odiszapc

Так ведь скрипт срабатывает раз в минуту, и когда в вашей схеме будет удалятся default gw не будут ли рватся сессии? Вот я и меняю метрики, если не прав поправьте.

Без нее увы доступ в инет не идет по резервному каналу. Попрошу поправить где я не прав, ибо опыта мало.

Ситуация такова: в администрации ТЦ, уже имеющей досутп в интернет (DSL) необходимо поставить резервный канал, включающийся при падении основного. Поставили беспроводной канал с реальным ip. Опишу архитектуру. В администрации уже имеется сеть 192.168.10.0/24 из 5 машин, одна из которых (192.168.10.55) является шлюзом, с установленным Kerio Winroute Firewall 6.0 и авторзацией входа в интернет по паролям. Соответственно все машины сети имеют в настройках локального соединения адреса шлюза и днс, равные 192.168.10.55. Кроме того, имеется наш шлюз под управлением Windows XP с двумя интерфейсами, один из них смотрит в радиомодем, второй пока никуда не сморит (шлюз используется также для решения других задач, с сетями никак не связанных). На шлюзе стоит Kerio Winroute. Что нужно: интернет из сети должен идти по DSL, а в случае его поломки переключатся на Радио-канал. Что решил сделать: Ставлю PC-роутер (Linux), один интерфейс которого смотрит в локальную сеть админстарции и имеет адрес 192.168.10.254 - eth1, а другой соединен с интерфейсом нашего шлюза и имеет адрес 192.168.8.2 - eth0 (интерфейс на шлюзе имеет адрес 192.168.8.1). Шлюз по умолчанию на компьютерах пользователей меняется на адрес нашего роутера: 192.168.10.254. На роутере разрешается форвардинг. Таблица маршрутов на роутере выглядит так: Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.10.0 * 255.255.255.0 U 0 0 0 eth1 192.168.8.0 * 255.255.255.0 U 0 0 0 eth0 169.254.0.0 * 255.255.0.0 U 0 0 0 eth1 default 192.168.10.55 0.0.0.0 UG 0 0 0 eth1 default 192.168.8.1 0.0.0.0 UG 1 0 0 eth0 Цепочка POSTROUTING iptables'a дополнена командами: iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j SNAT --to-source 192.168.8.2 iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth1 -j SNAT --to-source 192.168.10.254 На DSL шлюзе разрешается доступ в инет для адреса 192.168.10.254, на нашем шлюзе для адреса 192.168.8.2. Кроме того, CRON'ом запускается скрипт автоматического переключения каналов путем пинга внешних адресов и изменения метрик двух дефолтных маршрутов (два нижних в вышеприведенной таблице) следующего содержания: #!/bin/bash GTW1="XX.XXX.XX.X" INT1="eth1" GTW2="XX.XXX.XX.X" INT2="eth0" if ping -I $INT1 -c5 -W2 $GTW1 2>&1 | grep "64 bytes from" > /dev/null && ping -I $INT2 -c5 -W2 $GTW2 2>&1 | grep "64 bytes from" > /dev/null then echo "Both channel UP. Route via $INT1"; ip route change default via 192.168.10.55 metric 0 && ip route change default via 192.168.8.1 metric 1 elif ping -I $INT1 -c5 -W2 $GTW1 2>&1 | grep "64 bytes from" > /dev/null then echo "First channel UP. Route via $INT1"; ip route change default via 192.168.10.55 metric 0 && ip route change default via 192.168.8.1 metric 1 elif ping -I $INT2 -c5 -W2 $GTW2 2>&1 | grep "64 bytes from" > /dev/null then echo "Second channel UP. Route via $INT2"; ip route change default via 192.168.10.55 metric 1 && ip route change default via 192.168.8.1 metric 0 else echo "All channels DOWN"; fi В итоге все отлично работает, ходит то по одному то по другому маршруту, но есть одно НО: адреса всех машины, доходя до роутера, сворачиваются в один адрес, для нашего шлюза это 192.168.8.2, для ихнего DSL-шлюза - 192.168.10.254. Нам без разницы, а они хотят видеть статистику на каждого пользователя в удобочитаемом виде в Winroute как и раньше, плюс возможность авторизации как и ранее. Получается что если работает основной канал, то весь механизм входа в интернет должен остаться таким же как и был, а если резервный канал, тот тут уже все идет через нас и авторизация не требуется. Подскажите пожалуйста какие изменения нужно внести в данную схему для реализации такой возможности. Ихнее железо трогать запрещено, в общем изменений в хардварной части должно быть по минимум, ворочать проводами там никто не даст, единственное подключить наш роутер к ихней локалке. Из за недстатка опыта сам разрулить не могу. Спасибо.

В общем настроил, тестирую. При установлении VPN туннеля добавляется одна строчка в таблицу маршрутов после чего инет начинает течь через домашний канал. Интересный момент: Если запустить пинг из Windows и Linux-машин офиса и начинать переключаться с офисного канала на домашний путем разрыва VPN-соединения, то можно наблюдать как меняется значение TTL. После двойного переключания туда-сюда пинг на данный хост с Windows-машин пропадает на время порядка нескольких минут, инет в это время нормально работает. Я как человек не просявященный причину этого не понял... C Linux-машины такого не наблюдается

Не пойман не вор. Перелистал весь договор - есть там что то подобное, но отключить могут только при наличии четких доказательств, которые можно получить лишь расшифровав VPN соединение. А мы видите ли зарезали квоты и ввели жесткую политику для сотрудников - и качать они стали в 10 раз меньше. А суть конторы и сводится к взаимодействию с одним внутренним адресом. У нас еще один дсл-канал есть... Так что не все так просто. В итоге будет выходить в 2 раза дешевле - разве это заметно? И вообще в договоре ни слова нет о том что нельзя качать с внутренней сети десятки гигов - мы платим за это деньги в соответствии с тарифом. Они фильмы качают с моего компа и все тут. А то что там кто то будет "догадываться" то пусть - нет доказательств нет проблемы. Вот такая вот компиляция (в простонародье "залепа") и ничего ты тут не поделаешь. И так будет всегда пока я живу в России (цитата :)) Подраскачаемся тогда и вся это махинация будет не актуальна уже.

Да не стабильная линия малость, рвется иногда, куда ж без этого, особенно в моей тайге. В общем даже скрипт не понадобился. Устанавливается Kerio VPN-тунель с дома до офиса. Через него устанавливается VPN соединение уже с офиса до дома, весь инет трафик с офиса автоматически начинает заворачиваться по нему. Если выделенка дома по каким то причинам падает, оба VPN соединения соответсвенно тут же рвутся, маршруты удаляются, и начинают работать предыдущие маршруты от обычного DSL. Все оказалось просто. Могут об этом как то догадаться? Траф идет по двойному шифрованному VPN-тунелю (тунель в тунеле - иначе никак). А если догадаются мне кажется что предъявить то нечего... Прав я?

Спасибо но это не все. Как быть если анлим падает? Как переключиться на обычный инет. Писануть скрипт который автоматически пингует некий хост и по определенным условиям переписывает маршруты? Надежно ли

Ха обмануть, мы и не такое делали. Нас уже давно пора всех пострелять)) Лучше подскажи что либо по решению задачи.

Только русским такое придет в голову. Суть дела: решили сэкономить на интернете. Итак, есть офис 20 чел, имеющий интернет через ADSL-канал провайдера N с реальным IP. Работаем на Kerio. В месяц за трафик вылетает сумма, которую хотим уменьшить. Хотели перейти на безлимит, но увы в городе для юр. лиц такого нет и не будет еще очень долго. Только для физических... Но фантазия русских людей безгранична! Теперь внимание: Существует возможность установки безлимитного DSL-канала от этого же провайдера N у одного из сотрудников (меня) дома. После чего нужно заворачивать трафик не по стандартной схеме [ОФИС]<-->[iNET] а по такой: [ОФИС]<-->[ДОМАШНИЙ БЕЗЛИМИТ]<-->[iNET]. Трафик будет лететь по той же физической линии, но по другому тарифу - во внутренней сети провайдера трафик в 10 раз дешевле обычного (ведь провайдер один и тот же). Нехитрые расчеты показали что это приведет к существенной экономии средств. Теперь сложности: 1. Безлимит зарезан по 256 Кбит (хотя скорость не важна - лазают по сайтам да качают почту) 2. Естесвенно надежность такой схему будем ниже чем исходной. Поэтому в случае неожиданного падения безлимита нужно переключаться на обычный Пока соединил офис и мою хату по VPN-тунелю от того же Kerio - вижу офисную сеть, которая также видит меня. Теперь самое сложное - как перенаправить трафик сотрудников с офисного шлюза не в интернет а в сторону моего домашнего шлюза, который в свою очередь будет пересылать это все в инет по безлимитному каналу. Надеюсь изложил понятно. В какую сторону капать. Никто подобные задачи не решал? Согласен что криво, но блин экономия...

Спасибо, почему то впн сразу в голову не пришел, раньше пытался обходиться без них

Ситуация такова, что есть компьютер в некоторой сети с выходом в интернет через NAT, назовем его comp1 (Windows Server 2003). Соответственно, вся эта сеть сворачивается в один IP. К настройкам шлюза данной сети (GATEWAY) доступа НЕТ и быть не может. Это важно! Есть другой компьютер, имеющий реальный постоянный IP, напрямую подключенный к интернет, назовем его comp2 (Windows XP). К нему доступ есть. ВОПРОС: как присоединениться к comp1 из comp2 с целью его удаленного администрирования (Radmin или RDP не суть важно). Задача была бы тривиальной если бы была возможность управлять шлюзом - достаточно было прокинуть порт (Port Mapping). Но увы. Соединение comp1-->comp2 проходит без проблем, никакие порты (кроме 80) не блокируются. Схема: [comp1]<-->[GATEWAY]----(Internet)----[comp2] Какие варианты решений существуют? Порты из сети в сеть я прокидывал, но здесь такое видимо не пройдет. Знаю что можно но не знаю как. Интересуют конкретные варианты. Заранее благодарен.

Пацан по еврейски - маленьки х*й. Удачи, потсаны.

Задача в том что при загрузке Windows на момент отображения приглашения ввода логина пользователя и пароля интернет подключение должно быть активировано.

Подскажите пожалуйста, как организовать автоматическую активацию Интернет-подключения при загрузке Windows 2003 еще до входа какого либо пользователя? Нужно чтобы подключение к интернет активировалось при загрузке. Как лучше всего сделать это? Спасибо.

MC смысле Midnight Comander? Ну установи ты его из RPM раз такое дело: rpm -i --nodeps mc-4.5.55.rpm ...