Elisium Posted August 24, 2009 Posted August 24, 2009 Всем доброго дня .. Ситуация такая: Есть шлюзовой сервер - одна штука .. На нем Фря 7.2. На шлюзовом сервере есть три сетевухи - локалка, инет "Мир" и инет "Украина" (только подключили и еще ненастроен) - канал, подключенный ТОЛЬКО к укр точке обмена трафиком UA-IX. Сейчас все работает стандартно - на Мире нат (pf), с Мира в локалку пробрасываются бинатом белые ИПы ... Сейчас провели и подключили в шлюз канал сугубо с укр трафиком. Если (для теста) добавить какойнить роут в укр подсеть (например, 77.88.0.0/16), то трэйс со шлюза показывает, что пинги в ту подсеть ходят через укр канал, НО пинги ЗА шлюзом, с локалки, на тот же узел ходить перестают .. Из мыслей по этому поводу у меня есть только то, что на укр интерфейсе не поднят нат ... Так вот вопрос: КАК ПРАВИЛЬНО организовать такую схему ? Роут только укр сетей в один канал, всего остального - в другой канал .. Почитавши кучу других форумов, нашел, что для этого используют PBR, но во всех тестовых примерах два канала используют либо для балансировки нагрузки, либо пробрасывают НЕКОТОРЫЕ сервисы во второй канал ... Мне же нужно роутить украинские сети в укр канал, все остальное - в мировой канал .. Постоянно обновляемый список укр сетей есть. Своей АС нет, поэтому БГП не подходит ... Загвоздка еще в том, что пров, который дает мировой канал, ТОЖЕ подключен к UA-IX... Наверняка на этом форуме есть люди, у которых сделано что нибудь похожее .. Может кто поделится кусочком конфига, подходящим для подобного ? Или культурно толкнет в нужном направлении? п.с. пока, кроме как разнести на разные машины нат и роутер, другого решения не вижу ... и то - это только тестовое предположение .. Может я упускаю какоето очевидное решение ? Заранее спасибо ... Вставить ник Quote
martin74 Posted August 25, 2009 Posted August 25, 2009 исходящий от себя натом разрулить сможете... а вот входящий - по моему только bgp поможет... Вставить ник Quote
Elisium Posted August 25, 2009 Author Posted August 25, 2009 Ммм .. еще есть какие нить варианты ? Если нужны доп. данные - напишу ... п.с. ЗДЕСЬ оригинальная тема .. Вставить ник Quote
[anp/hsw] Posted August 26, 2009 Posted August 26, 2009 hint: для BGP не обязательно иметь свою АС :) BGP - это протокол маршрутизации - какую АС пропишите, такая и будет. я например согласовал с провайдерами использование их АС-ок и их же арендованых адресных пространств. Вставить ник Quote
Elisium Posted August 26, 2009 Author Posted August 26, 2009 (edited) Таксь .. чето с пониманием БГП у меня туго ((( Наверное надо ченить умное почитать по этому поводу ... встречный вопрос - это надо будет поднять какойнить openbgpd на шлюзе, он будет принимать информацию от вышестоящего провайдера и сам рулить маршрутами на этом шлюзе ? Может даже от ДВУХ вышестоящих провайдеров, не имея своей АС и тогда openbgpd или quagga сам разберется, куда и чего ближе роутить ? Я правильно понял ? или эта фраза - редкий бред ? )))) п.с. про нат я уже понял .. сделал, работает .. и роуты пачкой запихнул - тоже работает .. Но вот уже не в первый раз советуют использовать БГП, а чего это и с чем едят - не сталкивался еще ... Edited August 26, 2009 by Elisium Вставить ник Quote
make.kernel Posted August 27, 2009 Posted August 27, 2009 встречный вопрос - это надо будет поднять какойнить openbgpd на шлюзе, он будет принимать информацию от вышестоящего провайдера и сам рулить маршрутами на этом шлюзе ? Поговорите с провайдером, поднимут ли они для вас сессию. Если поднимут - то как правило и настроить помогут. Вставить ник Quote
Lucky SB Posted August 27, 2009 Posted August 27, 2009 человек с тем как фаерволл работает не разобрался еще, а вы его БГП грузите. не надо ему это. Поднял он второй нат на канале до ua-ix уже ;) Elisium Ты разберись сначала как пакеты по правилам фаерволла проходят. http://nuclight.livejournal.com/124348.html Плюс учитывай, что по умолчанию попадание пакета в pipe считаеться успешным прохождение фаерволла и пакет дальше в сеть уходит. а у тебя в фаере сложно разобраться пе зная какие в какой таблице адреса храняться и куда ngtee пакеты отдает. Вставить ник Quote
Elisium Posted August 27, 2009 Author Posted August 27, 2009 (edited) Поговорите с провайдером, поднимут ли они для вас сессию. Если поднимут - то как правило и настроить помогут.Спасибо, попробуем ... как канал поднимут опять ..(((( Второй день связи нет .. Ты разберись сначала как пакеты по правилам фаерволла проходят.http://nuclight.livejournal.com/124348.html О! Спасибо !! Пролистал слегонца, выглядит, как статья для полных чайникофф в ipfw ))) Вобщем, мне как раз )) Буду просвещаться)) По таблицам: # Описания таблиц ipfw, используемых скриптом: # 0 - ip клиентов, которых обслуживает данный сателлит и для которых выполняются условия, описанные в # конфиге сателлита, по умолчанию: # - клиент авторизован и доступ не заблокирован # - клиент в состоянии `всегда онлайн` и доступ не заблокирован # 1 - ip авторизованных, а также `всегда онлайн`, незаблокированных клиентов всех групп! Не только # тех, которые обслуживает данный сателлит. Эта таблица заполняется только если запущено ядро биллинга. # 2 - полный список всех ip биллинга вне зависимости от авторизации и др. параметров. # 10 - ip и pipe-ы для шейпов трафика, идущего к клиенту. Например # 11 - То же для трафика от клиента # 15 - ip, которым заблокирован доступ к запрещенным портам # 20,21 - шейпы для трафика `клиент -> клиент`, т.е трафик между ip, которые ОБА присутствуют в биллинге # 120 - Сети, в/из которых трафик блокируем. # 126 - таблицa со списком сетей альтернативного направления (второй канал, городская сеть итд ...) # 127 - таблицa со списком ИПов тех пользователей, кому разрешен доступ к альтернативному направлению. ngtee пакеты отдает в коллектор нетфлов, если я правильно помню .. встречный вопрос - это надо будет поднять какойнить openbgpd на шлюзе, он будет принимать информацию от вышестоящего провайдера и сам рулить маршрутами на этом шлюзе ?Может даже от ДВУХ вышестоящих провайдеров, не имея своей АС и тогда openbgpd или quagga сам разберется, куда и чего ближе роутить ? Я правильно понял ? или эта фраза - редкий бред ? )))) Так у меня правильное восприятие (примерно) или совсем не с той оперы ? Edited August 27, 2009 by Elisium Вставить ник Quote
Lucky SB Posted August 28, 2009 Posted August 28, 2009 ну в фаерволле у тебя редкостный бардак ;) skipto ссылаються на номера, которых в природе нету. в пайпах не указано на каком интерфейсе шейпить, из-за этого может по два раза в трубу трафик попадать.... Плюс ты пользуешься ipnat, я к сожалению никогда с ним не разбирался, поэтому про тонкости работоспособности связик ipnat + ipfw pipe ничего подсказать не могу. встречный вопрос - это надо будет поднять какойнить openbgpd на шлюзе, он будет принимать информацию от вышестоящего провайдера и сам рулить маршрутами на этом шлюзе ?Может даже от ДВУХ вышестоящих провайдеров, не имея своей АС и тогда openbgpd или quagga сам разберется, куда и чего ближе роутить ? Я правильно понял ? или эта фраза - редкий бред ? )))) Так у меня правильное восприятие (примерно) или совсем не с той оперы ? Совсем неправильное. ;) квагга - это не волшебная палочка. и не имея собственного блока ip-адресов размером как минимум /24 об BGP можно даже не думать. Главная проблема - это не то, что бы разобраться куда и чего ближе роутить. Главаня проблема - это рассказать всему интернету от кого и через кого ты хочшь принимать трафик... Вставить ник Quote
Elisium Posted August 28, 2009 Author Posted August 28, 2009 В фаерволе бардак просто потому, что бОльшую часть правил (клиентские шейпы) биллинг дописывает динамически сам .. Блок адресов есть .. просто както ...ммм .. надобности не было думать про продвинутое руление маршрутами ... Про БГП и все с ним сопутствующее бум читать и развиваться)) Вобщем, пока остановились на нат + роут 1500 маршрутов, так как надо было сделать быстро, чтобы делало вид, что работает ))) Всем за пинкИ в нужные стороны - СПАСИБО )) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.