - IP: 192.168.20.1
VLAN 30: ETH0.30 - IP: 192.168.30.1
VLAN 40: ETH0.40 - IP: 192.168.40.1
VLAN 50: ETH0.50 - IP: 192.168.50.1

Um IP na VLAN 10 por exemplo 192.168.10.101 pinga todos ips das VLANs citados, menos 192.168.0.10 e 192.168.0.1;

Informações relevantes:
**Eu não tenho arquivos exemplo "ifcfg-eth0.10" no "/etc/sysconfig/network-scripts/". Tenho apenas o "ETH0".
**Se eu der os comandos abaixo, a DHCP para de distribuir IPs pra VLAN 10, por exemplo.

**Os GW das VLANs são dados aos clientes através dos escopos do DHCP.
**Não consegui salvar as ROTAS e nem as regras do IPTABLES, toda vez se dou um "service network/iptables restart" elas somem.

Regras:


Rotas:

qxada07
(usa Slackware)

Enviado em 30/12/2015 - 15:43h

No no vc chegou a criar a rota default???

route add default gw 192.168.0.1

Att.

01010010 01101001 01100011 01100001 01110010 01100100 01101111 00100000 01010110 01100001 01110011 01100011 01101111 01101110 01100011 01100101 01101100 01101100 01101111 01110011

jaymegm
(usa CentOS)

Enviado em 30/12/2015 - 17:59h

Ta criado sim.

Até quando jogo esse comando no scrip, me retorna essa msg.

SIOCADDRT: Arquivo existe

jaymegm
(usa CentOS)

Enviado em 04/01/2016 - 14:13h

Quando coloco no cliente Windows, pra diagnosticar a falha, me reporta a mensagem "que não foi identificado a Servidor DNS".