odiszapc
Пользователи-
Публикации
21 -
Зарегистрирован
-
Посещение
О odiszapc
-
Звание
Абитуриент
Контакты
-
Сайт
Array
-
ICQ
Array
-
Внедрение резервного канала
тему ответил в odiszapc пользователя odiszapc в Программное обеспечение, биллинг и *unix системы
Так ведь скрипт срабатывает раз в минуту, и когда в вашей схеме будет удалятся default gw не будут ли рватся сессии? Вот я и меняю метрики, если не прав поправьте. -
Внедрение резервного канала
тему ответил в odiszapc пользователя odiszapc в Программное обеспечение, биллинг и *unix системы
Без нее увы доступ в инет не идет по резервному каналу. Попрошу поправить где я не прав, ибо опыта мало. -
Ситуация такова: в администрации ТЦ, уже имеющей досутп в интернет (DSL) необходимо поставить резервный канал, включающийся при падении основного. Поставили беспроводной канал с реальным ip. Опишу архитектуру. В администрации уже имеется сеть 192.168.10.0/24 из 5 машин, одна из которых (192.168.10.55) является шлюзом, с установленным Kerio Winroute Firewall 6.0 и авторзацией входа в интернет по паролям. Соответственно все машины сети имеют в настройках локального соединения адреса шлюза и днс, равные 192.168.10.55. Кроме того, имеется наш шлюз под управлением Windows XP с двумя интерфейсами, один из них смотрит в радиомодем, второй пока никуда не сморит (шлюз используется также для решения других задач, с сетями никак не связанных). На шлюзе стоит Kerio Winroute. Что нужно: интернет из сети должен идти по DSL, а в случае его поломки переключатся на Радио-канал. Что решил сделать: Ставлю PC-роутер (Linux), один интерфейс которого смотрит в локальную сеть админстарции и имеет адрес 192.168.10.254 - eth1, а другой соединен с интерфейсом нашего шлюза и имеет адрес 192.168.8.2 - eth0 (интерфейс на шлюзе имеет адрес 192.168.8.1). Шлюз по умолчанию на компьютерах пользователей меняется на адрес нашего роутера: 192.168.10.254. На роутере разрешается форвардинг. Таблица маршрутов на роутере выглядит так: Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.10.0 * 255.255.255.0 U 0 0 0 eth1 192.168.8.0 * 255.255.255.0 U 0 0 0 eth0 169.254.0.0 * 255.255.0.0 U 0 0 0 eth1 default 192.168.10.55 0.0.0.0 UG 0 0 0 eth1 default 192.168.8.1 0.0.0.0 UG 1 0 0 eth0 Цепочка POSTROUTING iptables'a дополнена командами: iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j SNAT --to-source 192.168.8.2 iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth1 -j SNAT --to-source 192.168.10.254 На DSL шлюзе разрешается доступ в инет для адреса 192.168.10.254, на нашем шлюзе для адреса 192.168.8.2. Кроме того, CRON'ом запускается скрипт автоматического переключения каналов путем пинга внешних адресов и изменения метрик двух дефолтных маршрутов (два нижних в вышеприведенной таблице) следующего содержания: #!/bin/bash GTW1="XX.XXX.XX.X" INT1="eth1" GTW2="XX.XXX.XX.X" INT2="eth0" if ping -I $INT1 -c5 -W2 $GTW1 2>&1 | grep "64 bytes from" > /dev/null && ping -I $INT2 -c5 -W2 $GTW2 2>&1 | grep "64 bytes from" > /dev/null then echo "Both channel UP. Route via $INT1"; ip route change default via 192.168.10.55 metric 0 && ip route change default via 192.168.8.1 metric 1 elif ping -I $INT1 -c5 -W2 $GTW1 2>&1 | grep "64 bytes from" > /dev/null then echo "First channel UP. Route via $INT1"; ip route change default via 192.168.10.55 metric 0 && ip route change default via 192.168.8.1 metric 1 elif ping -I $INT2 -c5 -W2 $GTW2 2>&1 | grep "64 bytes from" > /dev/null then echo "Second channel UP. Route via $INT2"; ip route change default via 192.168.10.55 metric 1 && ip route change default via 192.168.8.1 metric 0 else echo "All channels DOWN"; fi В итоге все отлично работает, ходит то по одному то по другому маршруту, но есть одно НО: адреса всех машины, доходя до роутера, сворачиваются в один адрес, для нашего шлюза это 192.168.8.2, для ихнего DSL-шлюза - 192.168.10.254. Нам без разницы, а они хотят видеть статистику на каждого пользователя в удобочитаемом виде в Winroute как и раньше, плюс возможность авторизации как и ранее. Получается что если работает основной канал, то весь механизм входа в интернет должен остаться таким же как и был, а если резервный канал, тот тут уже все идет через нас и авторизация не требуется. Подскажите пожалуйста какие изменения нужно внести в данную схему для реализации такой возможности. Ихнее железо трогать запрещено, в общем изменений в хардварной части должно быть по минимум, ворочать проводами там никто не даст, единственное подключить наш роутер к ихней локалке. Из за недстатка опыта сам разрулить не могу. Спасибо.
-
Нужно построить хитрую схему (хотим сэкономить)
тему ответил в odiszapc пользователя odiszapc в Программное обеспечение, биллинг и *unix системы
В общем настроил, тестирую. При установлении VPN туннеля добавляется одна строчка в таблицу маршрутов после чего инет начинает течь через домашний канал. Интересный момент: Если запустить пинг из Windows и Linux-машин офиса и начинать переключаться с офисного канала на домашний путем разрыва VPN-соединения, то можно наблюдать как меняется значение TTL. После двойного переключания туда-сюда пинг на данный хост с Windows-машин пропадает на время порядка нескольких минут, инет в это время нормально работает. Я как человек не просявященный причину этого не понял... C Linux-машины такого не наблюдается -
Нужно построить хитрую схему (хотим сэкономить)
тему ответил в odiszapc пользователя odiszapc в Программное обеспечение, биллинг и *unix системы
Не пойман не вор. Перелистал весь договор - есть там что то подобное, но отключить могут только при наличии четких доказательств, которые можно получить лишь расшифровав VPN соединение. А мы видите ли зарезали квоты и ввели жесткую политику для сотрудников - и качать они стали в 10 раз меньше. А суть конторы и сводится к взаимодействию с одним внутренним адресом. У нас еще один дсл-канал есть... Так что не все так просто. В итоге будет выходить в 2 раза дешевле - разве это заметно? И вообще в договоре ни слова нет о том что нельзя качать с внутренней сети десятки гигов - мы платим за это деньги в соответствии с тарифом. Они фильмы качают с моего компа и все тут. А то что там кто то будет "догадываться" то пусть - нет доказательств нет проблемы. Вот такая вот компиляция (в простонародье "залепа") и ничего ты тут не поделаешь. И так будет всегда пока я живу в России (цитата :)) Подраскачаемся тогда и вся это махинация будет не актуальна уже. -
Нужно построить хитрую схему (хотим сэкономить)
тему ответил в odiszapc пользователя odiszapc в Программное обеспечение, биллинг и *unix системы
Да не стабильная линия малость, рвется иногда, куда ж без этого, особенно в моей тайге. В общем даже скрипт не понадобился. Устанавливается Kerio VPN-тунель с дома до офиса. Через него устанавливается VPN соединение уже с офиса до дома, весь инет трафик с офиса автоматически начинает заворачиваться по нему. Если выделенка дома по каким то причинам падает, оба VPN соединения соответсвенно тут же рвутся, маршруты удаляются, и начинают работать предыдущие маршруты от обычного DSL. Все оказалось просто. Могут об этом как то догадаться? Траф идет по двойному шифрованному VPN-тунелю (тунель в тунеле - иначе никак). А если догадаются мне кажется что предъявить то нечего... Прав я? -
Нужно построить хитрую схему (хотим сэкономить)
тему ответил в odiszapc пользователя odiszapc в Программное обеспечение, биллинг и *unix системы
Спасибо но это не все. Как быть если анлим падает? Как переключиться на обычный инет. Писануть скрипт который автоматически пингует некий хост и по определенным условиям переписывает маршруты? Надежно ли -
Нужно построить хитрую схему (хотим сэкономить)
тему ответил в odiszapc пользователя odiszapc в Программное обеспечение, биллинг и *unix системы
Ха обмануть, мы и не такое делали. Нас уже давно пора всех пострелять)) Лучше подскажи что либо по решению задачи. -
Только русским такое придет в голову. Суть дела: решили сэкономить на интернете. Итак, есть офис 20 чел, имеющий интернет через ADSL-канал провайдера N с реальным IP. Работаем на Kerio. В месяц за трафик вылетает сумма, которую хотим уменьшить. Хотели перейти на безлимит, но увы в городе для юр. лиц такого нет и не будет еще очень долго. Только для физических... Но фантазия русских людей безгранична! Теперь внимание: Существует возможность установки безлимитного DSL-канала от этого же провайдера N у одного из сотрудников (меня) дома. После чего нужно заворачивать трафик не по стандартной схеме [ОФИС]<-->[iNET] а по такой: [ОФИС]<-->[ДОМАШНИЙ БЕЗЛИМИТ]<-->[iNET]. Трафик будет лететь по той же физической линии, но по другому тарифу - во внутренней сети провайдера трафик в 10 раз дешевле обычного (ведь провайдер один и тот же). Нехитрые расчеты показали что это приведет к существенной экономии средств. Теперь сложности: 1. Безлимит зарезан по 256 Кбит (хотя скорость не важна - лазают по сайтам да качают почту) 2. Естесвенно надежность такой схему будем ниже чем исходной. Поэтому в случае неожиданного падения безлимита нужно переключаться на обычный Пока соединил офис и мою хату по VPN-тунелю от того же Kerio - вижу офисную сеть, которая также видит меня. Теперь самое сложное - как перенаправить трафик сотрудников с офисного шлюза не в интернет а в сторону моего домашнего шлюза, который в свою очередь будет пересылать это все в инет по безлимитному каналу. Надеюсь изложил понятно. В какую сторону капать. Никто подобные задачи не решал? Согласен что криво, но блин экономия...
-
Заход за Masquerade. Как?
тему ответил в odiszapc пользователя odiszapc в Программное обеспечение, биллинг и *unix системы
Спасибо, почему то впн сразу в голову не пришел, раньше пытался обходиться без них -
Ситуация такова, что есть компьютер в некоторой сети с выходом в интернет через NAT, назовем его comp1 (Windows Server 2003). Соответственно, вся эта сеть сворачивается в один IP. К настройкам шлюза данной сети (GATEWAY) доступа НЕТ и быть не может. Это важно! Есть другой компьютер, имеющий реальный постоянный IP, напрямую подключенный к интернет, назовем его comp2 (Windows XP). К нему доступ есть. ВОПРОС: как присоединениться к comp1 из comp2 с целью его удаленного администрирования (Radmin или RDP не суть важно). Задача была бы тривиальной если бы была возможность управлять шлюзом - достаточно было прокинуть порт (Port Mapping). Но увы. Соединение comp1-->comp2 проходит без проблем, никакие порты (кроме 80) не блокируются. Схема: [comp1]<-->[GATEWAY]----(Internet)----[comp2] Какие варианты решений существуют? Порты из сети в сеть я прокидывал, но здесь такое видимо не пройдет. Знаю что можно но не знаю как. Интересуют конкретные варианты. Заранее благодарен.
-
Меняю UTM 5.0 под линух на UTM 5.0 под win2003
тему ответил в crc пользователя odiszapc в Программное обеспечение, биллинг и *unix системы
Пацан по еврейски - маленьки х*й. Удачи, потсаны. -
Подключение при загрузке в Win2003
тему ответил в odiszapc пользователя odiszapc в Программное обеспечение, биллинг и *unix системы
Задача в том что при загрузке Windows на момент отображения приглашения ввода логина пользователя и пароля интернет подключение должно быть активировано. -
Подскажите пожалуйста, как организовать автоматическую активацию Интернет-подключения при загрузке Windows 2003 еще до входа какого либо пользователя? Нужно чтобы подключение к интернет активировалось при загрузке. Как лучше всего сделать это? Спасибо.
-
MC и Glib
тему ответил в Towerman пользователя odiszapc в Программное обеспечение, биллинг и *unix системы
MC смысле Midnight Comander? Ну установи ты его из RPM раз такое дело: rpm -i --nodeps mc-4.5.55.rpm ...