Два линка в сторону прова.

Обсуждение ПО и его настройки
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Давайте-ка, уважаемый, конфиг посмотрим. Задача не из тривиальных. Но возможно, что кто-нибудь и подскажет решение...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

А зачем вам два интерфейса, если шлюз один? Пишите оба адреса на один интерфейс и всё, дальше манглом определяйте какую подсеть на какой Pref.source пускать. А если нужно порты прокинуть снаружи, то добавляете в NAT правиле Dst. address.


voler
Сообщения: 109
Зарегистрирован: 13 апр 2012, 12:33

DJGlooM писал(а):А зачем вам два интерфейса, если шлюз один? Пишите оба адреса на один интерфейс и всё, дальше манглом определяйте какую подсеть на какой Pref.source пускать. А если нужно порты прокинуть снаружи, то добавляете в NAT правиле Dst. address.


А пример можно?


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

voler писал(а):А пример можно?


Ну у меня подобная схема буквально недавно была, потом за ненадобностью убрал, поэтому живой нет нигде показать конфиг :)

Но суть такая, у меня был пул адресов от провайдера и мне надо было с двух адресов во внутреннюю подсеть прокинуть один и тот же порт. То есть грубо говоря чтобы клиенты лезли по одному адресу и по второму как резервному.

ip - addresses:
217.14.x.2/29 ether10
217.14.x.3/29 ether10

ip - routes:
0.0.0.0/0 gw:217.14.x.1 reachable ether10

Ну и в нате:

Код: Выделить всё

 7   ;;; CLNTBNK
     chain=dstnat action=netmap to-addresses=192.168.0.15 to-ports=XXXX
     protocol=tcp dst-address=217.14.X.2 in-interface=ether10 dst-port=XXXX


voler
Сообщения: 109
Зарегистрирован: 13 апр 2012, 12:33

podarok66 писал(а):Давайте-ка, уважаемый, конфиг посмотрим. Задача не из тривиальных. Но возможно, что кто-нибудь и подскажет решение...

Выкладываю конфиг. В течении часа выложу весь
ip address print

Код: Выделить всё

                            
 1   ;;; GW1
     193.147.2.3/27   193.147.2.0   sfp1                                   
 4   ;;; Office
     192.168.1.1/24     192.168.1.0     ether1                                   
 5   ;;; Onuphrievo
     10.10.0.1/24    10.10.0.0    ether2                                                                   
 7   ;;; GW2
     193.147.2.5/27   193.147.2.0   sfp2     

ip route print

Код: Выделить всё

 0 A S  0.0.0.0/0                          193.147.2.1%sfp2        1
 1   S  0.0.0.0/0                          193.147.2.1%sfp1        1
 2 ADC  192.168.1.0/24     192.168.1.1     ether1                    0
 3 ADC  10.10.0.0 /24    10.10.0.1           ether2                    0
 5 ADC  193.147.2.0/27     193.147.2.5      sfp2                      0
                                                          sfp1             

ip firewall nat print

Код: Выделить всё

 0   ;;; Office NAT
     chain=srcnat action=src-nat to-addresses=193.147.2.3
     src-address=192.168.1.0/24 dst-address=0.0.0.0/0

 2   ;;;
     chain=srcnat action=src-nat to-addresses=193.147.2.5
     src-address=10.10.0.1/24 dst-address=0.0.0.0/0 out-interface=sfp2

Вот тут начинаются вопросы, если в 0 правиле ставлю исходящий интерфейс то перестает работать интернет у пользователей в сети 192.168.1.0/24

ip firewall mangle print

Код: Выделить всё

 0   chain=input action=mark-connection new-connection-mark=net6in passthrough=no dst-address=193.147.2.3 in-interface=sfp1 
 1   chain=output action=mark-routing new-routing-mark=net6 passthrough=no connection-mark=net6in
 2   chain=input action=mark-connection new-connection-mark=net2021in passthrough=yes dst-address=193.147.2.3 in-interface=sfp2
 3   chain=output action=mark-routing new-routing-mark=net2021 passthrough=no connection-mark=net2021in
 4   chain=forward action=mark-connection new-connection-mark=sfp1_c passthrough=yes in-interface=sfp1
 5   chain=forward action=mark-connection new-connection-mark=sfp2_c passthrough=yes in-interface=sfp2
 6   chain=prerouting action=mark-routing new-routing-mark=sfp1_r passthrough=yes src-address=192.168.1.0/24 connection-mark=sfp1_c
 7   chain=prerouting action=mark-routing new-routing-mark=sfp2_r passthrough=yes src-address=10.10.0.0/24 connection-mark=sfp2_c

Только после добавления этих правил заработал интернет в двух сетях. НО у меня есть сомнения в правильности данных правил. Первый раз столкнулся с маркировкой пакетов.


Ответить