Біла іп для абонента

[stepnet 0]

Я новачок, так що відразу палками не бийте, ткніть носом в правильне місце

Все працює на одному сервері FreeBSD Ubilling 1.3.8 rev 8894

Читав 

та

мої налаштування 

rc.conf

hostname="miso"

ifconfig_vmx0="inet 172.16.0.1/24" - мережа абонів

ifconfig_vmx1="inet 62.80.138.131/29" - вихід в світ (іп видумана)

ifconfig_vmx2="inet 192.168.11.3/24 -arp" - мережа адміна

defaultrouter="62.80.138.129"

sshd_enable="YES"

gateway_enable="YES"

 

firewall.conf

#!/bin/sh

# firewall command

FwCMD="/sbin/ipfw -q"

${FwCMD} -f flush

# Interfaces setup

LAN_IF="vmx0"

WAN_IF="vmx1"

WANFG_IF="vmx2"

 

# Networks defines

# Users

${FwCMD} table 2 add 172.16.150.0/24

${FwCMD} table 10 add 62.80.138.134/32

#${FwCMD} add 65531 deny all from table\(10\) to any via vmx0

#${FwCMD} add 65532 deny all from any to table\(10\) via vmx0

 

# Safe zones

${FwCMD} table 22 add 127.0.0.1

 

# Safe zones allow policy

${FwCMD} add 45 allow ip from table\(22\) to me

${FwCMD} add 45 allow ip from me to table\(22\)

 

# ssh access.

#${FwCMD} add 46 deny ip from any to me  dst-port 22

#${FwCMD} add 46 deny ip from me to any src-port 22

 

# mysql access

${FwCMD} add 47 deny ip from any to me  dst-port 3306

${FwCMD} add 47 deny ip from me to any src-port 3306

 

# sgconf access

${FwCMD} add 48 deny ip from any to me  dst-port 5555

${FwCMD} add 48 deny ip from me to any src-port 5555

 

# NAT

${FwCMD} nat 1 config log if ${WAN_IF} reset same_ports

${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(10\) out xmit ${WAN_IF}

${FwCMD} add 6001 nat 1 ip from any to me in recv ${WAN_IF}

 

# Pass traffic for the specific subscriber without NAT

${FwCMD} add 6010 allow ip from table\(10\) to any out xmit ${WAN_IF}

${FwCMD} add 6011 allow ip from any to table\(10\) in recv ${WAN_IF}

 

# Shaper - table 4 download speed, table 3 - upload speed

${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out

${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in

 

# default block policy

${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF}

${FwCMD} add 65534 deny all from any to table\(2\) via ${LAN_IF}

${FwCMD} add 65535 allow all from any to any

 

В вебці добавив мережу, налаштував dhcp, абонент отримує іп 62.80.138.134 з гейтом 62.80.138.129

Як абоненту налаштувати білу іп 62.80.138.134?

[nightfly 1 236]

10 часов назад, stepnet сказав:

Я новачок, так що відразу палками не бийте, ткніть носом в правильне місце

Все працює на одному сервері FreeBSD Ubilling 1.3.8 rev 8894

Читав 

та

мої налаштування 

rc.conf

hostname="miso"

ifconfig_vmx0="inet 172.16.0.1/24" - мережа абонів

ifconfig_vmx1="inet 62.80.138.131/29" - вихід в світ (іп видумана)

ifconfig_vmx2="inet 192.168.11.3/24 -arp" - мережа адміна

defaultrouter="62.80.138.129"

sshd_enable="YES"

gateway_enable="YES"

 

firewall.conf

#!/bin/sh

# firewall command

FwCMD="/sbin/ipfw -q"

${FwCMD} -f flush

# Interfaces setup

LAN_IF="vmx0"

WAN_IF="vmx1"

WANFG_IF="vmx2"

 

# Networks defines

# Users

${FwCMD} table 2 add 172.16.150.0/24

${FwCMD} table 10 add 62.80.138.134/32

#${FwCMD} add 65531 deny all from table\(10\) to any via vmx0

#${FwCMD} add 65532 deny all from any to table\(10\) via vmx0

 

# Safe zones

${FwCMD} table 22 add 127.0.0.1

 

# Safe zones allow policy

${FwCMD} add 45 allow ip from table\(22\) to me

${FwCMD} add 45 allow ip from me to table\(22\)

 

# ssh access.

#${FwCMD} add 46 deny ip from any to me  dst-port 22

#${FwCMD} add 46 deny ip from me to any src-port 22

 

# mysql access

${FwCMD} add 47 deny ip from any to me  dst-port 3306

${FwCMD} add 47 deny ip from me to any src-port 3306

 

# sgconf access

${FwCMD} add 48 deny ip from any to me  dst-port 5555

${FwCMD} add 48 deny ip from me to any src-port 5555

 

# NAT

${FwCMD} nat 1 config log if ${WAN_IF} reset same_ports

${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(10\) out xmit ${WAN_IF}

${FwCMD} add 6001 nat 1 ip from any to me in recv ${WAN_IF}

 

# Pass traffic for the specific subscriber without NAT

${FwCMD} add 6010 allow ip from table\(10\) to any out xmit ${WAN_IF}

${FwCMD} add 6011 allow ip from any to table\(10\) in recv ${WAN_IF}

 

# Shaper - table 4 download speed, table 3 - upload speed

${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out

${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in

 

# default block policy

${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF}

${FwCMD} add 65534 deny all from any to table\(2\) via ${LAN_IF}

${FwCMD} add 65535 allow all from any to any

 

В вебці добавив мережу, налаштував dhcp, абонент отримує іп 62.80.138.134 з гейтом 62.80.138.129

Як абоненту налаштувати білу іп 62.80.138.134?

ів

 

1. яким чином OS мала б вирішити, що пакети для адреси IP 62.80.138.134 потрібно форвардити на інтерфейс vmx0?

2. якого біса і з якої причини, вона взагалі повинна би це робити, якщо на інтерфейсі vmx0 висить мережа 172.16.0.1/24 і жодних інших аліасів та мереж я там не бачу?

3. чому пакети для підмережі 62.80.138.131/29 куди входить і 62.80.138.134 повинні матеріалізуватись десь окрім vmx1 де і висить мережа 62.80.138.131/29?

4. чому у 62.80.138.134 маска /32? А хто мав би бути його дефолтгейтвеєм який потрапляє в цю маску? Він сам собі? Хтось інший? Якась інша сусідня IP?

5. яким чином по вашому повинен би регулюватись доступ активних/неактивних користувачів з таблички 10?

6. нафіга ви для неї allow в'єбенили посеред правил, якщо шейпера даммінетом самі по собі працюють як allow враховуючи замовчувальний one pass.

7. як взагалі це мало би працювати?

 

Стільки запитань, і так мало відповідей :(

[nightfly 1 236]

UPD: Мережі трішки не так працюють. Існують такі штуки як маршрутизація, маски, адресація оце от всьо скучне. Почитайте на дозвіллі про них, і ваше життя та розуміння того, шо відбувається навколо, радикально зміниться - гарантую

[stepnet 0]

Читаю розбираюсь пробую, тому і прийшов на форум, даби мудрі адміни направили та підказали 

Щоб розділити 29 мережу замало іп-шок

З того що я зрозумів

1. Активовано 

net.inet.ip.forwarding: 1

 

2. аліас на шлюз зовнішньої мережі

ifconfig_vmx1_alias0="inet 62.80.138.129/29"

 

3. Наскільки я зрозумів пакети від абонента з іп 62.80.138.134 мають форвардитись на інтерфейс vmx1, як реалізувати не розумію, куди тут дивитись

 

4. маску виправив 

${FwCMD} table 10 add 62.80.138.134/29

 

5.доступ активних/неактивних користувачів з таблички 10

${FwCMD} add 65531 deny all from table\(10\) to any via ${LAN_IF}

${FwCMD} add 65532 deny all from any to table\(10\) via ${LAN_IF}

 

6.дану єресь видаляю

# Pass traffic for the specific subscriber without NAT

${FwCMD} add 6010 allow ip from table\(10\) to any out xmit ${WAN_IF}

${FwCMD} add 6011 allow ip from any to table\(10\) in recv ${WAN_IF}

 

7. Якби ж знав на форумі не питав би 

 

Підкажіть хоч куди копати далі... Чи хочаб логіку, як біла іп має бігати, чи приклад таблиці маршрутизації

 

Відредаговано 2023-06-09 20:48:12 stepnet

[wantmore 30]

У вас на внутрішньому інтерфейсі має висіти гейтвей так само з паблік ip. Для цього потрібно, щоб вам на ip на зовнішньому інтерфейсі зароутили  /29.

[stepnet 0]

 

Зовнішній інтерфейс і є 29 мережа, чи що Ви мали на увазі?

тобто вішаю аліас з паблік гейтвей на внутрішній інтерфейс?

лайк зіс

rc.conf

hostname="myisp"

ifconfig_vmx0="inet 172.16.0.1/24" - мережа абонів

ifconfig_vmx0_alias0="inet 62.80.138.129/29"

ifconfig_vmx1="inet 62.80.138.131/29" - вихід в світ (іп видумана)

ifconfig_vmx2="inet 192.168.11.3/24" - мережа адміна

defaultrouter="62.80.138.129"

sshd_enable="YES"

gateway_enable="YES"

 

тепер з фаерволом

FwCMD="/sbin/ipfw -q"

${FwCMD} -f flush

 

# Interfaces setup

LAN_IF="vmx0"

WAN_IF="vmx1"

 

# Networks defines

# Users

${FwCMD} table 2 add 172.16.0.0/24

${FwCMD} table 9 add 62.80.138.128/29

 

# Safe zones

${FwCMD} table 22 add 127.0.0.1

 

# Safe zones allow policy

${FwCMD} add 45 allow ip from table\(22\) to me

${FwCMD} add 45 allow ip from me to table\(22\)

 

# ssh access.

#${FwCMD} add 46 deny ip from any to me  dst-port 22

#${FwCMD} add 46 deny ip from me to any src-port 22

 

# mysql access

${FwCMD} add 47 deny ip from any to me  dst-port 3306

${FwCMD} add 47 deny ip from me to any src-port 3306

 

# sgconf access

${FwCMD} add 48 deny ip from any to me  dst-port 5555

${FwCMD} add 48 deny ip from me to any src-port 5555

 

# NAT

${FwCMD} nat 1 config log if ${WAN_IF} reset same_ports

${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

${FwCMD} add 6001 nat 1 ip from any to 62.80.138.134 via ${WAN_IF} 

 

# Shaper - table 4 download speed, table 3 - upload speed

${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out

${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in

 

# default block policy

${FwCMD} add 65531 deny all from table\(9\) to any via ${LAN_IF}

${FwCMD} add 65532 deny all from any to table\(9\) via ${LAN_IF}

${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF}

${FwCMD} add 65534 deny all from any to table\(2\) via ${LAN_IF}

${FwCMD} add 65535 allow all from any to any

Відредаговано 2023-06-09 05:20:54 stepnet

[a_n_h 589]

9 часов назад, nightfly сказал:

Стільки запитань, і так мало відповідей

Якщо "адмін" не знає азбуки, то відповідь є:

Q: Наш спеціаліст не може встановити/налаштувати Ubilling. Що нам робити?
A: Знайдіть собі адміністратора, який вміє хоч трохи адмініструвати, тобто профпридатний. 

https://wiki.ubilling.net.ua/doku.php?id=faq

 

[stepnet 0]

якщо хтось не знає азбуки, то він вчиться і колись стане адміном

Q: А реалтайм?
A: Ось, в нас є дуже бадьора групка в Телеграмі в якій завжди є і розробники, і користувачі та інші сектанти. Приниження, знущання та хамство - безкоштовним бонусом.

На форумі теж бонуси роздають 

[forella 20]

10 часов назад, stepnet сказал:

Читаю розбираюсь пробую, тому і прийшов на форум, даби мудрі адміни направили та підказали 

З того що я зрозумів

Щоб розділити 29 мережу замало іп-шок

аліас на інтерфейс vmx1

ifconfig_vmx1_alias0="inet 62.80.138.134/29"

маску виправив 

${FwCMD} table 10 add 62.80.138.134/29

дану єресь видаляю

# Pass traffic for the specific subscriber without NAT

${FwCMD} add 6010 allow ip from table\(10\) to any out xmit ${WAN_IF}

${FwCMD} add 6011 allow ip from any to table\(10\) in recv ${WAN_IF}

 

134 іпшку аліасом можемо отримати на vmx1, як далі маршрутизувати через vmx0 на абонента?

 

запихнуть подсеть белых ip в vlan, влан пригнать на абонента там уже хоть руками хоть dhcp. 1 ip потратите на шлюз, 5 штук раздадите. руками сделать просто, как через ubilling - хз.

[stepnet 0]

8 минут назад, forella сказав:

запихнуть подсеть белых ip в vlan, влан пригнать на абонента там уже хоть руками хоть dhcp. 1 ip потратите на шлюз, 5 штук раздадите. руками сделать просто, как через ubilling - хз.

Так воно, то так, але суть якщо абонент не оплатив, система має його відключити, тим і зручний убілінг ( благодарність людям що його написали)
Зараз так і працює, ті абоненти що мають білі іп на свічі попадають в vlan, і користуються білою іп, хочеться автоматизувати

[forella 20]

1 минуту назад, stepnet сказал:

Так воно, то так, але суть якщо абонент не оплатив, система має його відключити, тим і зручний убілінг ( благодарність людям що його написали)
Зараз так і працює, ті абоненти що мають білі іп на свічі попадають в vlan, і користуються білою іп, хочеться автоматизувати

либо раздавать этим людям серые ip и натить на белый, блокируете серый как обычно, соответственно и белый работать не будет.

по влану на белые ip у абонов шлюз будет ваш сервер, на нем и блокируйте доступ.

[stepnet 0]

3 часа назад, forella сказав:

либо раздавать этим людям серые ip и натить на белый, блокируете серый как обычно, соответственно и белый работать не будет.

по влану на белые ip у абонов шлюз будет ваш сервер, на нем и блокируйте доступ.

Як раз хотілось відмовитись від Nat, з Nat я розумію як налаштувати, та ще є абоненти з телефонією, просять іп без нат 

Не розумію логіку як віддати абоненту іп без нат на іншому інтерфейсі

[forella 20]

45 минут назад, stepnet сказал:

Як раз хотілось відмовитись від Nat, з Nat я розумію як налаштувати, та ще є абоненти з телефонією, просять іп без нат 

Не розумію логіку як віддати абоненту іп без нат на іншому інтерфейсі

может я чего-то путаю, но теоритически чем отличается 2х портовая сетевая от 2 портового свича?
на оба физических интерфейса вешаете vlan, во влан поднимаете ip.
на gentoo это выглядит примерно так:

(допустим vlan 1010 это real ip, enp1s0f0 - мир, enp1s0f1 сеть)

vlans_enp1s0f0="1010" (вешаете влан "мир")

vlans_enp1s0f1="1010" (вешаете влан на локалку)

config_enp1s0f0="null"
config_enp1s0f1="null"
vlan1010_name="vlan1010"
config_vlan1010="1.1.1.2/29" (поднимаете l3 интерефейс в нужном vlan)

routes_vlan1010="default via 1.1.1.1"

абонам раздаете\вводите 1.1.1.3-6/29 c шлюзом 1.1.1.2

 

Цитата

 та ще є абоненти з телефонією, просять іп без нат 

как обычно бывает - эти "просильщики" втыкнут пару роутеров у себя а потом телефонию, зато у них ip белый напрямую.

[stepnet 0]

5 часов назад, forella сказав:

может я чего-то путаю, но теоритически чем отличается 2х портовая сетевая от 2 портового свича?
на оба физических интерфейса вешаете vlan, во влан поднимаете ip.
на gentoo это выглядит примерно так:

(допустим vlan 1010 это real ip, enp1s0f0 - мир, enp1s0f1 сеть)

vlans_enp1s0f0="1010" (вешаете влан "мир")

vlans_enp1s0f1="1010" (вешаете влан на локалку)

config_enp1s0f0="null"
config_enp1s0f1="null"
vlan1010_name="vlan1010"
config_vlan1010="1.1.1.2/29" (поднимаете l3 интерефейс в нужном vlan)

routes_vlan1010="default via 1.1.1.1"

абонам раздаете\вводите 1.1.1.3-6/29 c шлюзом 1.1.1.2

 

как обычно бывает - эти "просильщики" втыкнут пару роутеров у себя а потом телефонию, зато у них ip белый напрямую.

Дякую за інфо це найближчий до душі варіант, оскільки на свічі це вже живе наразі, якщо не розберусь з убілінгом

В FAQ пише 

Q: Як видавати користувачам реальні IP?
A: Так само як і нереальні, вони нічим не відрізняються.

А так це більше альтруїзм допомогти заодно і собі розібратися в чомусь новому.

[stepnet 0]

В 08.06.2023 в 23:58, wantmore сказав:

У вас на внутрішньому інтерфейсі має висіти гейтвей так само з паблік ip. Для цього потрібно, щоб вам на ip на зовнішньому інтерфейсі зароутили  /29.

Тобто мені потрібно повісити на внутрішній інтерфейс одну вільну паблік іп і зароутити на цю іп мережу/29 чи окремі іп, які надалі планую роздавати для абонів? 

 

 

[forella 20]

57 минут назад, stepnet сказал:

Тобто мені потрібно повісити на внутрішній інтерфейс одну вільну паблік іп і зароутити на цю іп мережу/29 чи окремі іп, які надалі планую роздавати для абонів? 

 

 

Нет, вам нужно повесить ip на vlan, физические интерфейсы будут без ip.

Вот это:

config_enp1s0f0="null"

config_enp1s0f1="null"

Говорит что на интересах нет ip.

Вешайте везде ip на вланы( мне, например, так удобнее) и дальше гоняйте эти вланы куда нужно. Даже на аплинк, там вышестоящий пометит как нужно, обычно там сделано access вланом.

-----

Практически я хз как это будет работать, так не использую, попробуйте серую сеть так сделать и протестите на стенде так сказать.

[wantmore 30]

В 10.06.2023 в 23:53, stepnet сказал:

Тобто мені потрібно повісити на внутрішній інтерфейс одну вільну паблік іп і зароутити на цю іп мережу/29 чи окремі іп, які надалі планую роздавати для абонів? 

 

 

1) Зовнішній iface = ip 1.1.1.1 

2) Внутрішній iface = ip 1.1.1.x/29

Тобто всю мережу /29 вішаєте на внутрішній інтерфейс. У вас буде 5 вільних ip для абонів, 6 буде гейтвейем. Для того, щоб це все працювало, треба щоб у вас був ще один паблік ip не з цієї /29, на якій uplink зароутить цю /29.