Elisium Опубликовано 24 августа, 2009 · Жалоба Всем доброго дня .. Ситуация такая: Есть шлюзовой сервер - одна штука .. На нем Фря 7.2. На шлюзовом сервере есть три сетевухи - локалка, инет "Мир" и инет "Украина" (только подключили и еще ненастроен) - канал, подключенный ТОЛЬКО к укр точке обмена трафиком UA-IX. Сейчас все работает стандартно - на Мире нат (pf), с Мира в локалку пробрасываются бинатом белые ИПы ... Сейчас провели и подключили в шлюз канал сугубо с укр трафиком. Если (для теста) добавить какойнить роут в укр подсеть (например, 77.88.0.0/16), то трэйс со шлюза показывает, что пинги в ту подсеть ходят через укр канал, НО пинги ЗА шлюзом, с локалки, на тот же узел ходить перестают .. Из мыслей по этому поводу у меня есть только то, что на укр интерфейсе не поднят нат ... Так вот вопрос: КАК ПРАВИЛЬНО организовать такую схему ? Роут только укр сетей в один канал, всего остального - в другой канал .. Почитавши кучу других форумов, нашел, что для этого используют PBR, но во всех тестовых примерах два канала используют либо для балансировки нагрузки, либо пробрасывают НЕКОТОРЫЕ сервисы во второй канал ... Мне же нужно роутить украинские сети в укр канал, все остальное - в мировой канал .. Постоянно обновляемый список укр сетей есть. Своей АС нет, поэтому БГП не подходит ... Загвоздка еще в том, что пров, который дает мировой канал, ТОЖЕ подключен к UA-IX... Наверняка на этом форуме есть люди, у которых сделано что нибудь похожее .. Может кто поделится кусочком конфига, подходящим для подобного ? Или культурно толкнет в нужном направлении? п.с. пока, кроме как разнести на разные машины нат и роутер, другого решения не вижу ... и то - это только тестовое предположение .. Может я упускаю какоето очевидное решение ? Заранее спасибо ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 25 августа, 2009 · Жалоба исходящий от себя натом разрулить сможете... а вот входящий - по моему только bgp поможет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 25 августа, 2009 · Жалоба Ммм .. еще есть какие нить варианты ? Если нужны доп. данные - напишу ... п.с. ЗДЕСЬ оригинальная тема .. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 26 августа, 2009 · Жалоба hint: для BGP не обязательно иметь свою АС :) BGP - это протокол маршрутизации - какую АС пропишите, такая и будет. я например согласовал с провайдерами использование их АС-ок и их же арендованых адресных пространств. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 26 августа, 2009 (изменено) · Жалоба Таксь .. чето с пониманием БГП у меня туго ((( Наверное надо ченить умное почитать по этому поводу ... встречный вопрос - это надо будет поднять какойнить openbgpd на шлюзе, он будет принимать информацию от вышестоящего провайдера и сам рулить маршрутами на этом шлюзе ? Может даже от ДВУХ вышестоящих провайдеров, не имея своей АС и тогда openbgpd или quagga сам разберется, куда и чего ближе роутить ? Я правильно понял ? или эта фраза - редкий бред ? )))) п.с. про нат я уже понял .. сделал, работает .. и роуты пачкой запихнул - тоже работает .. Но вот уже не в первый раз советуют использовать БГП, а чего это и с чем едят - не сталкивался еще ... Изменено 26 августа, 2009 пользователем Elisium Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
make.kernel Опубликовано 27 августа, 2009 · Жалоба встречный вопрос - это надо будет поднять какойнить openbgpd на шлюзе, он будет принимать информацию от вышестоящего провайдера и сам рулить маршрутами на этом шлюзе ? Поговорите с провайдером, поднимут ли они для вас сессию. Если поднимут - то как правило и настроить помогут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lucky SB Опубликовано 27 августа, 2009 · Жалоба человек с тем как фаерволл работает не разобрался еще, а вы его БГП грузите. не надо ему это. Поднял он второй нат на канале до ua-ix уже ;) Elisium Ты разберись сначала как пакеты по правилам фаерволла проходят. http://nuclight.livejournal.com/124348.html Плюс учитывай, что по умолчанию попадание пакета в pipe считаеться успешным прохождение фаерволла и пакет дальше в сеть уходит. а у тебя в фаере сложно разобраться пе зная какие в какой таблице адреса храняться и куда ngtee пакеты отдает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 27 августа, 2009 (изменено) · Жалоба Поговорите с провайдером, поднимут ли они для вас сессию. Если поднимут - то как правило и настроить помогут.Спасибо, попробуем ... как канал поднимут опять ..(((( Второй день связи нет .. Ты разберись сначала как пакеты по правилам фаерволла проходят.http://nuclight.livejournal.com/124348.html О! Спасибо !! Пролистал слегонца, выглядит, как статья для полных чайникофф в ipfw ))) Вобщем, мне как раз )) Буду просвещаться)) По таблицам: # Описания таблиц ipfw, используемых скриптом: # 0 - ip клиентов, которых обслуживает данный сателлит и для которых выполняются условия, описанные в # конфиге сателлита, по умолчанию: # - клиент авторизован и доступ не заблокирован # - клиент в состоянии `всегда онлайн` и доступ не заблокирован # 1 - ip авторизованных, а также `всегда онлайн`, незаблокированных клиентов всех групп! Не только # тех, которые обслуживает данный сателлит. Эта таблица заполняется только если запущено ядро биллинга. # 2 - полный список всех ip биллинга вне зависимости от авторизации и др. параметров. # 10 - ip и pipe-ы для шейпов трафика, идущего к клиенту. Например # 11 - То же для трафика от клиента # 15 - ip, которым заблокирован доступ к запрещенным портам # 20,21 - шейпы для трафика `клиент -> клиент`, т.е трафик между ip, которые ОБА присутствуют в биллинге # 120 - Сети, в/из которых трафик блокируем. # 126 - таблицa со списком сетей альтернативного направления (второй канал, городская сеть итд ...) # 127 - таблицa со списком ИПов тех пользователей, кому разрешен доступ к альтернативному направлению. ngtee пакеты отдает в коллектор нетфлов, если я правильно помню .. встречный вопрос - это надо будет поднять какойнить openbgpd на шлюзе, он будет принимать информацию от вышестоящего провайдера и сам рулить маршрутами на этом шлюзе ?Может даже от ДВУХ вышестоящих провайдеров, не имея своей АС и тогда openbgpd или quagga сам разберется, куда и чего ближе роутить ? Я правильно понял ? или эта фраза - редкий бред ? )))) Так у меня правильное восприятие (примерно) или совсем не с той оперы ? Изменено 27 августа, 2009 пользователем Elisium Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lucky SB Опубликовано 28 августа, 2009 · Жалоба ну в фаерволле у тебя редкостный бардак ;) skipto ссылаються на номера, которых в природе нету. в пайпах не указано на каком интерфейсе шейпить, из-за этого может по два раза в трубу трафик попадать.... Плюс ты пользуешься ipnat, я к сожалению никогда с ним не разбирался, поэтому про тонкости работоспособности связик ipnat + ipfw pipe ничего подсказать не могу. встречный вопрос - это надо будет поднять какойнить openbgpd на шлюзе, он будет принимать информацию от вышестоящего провайдера и сам рулить маршрутами на этом шлюзе ?Может даже от ДВУХ вышестоящих провайдеров, не имея своей АС и тогда openbgpd или quagga сам разберется, куда и чего ближе роутить ? Я правильно понял ? или эта фраза - редкий бред ? )))) Так у меня правильное восприятие (примерно) или совсем не с той оперы ? Совсем неправильное. ;) квагга - это не волшебная палочка. и не имея собственного блока ip-адресов размером как минимум /24 об BGP можно даже не думать. Главная проблема - это не то, что бы разобраться куда и чего ближе роутить. Главаня проблема - это рассказать всему интернету от кого и через кого ты хочшь принимать трафик... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 28 августа, 2009 · Жалоба В фаерволе бардак просто потому, что бОльшую часть правил (клиентские шейпы) биллинг дописывает динамически сам .. Блок адресов есть .. просто както ...ммм .. надобности не было думать про продвинутое руление маршрутами ... Про БГП и все с ним сопутствующее бум читать и развиваться)) Вобщем, пока остановились на нат + роут 1500 маршрутов, так как надо было сделать быстро, чтобы делало вид, что работает ))) Всем за пинкИ в нужные стороны - СПАСИБО )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...