Jump to content

bgp + nat на одном роутере

borus099
 Share

Recommended Posts

borus099

borus099

Posted
Posted

Здравствуйте, имеется следующая конфигурация:

 

Тестовый ПК с установленной linux ubuntu 14.04, 3 сетевые карты.

 

eth0 = 50.50.50.50 ---- реальный IP адрес выдан нам провайдером, интернет от него мы получаем по bgp

eth1 = 190.190.190.190/23 ---- реальный IP адрес из нашей (AS) автономной сети.

eth2 = 192.168.10.1/24 ---- IP адрес для подключения к интернету локальных компьютеров.

 

Интернет на сервере работает.

 

Если подключится к интерфейсу eth1 с локального компьютера и назначить себе один из адресов нашей AS например 190.190.190.100, то интернет будет работать, и из вне будет виден по адресу 190.190.190.100.

 

Вопрос в следующем, как настроить NAT для локальный компьютеров чтоб в интернет они выходили под адресом 190.190.190.190 (eth1) ?.

NAT работает для локальных клиентов только если натить их на интерфейс eth0, и в сеть они выходят под адресом 50.50.50.50 (eth0) что не есть хорошо.

 

Ногами сильно не пинайте.

zi_rus

zi_rus

Posted
Posted

хотя правильнее ессно повесить ип

не согласен. правильнее не вешать, но и с повешенным будет работать

создается nat pool и идет нат в него, его потом можно расширить при необходимости

stalker86

stalker86

Posted
Posted

Уху. Только в этом случае каждый разнат будет в разный IP из этого пула. От Чего не будет работать тот же сбербанк и ещё много чего

smelnik

smelnik

Posted
Posted

Уху. Только в этом случае каждый разнат будет в разный IP из этого пула. От Чего не будет работать тот же сбербанк и ещё много чего

--persistent вроде как решает проблему.

 

не согласен. правильнее не вешать, но и с повешенным будет работать

Я сейчас делаю так - добавляю нужные ip на lo, делаю ip r a <IP> blackhole, в iptables -j SNAT --persistent

Выходит, ip на lo можно не вешать?

kayot

kayot

Posted
Posted

--persistent вроде как решает проблему.

Точно решает.

Если машина выполняет функции и NAT и бордера - вешать адреса не нужно, они и так смаршрутизированы на эту машину.

В случае отдельного NAT-бокса таки да, надо или адреса на интерфейсы вешать, или подсети маршрутизировать на этот бокс.

zi_rus

zi_rus

Posted
Posted

Я сейчас делаю так - добавляю нужные ip на lo, делаю ip r a <IP> blackhole, в iptables -j SNAT --persistent

Выходит, ip на lo можно не вешать?

Я промахнулся, думал тема про циску :)

Но вы можете не аешать, я разрешаю :D

SABRE

SABRE

Posted
Posted

главное заблэкхолить не забыть ;)

+1

В общем я понял - два варианта и все работают:

1. Олдскул - ip вешаем.

2. Хипстерский - ip не вешаем :))

1. ip вешаем

2. ip не вешаем)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.