Перейти к содержимому
Калькуляторы

"Мир" и "UA-IX" - как сделать правильный роутинг ? Как настроить роутинг по списку сетей ?

Всем доброго дня ..

 

Ситуация такая:

Есть шлюзовой сервер - одна штука .. На нем Фря 7.2.

На шлюзовом сервере есть три сетевухи - локалка, инет "Мир" и инет "Украина" (только подключили и еще ненастроен) - канал, подключенный ТОЛЬКО к укр точке обмена трафиком UA-IX.

Сейчас все работает стандартно - на Мире нат (pf), с Мира в локалку пробрасываются бинатом белые ИПы ...

 

Сейчас провели и подключили в шлюз канал сугубо с укр трафиком.

Если (для теста) добавить какойнить роут в укр подсеть (например, 77.88.0.0/16), то трэйс со шлюза показывает, что пинги в ту подсеть ходят через укр канал, НО пинги ЗА шлюзом, с локалки, на тот же узел ходить перестают ..

Из мыслей по этому поводу у меня есть только то, что на укр интерфейсе не поднят нат ...

 

Так вот вопрос:

КАК ПРАВИЛЬНО организовать такую схему ? Роут только укр сетей в один канал, всего остального - в другой канал ..

 

Почитавши кучу других форумов, нашел, что для этого используют PBR, но во всех тестовых примерах два канала используют либо для балансировки нагрузки, либо пробрасывают НЕКОТОРЫЕ сервисы во второй канал ...

Мне же нужно роутить украинские сети в укр канал, все остальное - в мировой канал .. Постоянно обновляемый список укр сетей есть.

Своей АС нет, поэтому БГП не подходит ...

Загвоздка еще в том, что пров, который дает мировой канал, ТОЖЕ подключен к UA-IX...

 

Наверняка на этом форуме есть люди, у которых сделано что нибудь похожее ..

Может кто поделится кусочком конфига, подходящим для подобного ? Или культурно толкнет в нужном направлении?

 

п.с. пока, кроме как разнести на разные машины нат и роутер, другого решения не вижу ... и то - это только тестовое предположение .. Может я упускаю какоето очевидное решение ?

 

 

Заранее спасибо ...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

исходящий от себя натом разрулить сможете...

а вот входящий - по моему только bgp поможет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ммм .. еще есть какие нить варианты ?

Если нужны доп. данные - напишу ...

 

п.с. ЗДЕСЬ оригинальная тема ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

hint: для BGP не обязательно иметь свою АС :)

BGP - это протокол маршрутизации - какую АС пропишите, такая и будет. я например согласовал с провайдерами использование их АС-ок и их же арендованых адресных пространств.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Таксь .. чето с пониманием БГП у меня туго (((

Наверное надо ченить умное почитать по этому поводу ...

 

встречный вопрос - это надо будет поднять какойнить openbgpd на шлюзе, он будет принимать информацию от вышестоящего провайдера и сам рулить маршрутами на этом шлюзе ?

Может даже от ДВУХ вышестоящих провайдеров, не имея своей АС и тогда openbgpd или quagga сам разберется, куда и чего ближе роутить ?

Я правильно понял ? или эта фраза - редкий бред ? ))))

 

п.с. про нат я уже понял .. сделал, работает .. и роуты пачкой запихнул - тоже работает ..

Но вот уже не в первый раз советуют использовать БГП, а чего это и с чем едят - не сталкивался еще ...

Изменено пользователем Elisium

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

встречный вопрос - это надо будет поднять какойнить openbgpd на шлюзе, он будет принимать информацию от вышестоящего провайдера и сам рулить маршрутами на этом шлюзе ?

Поговорите с провайдером, поднимут ли они для вас сессию. Если поднимут - то как правило и настроить помогут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

человек с тем как фаерволл работает не разобрался еще, а вы его БГП грузите.

 

не надо ему это. Поднял он второй нат на канале до ua-ix уже ;)

 

Elisium

Ты разберись сначала как пакеты по правилам фаерволла проходят.

http://nuclight.livejournal.com/124348.html

 

Плюс учитывай, что по умолчанию попадание пакета в pipe считаеться успешным прохождение фаерволла и пакет дальше в сеть уходит.

а у тебя в фаере сложно разобраться пе зная какие в какой таблице адреса храняться и куда ngtee пакеты отдает.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поговорите с провайдером, поднимут ли они для вас сессию. Если поднимут - то как правило и настроить помогут.
Спасибо, попробуем ... как канал поднимут опять ..(((( Второй день связи нет ..

 

 

Ты разберись сначала как пакеты по правилам фаерволла проходят.

http://nuclight.livejournal.com/124348.html

О! Спасибо !! Пролистал слегонца, выглядит, как статья для полных чайникофф в ipfw ))) Вобщем, мне как раз ))

Буду просвещаться))

 

По таблицам:

# Описания таблиц ipfw, используемых скриптом:

# 0 - ip клиентов, которых обслуживает данный сателлит и для которых выполняются условия, описанные в

# конфиге сателлита, по умолчанию:

# - клиент авторизован и доступ не заблокирован

# - клиент в состоянии `всегда онлайн` и доступ не заблокирован

# 1 - ip авторизованных, а также `всегда онлайн`, незаблокированных клиентов всех групп! Не только

# тех, которые обслуживает данный сателлит. Эта таблица заполняется только если запущено ядро биллинга.

# 2 - полный список всех ip биллинга вне зависимости от авторизации и др. параметров.

# 10 - ip и pipe-ы для шейпов трафика, идущего к клиенту. Например

# 11 - То же для трафика от клиента

# 15 - ip, которым заблокирован доступ к запрещенным портам

# 20,21 - шейпы для трафика `клиент -> клиент`, т.е трафик между ip, которые ОБА присутствуют в биллинге

# 120 - Сети, в/из которых трафик блокируем.

# 126 - таблицa со списком сетей альтернативного направления (второй канал, городская сеть итд ...)

# 127 - таблицa со списком ИПов тех пользователей, кому разрешен доступ к альтернативному направлению.

ngtee пакеты отдает в коллектор нетфлов, если я правильно помню ..

 

встречный вопрос - это надо будет поднять какойнить openbgpd на шлюзе, он будет принимать информацию от вышестоящего провайдера и сам рулить маршрутами на этом шлюзе ?

Может даже от ДВУХ вышестоящих провайдеров, не имея своей АС и тогда openbgpd или quagga сам разберется, куда и чего ближе роутить ?

Я правильно понял ? или эта фраза - редкий бред ? ))))

Так у меня правильное восприятие (примерно) или совсем не с той оперы ?

Изменено пользователем Elisium

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну в фаерволле у тебя редкостный бардак ;) skipto ссылаються на номера, которых в природе нету.

в пайпах не указано на каком интерфейсе шейпить, из-за этого может по два раза в трубу трафик попадать....

Плюс ты пользуешься ipnat, я к сожалению никогда с ним не разбирался, поэтому про тонкости работоспособности связик ipnat + ipfw pipe ничего подсказать не могу.

 

встречный вопрос - это надо будет поднять какойнить openbgpd на шлюзе, он будет принимать информацию от вышестоящего провайдера и сам рулить маршрутами на этом шлюзе ?

Может даже от ДВУХ вышестоящих провайдеров, не имея своей АС и тогда openbgpd или quagga сам разберется, куда и чего ближе роутить ?

Я правильно понял ? или эта фраза - редкий бред ? ))))

Так у меня правильное восприятие (примерно) или совсем не с той оперы ?

Совсем неправильное. ;)

квагга - это не волшебная палочка.

и не имея собственного блока ip-адресов размером как минимум /24 об BGP можно даже не думать.

 

Главная проблема - это не то, что бы разобраться куда и чего ближе роутить.

Главаня проблема - это рассказать всему интернету от кого и через кого ты хочшь принимать трафик...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В фаерволе бардак просто потому, что бОльшую часть правил (клиентские шейпы) биллинг дописывает динамически сам ..

Блок адресов есть .. просто както ...ммм .. надобности не было думать про продвинутое руление маршрутами ...

Про БГП и все с ним сопутствующее бум читать и развиваться))

Вобщем, пока остановились на нат + роут 1500 маршрутов, так как надо было сделать быстро, чтобы делало вид, что работает )))

Всем за пинкИ в нужные стороны - СПАСИБО ))

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.