-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hola!

Con vistas a comenzar a hacer pruebas en casa sobre la gestión de
dispositivos de networking usando el protocolo SNMP desde Debian
GNU/Linux, mi idea es introducirme en el tema haciendo estas pruebas con
mi router ADSL. Este tiene definida por omisión la IP 192.168.1.1. El
router posee un único puerto de red que se conecta a una PC que hace de
firewall con Shorewall.

Hasta aquí la configuración de red tiene la siguiente forma y mantiene
la conectividad a Internet:

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
# address 192.168.1.2
# netmask 255.255.255.0
# network 192.168.1.0
# broadcast 192.168.1.255
# gateway 192.168.1.1

auto eth1
iface eth1 inet static
address 10.1.0.10
netmask 255.255.255.0
network 10.1.0.0
broadcast 10.1.0.255

# Para PPPoE
auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up
provider dsl-provider

Probé asignándole una IP a la interfaz conectada al router dentro de la
misma red de este, pero al hacerlo pierdo la conectividad a Internet.
También probé configurando de forma similar una interfaz de red virtual
sobre la interfaz física conectada al router y de esa forma tampoco
logré resultados.

¿Alguna pista para configurar la interfaz de forma tal de mantener la
conectividad a Internet y simultáneamente poder conectarme al router
para hacer tareas de gestión?

Gracias anticipadas por responder.

Saludos,
Daniel

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFISyuxZpa/GxTmHTcRAlCcAJ43Am0BGjECJJRXpWZt6lOJAGkNXwCfRrrN
x/wr8iAxGCBamgGYBfx7xuE=
=+6zn
-----END PGP SIGNATURE-----

Hola Daniel Bareiro <daniel-listas***gmx.net>
el Sat, 7 Jun 2008 21:45:41 -0300 escribiste:

> ¿Alguna pista para configurar la interfaz de forma tal de mantener la
> conectividad a Internet y simultáneamente poder conectarme al router
> para hacer tareas de gestión?

No entiendo lo que estás haciendo, pero dado que nadie te ha contestado
nada, te comento lo siguiente, por si te puede ser de alguna utilidad.

Usando aliases puedes meter varias redes lógicas en una única red física,
o sea, aplicar simultáneamente varias configuraciones IP distintas al
mismo dispositivo ethernet.

Busca info sobre "IP aliasing" si crees que por aquí puedes encontrar
algo que te sirva.

--
Gonzalo Pérez de Olaguer Córdoba <gpoc***iies.es>
PGP key 2861C704 --- F206 5671 6789 425D 111C 1302 214F 1934 2861 C704

Tampoco entiendo la situación fÃ***sica que tienes. ¿Puedes explicar un poco
más cuantas máquinas hay en la red que comentas?
Tomás

On 10 jun, 19:15, Gonzalo Pérez de Olaguer Córdoba <g...***iies.es>
wrote:

> > ¿Alguna pista para configurar la interfaz de forma tal de mantener la
> > conectividad a Internet y simultáneamente poder conectarme al router
> > para hacer tareas de gestión?

Hola Gonzalo. Recién ahora veo estas dos respuestas desde la interfaz
para
grupos de noticias de Google, ya que parece ser que los servidores a
los que
me estoy conectando para descargar los nuevos post no están
funcionando
muy bien porque no me llego nada ni por aioe ni por news.metria.es.
Recuerdo que hace algún tiempo envié un correo-e al administrador de
los
servidores de news de Ecolnet para acceder a los grupos a través de
ellos,
pero no recibÃ*** respuesta :-(

> No entiendo lo que estás haciendo, pero dado que nadie te ha contestado
> nada, te comento lo siguiente, por si te puede ser de alguna utilidad.

> Usando aliases puedes meter varias redes lógicas en una única red fÃ***sica,
> o sea, aplicar simultáneamente varias configuraciones IP distintas al
> mismo dispositivo ethernet.

SÃ***, bueno. A eso me referÃ***a cuando decÃ***a en el mensaje inicial del
hilo que
habÃ***a probado levantando una interfaz de red virtual :-)

Pero les cuento que desde aquel momento ya logré varios avances. La
causa por la cual perdÃ***a lo conectividad a Internet al levantar una
interfaz
lógica sobre la eth0 usada por ppp0 era que le estaba asignando a esta
interfaz virtual un default gateway, y esto estaba mal puesto que el
único
default gateway que debe existir es el correspondiente a la interfaz
ppp0.

Luego defino en shorewall la interfaz de acceso al router:

rtr eth0 detect

Y agrego las reglas que hacen posible la conexión desde una máquina
determinada de la red:

ACCEPT loc:10.1.0.5 rtr tcp 23
ACCEPT loc:10.1.0.5 rtr udp
161:162

Y la nueva zona:

rtr ipv4

El problema que se me presentaba acá es que aparentemente el router
no conocÃ***a cómo llegar a la IP 10.1.0.5, por lo que tuve que
configurarlo
agregando una ruta que le indique que para llegar a esa subred tiene
que usar como gateway la IP de la interfaz eth0 del firewall. Sin esto
la
comunicación entre el router y el MRTG no funcionaba y hubiese sido
necesario tener que instalar el MRTG en el firewall. En mi router, un
Zyxel Prestidge 645R, lo hice lendo a Advanced Applications → Static
Routing Setup → IP Static Route y presionando algún número
correspondiente a la nueva ruta introduje una configuración como la
siguiente:

Menu 12.1.1 - Edit IP Static Route

Route #: 1
Route Name= local
Active= Yes
Destination IP Address= 10.1.0.0
IP Subnet Mask= 255.255.255.0
Gateway IP Address= 192.168.1.2
Metric= 2
Private= No

AsÃ*** que con todo esto ya tengo acceso desde la máquina 10.1.0.5
con el MRTG al router. Lo que me estarÃ***a faltando, para completar
el manejo SNMP serÃ***a el envÃ***o de los traps también a dicha
máquina. En la configuración SNMP del router tengo puesto que el
destino sea 10.1.0.5.

Después de hacer varias pruebas, parece funcionar el envÃ***o. Al menos
tengo ahora registro de ello en los logs, lo cual es un avance :-)
Tras
hacer un 'Reset ADSL':

alderamin:/etc/shorewall# tcpdump -i eth0 src host 192.168.1.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol
decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
[...]
16:52:20.286585 IP 192.168.1.1.1026 > 192.168.1.2.snmp-trap:
V2Trap(116) system.sysUpTime.0=722300 [|snmp]
16:52:22.903982 IP 192.168.1.1.telnet > 192.168.1.2.57015: P
496:521(25) ack 4 win 1024
16:52:24.903975 IP 192.168.1.1.telnet > 192.168.1.2.57015: P
521:579(58) ack 4 win 1024
16:52:24.905169 IP 192.168.1.1.telnet > 192.168.1.2.57015: P
579:610(31) ack 4 win 1024
16:52:24.906314 IP 192.168.1.1.telnet > 192.168.1.2.57015: P
610:637(27) ack 4 win 1024
16:52:25.384104 IP 192.168.1.1.telnet > 192.168.1.2.57015: P
610:637(27) ack 4 win 1024
16:52:40.388643 IP 192.168.1.1.1026 > 192.168.1.2.snmp-trap:
V2Trap(116) system.sysUpTime.0=724300 [|snmp]

Por otro lado, de los logs de Shorewall:

Jun 15 16:52:20 alderamin Shorewall:all2all:REJECT: IN=eth0 OUT=
MAC=00:18:f3:9d:8c:d8:00:a0:c5:ea:d1:b1:08:00 SRC=192.168.1.1
DST=192.168.1.2 LEN=163 TOS=00 PREC=0x00 TTL=255 ID=3010 PROTO=UDP
SPT=1026 DPT=162 LEN=143
Jun 15 16:52:40 alderamin Shorewall:all2all:REJECT: IN=eth0 OUT=
MAC=00:18:f3:9d:8c:d8:00:a0:c5:ea:d1:b1:08:00 SRC=192.168.1.1
DST=192.168.1.2 LEN=163 TOS=00 PREC=0x00 TTL=255 ID=3016 PROTO=UDP
SPT=1026 DPT=162 LEN=143

Vemos que está pasando por la policy all2all lo cual serÃ***a consistente
con la configuración actual de Shorewall. Igualmente veo que el
destino
es 192.168.1.2, que es el gateway definido en el router para la red
10.1.0.0. Entonces probé agregar la siguiente lÃ***nea en rules:

ACCEPT rtr:192.168.1.1 loc:10.1.0.5 udp -
161:162

Pero sigue entrando por la misma policy:

Jun 15 18:01:11 alderamin Shorewall:all2all:REJECT: IN=eth0 OUT=
MAC=00:18:f3:9d:8c:d8:00:a0:c5:ea:d1:b1:08:00 SRC=192.168.1.1
DST=192.168.1.2 LEN=163 TOS=00 PREC=0x00 TTL=255 ID=3523 PROTO=UDP
SPT=1026 DPT=162 LEN=143
Jun 15 18:01:31 alderamin Shorewall:all2all:REJECT: IN=eth0 OUT=
MAC=00:18:f3:9d:8c:d8:00:a0:c5:ea:d1:b1:08:00 SRC=192.168.1.1
DST=192.168.1.2 LEN=163 TOS=00 PREC=0x00 TTL=255 ID=3529 PROTO=UDP
SPT=1026 DPT=162 LEN=143

¿Será porque pone como destino 192.168.1.2? Agregando una regla como
la
siguiente, si pasa:

ACCEPT:$LOG rtr:192.168.1.1 fw udp 161:162

Jun 15 18:08:33 alderamin Shorewall:rtr2fw:ACCEPT: IN=eth0 OUT=
MAC=00:18:f3:9d:8c:d8:00:a0:c5:ea:d1:b1:08:00 SRC=192.168.1.1
DST=192.168.1.2 LEN=163 TOS=00 PREC=0x00 TTL=255 ID=3595 PROTO=UDP
SPT=1026 DPT=162 LEN=143
Jun 15 18:08:51 alderamin Shorewall:rtr2fw:ACCEPT: IN=eth0 OUT=
MAC=00:18:f3:9d:8c:d8:00:a0:c5:ea:d1:b1:08:00 SRC=192.168.1.1
DST=192.168.1.2 LEN=163 TOS=00 PREC=0x00 TTL=255 ID=3601 PROTO=UDP
SPT=1026 DPT=162 LEN=143

Pero no veo que la notificación sea redirigida a 10.1.0.5, pues si
allÃ***
pongo un tcpdump para capturar el tráfico que venga desde 192.168.1.1
no
me sale nada.

Gracias a ambos por responder.

Saludos,
Daniel

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Guenas

Daniel escribió:
> Recuerdo que hace algún tiempo envié un correo-e al administrador de
> los
> servidores de news de Ecolnet para acceder a los grupos a través de
> ellos,
> pero no recibí respuesta :-(

Vuelve a enviarlo. A veces hay correos que se pierden en el limbo.

Saludines
- --
bqp <aherrerm***agujero-negro.escomposlinux.org> Linux Reg. User #66054
(quita lo del butreque de mi dirección)
Servicio de news de ecolnet: escribe a newsmaster***escomposlinux.org
Servicio de irc: irc.escomposlinux.org
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFIVtBnXsV73VSVEq4RAhRWAJ4rqlKOzj5FUOavPAD8Kz HwPp265gCgkvB1
Sqw7nfrjuDauH95jVNTD26w=
=8sOW
-----END PGP SIGNATURE-----

On 16 jun, 17:43, bqp <aherr...***agujero-negro.escomposlinux.org>
wrote:

> Guenas

Hola bqp.

> > Recuerdo que hace algún tiempo envié un correo-e al administrador
> > de los servidores de news de Ecolnet para acceder a los grupos a
> > través de ellos, pero no recibí respuesta :-(

> Vuelve a enviarlo. A veces hay correos que se pierden en el limbo.

Ahí lo acabo de mandar. Espero que esta vez siga un recorrido que no
atraviese una singularidad espacio-tiempo :-)

Saludos,
Daniel