Jump to content
Калькуляторы

bgp + nat на одном роутере

Здравствуйте, имеется следующая конфигурация:

 

Тестовый ПК с установленной linux ubuntu 14.04, 3 сетевые карты.

 

eth0 = 50.50.50.50 ---- реальный IP адрес выдан нам провайдером, интернет от него мы получаем по bgp

eth1 = 190.190.190.190/23 ---- реальный IP адрес из нашей (AS) автономной сети.

eth2 = 192.168.10.1/24 ---- IP адрес для подключения к интернету локальных компьютеров.

 

Интернет на сервере работает.

 

Если подключится к интерфейсу eth1 с локального компьютера и назначить себе один из адресов нашей AS например 190.190.190.100, то интернет будет работать, и из вне будет виден по адресу 190.190.190.100.

 

Вопрос в следующем, как настроить NAT для локальный компьютеров чтоб в интернет они выходили под адресом 190.190.190.190 (eth1) ?.

NAT работает для локальных клиентов только если натить их на интерфейс eth0, и в сеть они выходят под адресом 50.50.50.50 (eth0) что не есть хорошо.

 

Ногами сильно не пинайте.

Share this post


Link to post
Share on other sites

хотя правильнее ессно повесить ип

не согласен. правильнее не вешать, но и с повешенным будет работать

создается nat pool и идет нат в него, его потом можно расширить при необходимости

Share this post


Link to post
Share on other sites

Уху. Только в этом случае каждый разнат будет в разный IP из этого пула. От Чего не будет работать тот же сбербанк и ещё много чего

Share this post


Link to post
Share on other sites

Уху. Только в этом случае каждый разнат будет в разный IP из этого пула. От Чего не будет работать тот же сбербанк и ещё много чего

--persistent вроде как решает проблему.

 

не согласен. правильнее не вешать, но и с повешенным будет работать

Я сейчас делаю так - добавляю нужные ip на lo, делаю ip r a <IP> blackhole, в iptables -j SNAT --persistent

Выходит, ip на lo можно не вешать?

Share this post


Link to post
Share on other sites

--persistent вроде как решает проблему.

Точно решает.

Если машина выполняет функции и NAT и бордера - вешать адреса не нужно, они и так смаршрутизированы на эту машину.

В случае отдельного NAT-бокса таки да, надо или адреса на интерфейсы вешать, или подсети маршрутизировать на этот бокс.

Share this post


Link to post
Share on other sites

Я сейчас делаю так - добавляю нужные ip на lo, делаю ip r a <IP> blackhole, в iptables -j SNAT --persistent

Выходит, ip на lo можно не вешать?

Я промахнулся, думал тема про циску :)

Но вы можете не аешать, я разрешаю :D

Share this post


Link to post
Share on other sites

В общем я понял - два варианта и все работают:

1. Олдскул - ip вешаем.

2. Хипстерский - ip не вешаем :))

Share this post


Link to post
Share on other sites

главное заблэкхолить не забыть ;)

+1

В общем я понял - два варианта и все работают:

1. Олдскул - ip вешаем.

2. Хипстерский - ip не вешаем :))

1. ip вешаем

2. ip не вешаем)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.