Jump to content
Local
Sign in to follow this  
Futura

Организовать резервный канал на сервере

Recommended Posts

Имеется тазик на Debian c двумя сетевухами:

Internet-eth0<NAT<eth1-PPPoE

Если установить еще одну карточку (пусть будет eth2) c резервным каналом

как организовать автоматическое переключение при падении основного и корректную работу NAT?

Share this post


Link to post
Share on other sites

Скрипт или же BGP

Share this post


Link to post
Share on other sites

Тут будет уместим скрипт, и не еще одну карточку, а управляемый свитч + vlan.

Share this post


Link to post
Share on other sites
13 часов назад, Futura сказал:

Имеется тазик на Debian c двумя сетевухами:

 

 

3 часа назад, Земеля сказал:

 

Однако, Debian!=Mikrotik...

Share this post


Link to post
Share on other sites
14 часов назад, Futura сказал:

Имеется тазик на Debian c двумя сетевухами:

Internet-eth0<NAT<eth1-PPPoE

Если установить еще одну карточку (пусть будет eth2) c резервным каналом

как организовать автоматическое переключение при падении основного и корректную работу NAT?

А в чем проблема? Вставляй вторую сетевку подводи второго прова авторизуй второго прова, а переключаться будет само по себе метрики поставь и все ... У прова 1 PPPoE метрика 1 у прова 2 метрика 2 и все. Это если тебе балансировать надо тогда да надо повозиться, а так нет проблем ...

Нат только не забудь на второй канал включить, короче настройка в фаерволе такая же как и для канала 1 скопируй и все только поменяй интерфейс ;) 

Share this post


Link to post
Share on other sites
1 час назад, Matou сказал:

 

 

Однако, Debian!=Mikrotik...

имелось введу что ТС может перед своим сервером поставить микротик который будет разруливать аплинки ( балансировку, переключение на резерв) что в свою очередь снизит нагрузку на сам сервер 

микротик стоит порядка 2-3к грн 

Share this post


Link to post
Share on other sites
15 минут назад, Земеля сказал:

мелось введу что ТС может перед своим сервером поставить микротик который будет разруливать аплинки

А зачем? Если есть сервер? Нагрузку снизит вынос НАТа, а не бордера с 2-мя дефолтами...

38 минут назад, max_m сказал:

У прова 1 PPPoE метрика 1 у прова 2 метрика 2 и все

Ага, "и все будет" особенно тогда, когда у первого(основного прова) аплик отпадет, а пиринг с ним у вас будет работать:facepalm:

Edited by Dimkers

Share this post


Link to post
Share on other sites
3 часа назад, Dimkers сказал:

А зачем? Если есть сервер? Нагрузку снизит вынос НАТа, а не бордера с 2-мя дефолтами...

Ага, "и все будет" особенно тогда, когда у первого(основного прова) аплик отпадет, а пиринг с ним у вас будет работать:facepalm:

И что ? ТС не уточнял по каким параметрам ему нужно резервирование, а мною предложеный самый простой и без геморный на первый вариант. Ну а далее никто не мишает написать простецкий скрипт который будет пинговать к примеру в первом канале 8,8,8,8, а во втором 8,8,4,4 и менять метрику в роутах. Ну или что то подобное...  Или вы предлагаете ТС с провами строить пиринги по BGP или OSPF и это все к примеру для дома или для офиса из 3-х компов ?

 

Edited by max_m

Share this post


Link to post
Share on other sites

Еще раз повторюсь ТС сделай как я написал и не забивай себе голову, а если захочешь что то по серьезнее кури маны по скриптам переключения канала на резерв и проверка живости канала, это на случай как написал Dimkers.

Share this post


Link to post
Share on other sites
10 минут назад, max_m сказал:

Или вы предлагаете ТС с провами строить пиринги по BGP или OSPF и это все к примеру для дома или для офиса из 3-х компов ?

Я предлагаю научиться Вам читать, ибо:

18 часов назад, Futura сказал:

Internet-eth0<NAT<eth1-PPPoE


Вам данная схема говорит о офисе\доме, где 3 кампа подключаются по пппое?

  • Like 1

Share this post


Link to post
Share on other sites
5 часов назад, Dimkers сказал:

Я предлагаю научиться Вам читать, ибо:


Вам данная схема говорит о офисе\доме, где 3 кампа подключаются по пппое?

ООО поверь я много повидал и такое тоже ... Когда есть два дома и пару соседей и они авторизуютьс по пппое построено правда это на микротике типа НАР лайта но да такое я видел.В частном секторе и не такое увидеш,  поверь...Каждый пытается выкрутится как могет и с экономить и начинают строить из себя супер админов так и появляються малые пионер сети.Очень мноооого реализаций я видел.

Ну, а по поводу схемы, ТС вы случаем не еврей ? :lol: 

Edited by max_m

Share this post


Link to post
Share on other sites
9 часов назад, max_m сказал:

Ну, а по поводу схемы, ТС вы случаем не еврей ? :lol: 

 

А что еврейского в этой схеме? :lol:

Share this post


Link to post
Share on other sites

Обычно схему слева на право читают , в твоем случае наоборот ...

Edited by max_m

Share this post


Link to post
Share on other sites
1 час назад, Futura сказал:

А что еврейского в этой схеме?

Покупать 2 по 100М за 10 баксов и перепродавать:)))

Share this post


Link to post
Share on other sites

Я за два дефолта с разными метрикам, и не мучай мозг.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Archy_k
      Всем привет.
      Столкнулся с проблемой: не обновился сертификат SSL.
      Попробовал вручную запустить скрипт:
      # /etc/letsencrypt/certbot/certbot-auto renew Creating virtual environment... Installing Python packages... /opt/eff.org/certbot/venv/bin/python: No module named pip.__main__; 'pip' is a package and cannot be directly executed Traceback (most recent call last):   File "/tmp/tmp.qUAUXX5FHZ/pipstrap.py", line 177, in <module>     sys.exit(main())   File "/tmp/tmp.qUAUXX5FHZ/pipstrap.py", line 149, in main     pip_version = StrictVersion(check_output([python, '-m', 'pip', '--version'])   File "/usr/lib/python2.7/subprocess.py", line 544, in check_output     raise CalledProcessError(retcode, cmd, output=output) subprocess.CalledProcessError: Command '['/opt/eff.org/certbot/venv/bin/python', '-m', 'pip', '--version']' returned non-zero exit status 1 И вот какой ответ получаю.
      Подскажите пожалуйста, как с этим справиться...
      Сервер с Debian и nginx
      Заранее спасибо.
    • By kotqq
      Продам Juniper MX10-T (2 БП), сделан апгрейд до МХ80, BRAS. В комплекте плата mic-3d-20ge-sfp и MS-MIC-16G. Цена за полный комплект 8500$, без NAT - 5500$



    • By kotqq
      Продам очень дешево Juniper QFX3500-48S4Q (48 SFP+/SFP and 4 QSFP). Цена 1250$ 
      з.ы. Блок питания один, установка второго не возможна. Все порты рабочие.
       
      Высокопроизводительные коммутаторы QFX3500 идеально подходят для центров обработки данных, обеспечения обласных вычислений. Свичи поддерживают коммутацию 2 и 3 уровней с очень малой задержкой данных. Данная модель оснащена 48 двухрежимными портами SFP+/SFP с трансиверами и 4 QSFP+ разъемами. Производительность этого коммутатора может достигать 1.28 Тбит/с.



    • By Туйон
      Добрый вечер, коллеги!
      Столкнулся с такой ситуацией.
      Вышестоящий провайдер выдаёт интернет посредством gre-tunnel.
      К серверу (микротику) подключается 5 отдельных локальных подсетей.
      Раньше на этом туннеле был один ай-пи, допустим 111.111.111.111
      В ip - firewall было создано одно правило НАТ, применен scr-nat, в настройках было указано to-address 111.111.111.111
      Всё работало.
      Было принято решение чуть разгрузить это всё и добавлен ещё один внешний ай-пи, отличающийся на 1 цифру допустим 111.111.111.112.
      К слову, оба этих ай-пи прописаны прямо на интерфейс туннеля (в ip - addresses).
      Для того, чтобы две из пяти локальных сети выходили в мир по 111.111.111.111, а три другие по 111.111.111.112, я принял решение создать отдельно 5 правил scr-nat.
      Вот кусок конфига:
       
      /ip firewall nat
      add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.0.0/24 src-address-list=Clients to-addresses=111.111.111.111
      add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.1.0/24 src-address-list=Clients to-addresses=111.111.111.111
      add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.2.0/24 src-address-list=Clients to-addresses=111.111.111.112
      add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.3.0/24 src-address-list=Clients to-addresses=111.111.111.112
      add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.4.0/24 src-address-list=Clients to-addresses=111.111.111.112
       
      Вроде всё работает, но то ли мне кажется, то ли сайты иногда подвисают.
       
      Посему вопросы:
      1. Правильно ли я разрулил 2 внешних ай-пи на 5 локальных сетей?
      2. Что это такое !192.168.0.0/16. Я понимаю, что это исключение адресного пространства локалки из НАТа, но с какой целью? Надо ли так делать?
      3. Если на туннеле прописаны оба внешника 111.111.111.111 и 111.111.111.112, то если я буду пинговать некий сайт прямо с микротика, с какого из этих двух адресов будут идти запросы на сайт?
    • By Myr4ik
      Здравствуйте, ребята!
      Есть желание пробросить unicast IPTV из сети одного оператора в сеть другого поверх интернета без туннелей.
      Обычно делаю следующую настройку в NAT устройства (mikrotik), которое подключено к оператору, что вещает IPTV:
       
      chain=dstnat action=dst-nat to-addresses="IP UDP-to-HTTP сервера провайдера" to-ports=4022 protocol=tcp in-interface=ether1 dst-port=4321 ether1 - линк с оператором, в который приходит IPTV и интернет, и откуда, разумеется, IPTV уходит во вне с порта 4321.
      UDP-to-HTTP сервер оператора вещает с "IP UDP-to-HTTP сервера провайдера" и порта 4022.
       
       
      После вышеописанного, модифицирую соответствующий плэйлист с каналами на принимающей стороне и вуяля - все работает.
      Но недавно столкнулся с оператором, с которым этот финт не прокатил...
       
      Суть проблемы, как мне кажется, в следующем:
      Оператор, с которым, как я поначалу подумал не заработало правило NAT (а оно заработало вполне корректно), использует для вещания IPTV ПО Astra, которому не нравится в запросе от, например VLC, в поле Host, указание IP-адреса, а не FQDN.
      Изображение недуачной попытки посмотреть ТВ:
       

       
       
      А вот успешный запрос с FQDN, после которого сразу начинается передача-прием потока:
       

       
      Вопрос - есть ли способ модифицировать правило(а) на mikrotik (без создания DNS-записей на принимающей стороне), чтобы стало возможным просматривать IPTV вне сети оператора с Astr`ой? Правильно ли я локализовал "проблему"?
       
      Спасибо.
×