Kucher2 122 Posted 2010-01-13 07:45:36 Share Posted 2010-01-13 07:45:36 Здравствуйте. Пожалуйста, подскажите как сделать сие: Сейчас сеть 10.0.0.0/24, шлюз 10.0.0.10. Делаю роутер на FreeBSD, ставлю в него несколько сетевых карт. Шлюз 10.0.0.10 хочу поставить за роутером, т.е. подключить его к отдельной сетевой карте роутера, сменив ему IP на другой, чтобы не менять адресацию в уже существующей сети. Остальные сети, вида 10.0.1.0, 10.0.2.0... подключить к этому же роутеру. В итоге желаю добиться схемы, при которой юзеры из всех подсетей коннектятся авторизатором, т.е. так ж как и сейчас, но и для подсетей. Это возможно? Нашёл "Remote Script Executer" в описании СТГ, но не знаю как это конкретно реализуется. На роутер тоже нужно СТГ ставить, как я понял? Link to post Share on other sites
imroot 19 Posted 2010-01-13 08:09:25 Share Posted 2010-01-13 08:09:25 я бы просто сменил маску подсети на 255.255.240.0 и не надо лепить кучу интерфейсов(на 4 тыс пользаков. шоб було!),купить л2 свитч и разбить на вланы. Или я плохо прочитал? Link to post Share on other sites
Kucher2 122 Posted 2010-01-13 08:42:20 Author Share Posted 2010-01-13 08:42:20 А почему я не могу сделать именно так, как сказал выше? Я уже и роутер настраиваю... Link to post Share on other sites
madf 279 Posted 2010-01-13 08:51:07 Share Posted 2010-01-13 08:51:07 Прокинуть на роутер порт авторизатора. По моему этого достаточно если на роутере настроена маршрутизация а не NAT. Если все таки NAT то на роутер нужно поставить дэмон rscriptd а на шлюзе у старгейзера включить плагин rscript. Скрипты авторизации при этом надо скормить rscriptd на роутере. Link to post Share on other sites
Kucher2 122 Posted 2010-01-13 08:53:02 Author Share Posted 2010-01-13 08:53:02 Большое спасибо. Оказывается всё проще, чем я думал. Буду пробовать. О результатах отпишусь обязательно. Link to post Share on other sites
rem_lex 2 Posted 2010-01-13 14:24:32 Share Posted 2010-01-13 14:24:32 хм... а можно еще проще клиент (10.0.1|2|3.xxx/24) - router (10.0.1|2|3.1/24) - stg server (10.0.0.1) на всех клиентах в авторизаторе так же остается адрес среврера 10.0.0.1, т.е. ничего менятьне нужно =) для всех маршрутизаторов 10.0.1|2|3.1/24 шлюзом является 10.0.0.1 который смотрит в интернет, т.е. опять же схема не меняется работает так, пользователь постучался на сервер 10.0.0.1 авторизатором, авторизовался, там же в фаирволле добавилось правило разрешающее этому пользователю ходить в интернет, даль ше пользователь 10.0.1|2|3.xxx/24 шагает к своему шлюзу 10.0.1|2|3.1/24 откуда шагает к шлюзу 10.0.0.1 и дальше в интернет, и без всяких заморочек с удаленным выполнением скриптов Link to post Share on other sites
madf 279 Posted 2010-01-13 14:56:59 Share Posted 2010-01-13 14:56:59 Да, точно. Хз чего я решил что нужно прокидывать порт... Link to post Share on other sites
Kucher2 122 Posted 2010-01-14 08:08:44 Author Share Posted 2010-01-14 08:08:44 Дык я не спорю: заморочка в том, чтобы разделить сеть, уменьшив вероятность коллизий на участке между шлюзом и конечным юзером. Для этого я хотел поставить шлюз ЗА роутером, оставив его в другой подсети, отличной от остальных. А если сделать как предлагает rem_lex, то шлюз останется в старой подсети, как есть сейчас - шлюз 10.0.0.10 и около сотни машин юзеров. Вы считаете, что можно не заморачиваться, пустив лишь другие подсети через роутер? P.S. Ага, не получается так - машины из сети 10.0.0.0 видят тока роутер, потому что шлюз у них 10.0.0.10, а роутер 10.0.0.5. Каждой из них надо роут прописывать, чтоб они увидели за роутером сети вида 10.0.1.0, 10.0.2.0... Придётся таки выносить шлюз в отдельную подсеть. Или перенаправление лепить. Link to post Share on other sites
rem_lex 2 Posted 2010-01-26 16:20:33 Share Posted 2010-01-26 16:20:33 я не знаю, что у вас там не получается, я описал схему, так у меня работало до 1000 клиентов, без проблем и без потерь да, действительно есть проблема с маршрутизацией, т.е. на всех роутерах нужно прописать маршруты на все подсети соседей, я эту проблему решил динамической маршрутизацией можно конечно и через указание шлюза, но тогда нужно в ядре разрешить принимать ICMP пакеты для перенаправления маршрута, т.е. первый пакет пойдет к шлюзу, который будет знать, где живут подсети, спросит где подсеть и уже все пакеты будут ходить куда нужно Link to post Share on other sites
Kucher2 122 Posted 2010-02-02 12:23:24 Author Share Posted 2010-02-02 12:23:24 Сделал так: Подсети вида 10.0.0.0, 10.0.1.0, 10.0.2.0... В подсети 10.0.0.0 оставил только шлюз 10.0.0.10. Между подсетями поставил роутер (P 2.8, 1ГГБ оперативки) под FreeBSD, с несколькими сетевыми картами, смотрящих каждая в свою подсеть. У юзеров сменил адресацию соответственно подсетям, заменив IP, шлюз и добавив DNS (разный для каждой подсети = IP шлюза, например 10.0.1.1, 10.0.2.1 и т.д.). На шлюзе прописал маршруты вида: route add 10.0.1.0 -netmask 255.255.255.0 10.0.0.1 route add 10.0.1.0 -netmask 255.255.255.0 10.0.2.1 route add 10.0.1.0 -netmask 255.255.255.0 10.0.3.1 ... Авторизатор из подсетей коннектится. Осталось разобраться с роутерами юзеров. Жду выходных. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now