Перейти до

старые грабли - уаикс - в одну дыру мир в другую


Рекомендованные сообщения

Доброго времени.

воБщем старые грабли с разделением каналов.

 

Есть 2 канала (вообщето даже 3 один резерв) 1 чисто для икс один для мир.

проблема в следующем. привезли да вручили уже простроеный сервер с ноденай. вот тут я и с бубном начал танцевать... ибо настроеный фаервол что стоял в системе ни в коем случае не хочет жрать ни форвардинга ни сетфиб. когда подсовывав фаер с офф сайта - системе была мертва....

 

. ето грабли 1.

грабли 2, что решил сделать все ето на микротике... и опять же уперся лбом в кучу левых мануалов и ступпор .... гдето на форуме помню читал что на микротике делали разделение ...

 

помогите убогому. ткните пальцем(помидорами тоже можна) ;)

 

система

freebsd 7.4+ nodeny

 

 

 

gw# ifconfig

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 ###################### Локалка

options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC>

ether 00:30:48:2d:a9:cc

inet 10.0.0.1 netmask 0xff000000 broadcast 10.255.255.255

inet 172.16.0.51 netmask 0xffffff00 broadcast 172.16.0.255

media: Ethernet autoselect (100baseTX <full-duplex>)

status: active

em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 ###################### мир

options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC>

ether 00:30:48:2d:a9:cd

inet 172.31.2.2 netmask 0xffffff00 broadcast 172.31.2.255 ###################### сюдою мир

inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255 ######################сюдою Украина

media: Ethernet autoselect (100baseTX <full-duplex>)

status: active

предполагалось пустить через одну карту 2 направления

 

 

gw# ipfw list

00040 allow tcp from any to me dst-port 22

00041 allow tcp from me 22 to any

00075 setfib 0 ip from not table(126) to me in

00076 setfib 1 ip from table(126) to me in

00077 setfib 0 ip from me to not table(126)

00078 setfib 1 ip from me to table(126)

00080 count ip from any to table(126) out

00081 count ip from table(126) to any out

00086 count ip from any to table(10) out

00087 count ip from table(10) to any out

00095 allow tcp from any to any dst-port 1723

00096 allow gre from any to any

00100 deny tcp from any to any dst-port 445

00110 allow ip from any to any via lo

00120 skipto 1000 ip from me to any

00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17

00140 deny ip from any to table(120)

00150 deny ip from table(120) to any

00160 skipto 2000 ip from any to me

00200 skipto 500 ip from any to any via em1

00300 skipto 4500 ip from any to any in

00400 skipto 450 ip from any to any recv em1

00420 tee 1 ip from any to any

00450 tee 2 ip from any to any

00490 allow ip from any to any

00500 skipto 32500 ip from any to any in

00510 tee 1 ip from any to any

00540 allow ip from any to any

01000 allow udp from any 53,7723 to any

01010 allow tcp from any to any setup keep-state

01020 allow udp from any to any keep-state

01100 allow ip from any to any

02000 check-state

02010 allow icmp from any to any

02020 allow tcp from any to any dst-port 80,443

02025 allow tcp from any to any dst-port 80,5006

02050 deny ip from any to any via em1

02060 allow udp from any to any dst-port 53,7723

02100 deny ip from any to any

05000 deny ip from not table(0) to any

05001 skipto 5010 ip from table(127) to table(126)

05002 skipto 5030 ip from any to not table(2)

05003 deny ip from any to not table(1)

05004 pipe tablearg ip from table(21) to any

05005 deny ip from any to any

05010 pipe tablearg ip from table(127) to any

05030 deny tcp from table(15) to any dst-port 25

05146 allow ip from table(47) to table(46)

05226 allow ip from table(127) to table(126)

05400 pipe tablearg ip from table(11) to any

32000 deny ip from any to any

32490 deny ip from any to any

33000 pipe tablearg ip from table(126) to table(127)

33001 skipto 33010 ip from not table(2) to any

33002 pipe tablearg ip from any to table(20)

33003 deny ip from any to any

33146 allow ip from table(46) to table(47)

33226 allow ip from table(126) to table(127)

33400 pipe tablearg ip from any to table(10)

65535 allow ip from any to any

gw#

 

метод научного тыка показал что в таблице 0 - в тырнет можно

в таблице 126 - уаикс

 

пс. фаер не мой.... что есть то есть

 

 

 

Для вариантом с микротиком

 

 

/ip firewall mangle> print

Flags: X - disabled, I - invalid, D - dynamic

0 chain=prerouting action=mark-routing new-routing-mark=farlep1 passthrough=yes src-address=192.168.0.1-192.168.0.130

 

1 chain=prerouting action=mark-routing new-routing-mark=farlep2 passthrough=yes src-address=172.31.2.2

 

2 X ;;; Mark-connection All Traffic

chain=prerouting action=mark-connection new-connection-mark=Con Entire Traffic passthrough=yes src-address=172.31.2.0/24

 

3 X ;;; Mark-connection Oversea Traffic

chain=prerouting action=mark-connection new-connection-mark=Con Oversea passthrough=yes src-address=172.31.2.0/24 dst-address-list=!ua-ix connection-mark=Con Entire Traffic

 

4 X ;;; Mark-packet Oversea Traffic

chain=prerouting action=mark-packet new-packet-mark=Oversea traffic passthrough=no connection-mark=Con Oversea

 

5 X ;;; Mark-packet Local Country Traffic

chain=prerouting action=mark-packet new-packet-mark=Local Country Traffic passthrough=no

 

правила 2-3-4-5 по мануалу должны кагбэ разделать токо нини

может по усталости чтото гдето профтыкал.

 

 

 

буду благодарен если направите в какую сторону рыть

Ссылка на сообщение
Поделиться на других сайтах

выгода есть, но чтобы не было проблем с маршрутизацией и прочим, должен быть as+pi

Выгода есть только в Киеве и при скоростях 1/100 Мбит. Как только скорость внешки дотягивается до 100Мбит реальная выгода (стоимость портов, загрузка маршрутизатора и крики кастомеров "ААА! Я думал это Украина".) настолько ничтожна, что всеми этими нагибаниями мозга можно не заниматься.

 

Тем более, все проделывать во львове.

Ссылка на сообщение
Поделиться на других сайтах

для розділення каналів я на ua-ix скриптом роблю окремі маршрути, сервер не навантажується і працює надійно

 

 

#!/usr/local/bin/bash

route flush
sleep 2
route add default [ір основного шлюза]
sleep 2
cat /usr/local/nodeny/prefixes.txt | xargs -I tst route add -net tst [ІР шлюза юаікс]
exit

 

 

ну і відповідно файлик /usr/local/nodeny/prefixes.txt скачується раз в добу по крону -

 

/usr/local/bin/wget -q -b -nd -P /usr/local/nodeny -m http://www.colocall.net/ua/prefixes.txt

Ссылка на сообщение
Поделиться на других сайтах

Жуть, на что идут люди, ради мистичекой экономии на разнице в цене ua-ix и мира.

гыгыгы у меня когдато жуть стояла - на 4 дыры ....

+ на алькар

+ на пчеловодов

 

но как показала практика ех.уа решил абсолютно все....

 

вот и танец с бубном

 

есть один канал с прекрасными пингами по украине и большой, дешевый уаикс...(хотя там мир тоже большой) без ип. как токо ипы, цена * много раз

второй канал - пинги по скромнее(хотя тоже иксовый) но оттудого мне АС дают

 

для розділення каналів я на ua-ix скриптом роблю окремі маршрути, сервер не навантажується і працює надійно

 

 

#!/usr/local/bin/bash

route flush
sleep 2
route add default [ір основного шлюза]
sleep 2
cat /usr/local/nodeny/prefixes.txt | xargs -I tst route add -net tst [ІР шлюза юаікс]
exit

 

 

ну і відповідно файлик /usr/local/nodeny/prefixes.txt скачується раз в добу по крону -

 

/usr/local/bin/wget -q -b -nd -P /usr/local/nodeny -m http://www.colocall.net/ua/prefixes.txt

 

благодарю. вечером запробую

Ссылка на сообщение
Поделиться на других сайтах

А по бгп перфиксы залить не могут что ли? Тут ни адреса, ни AS не нужна как бы, а так адский костыль получается.

Ну я б не сказав що це погане рішення, в мене так вже 2 роки працює - 2 скрипта що запускаються по крону раз в добу, це ще не "адский костыль" :)

Ссылка на сообщение
Поделиться на других сайтах

Если любой канал падает - вы остаетесь без инета, нужно срочно лезть в скрипты/фаерволы и все переделывать.

 

для резервування каналів я також написав скрипт який кожних 2 хв перевіряє доступність кожного з каналів і в разі чого через setfib переключає на інший, один раз посидів і написав всі ці скрипти і вже 2 роки до того не дивлюсь - працює без збоїв як годинник )

Ссылка на сообщение
Поделиться на других сайтах

Також в білінгу зробив собі до кожного користувача кнопку де можна вибирати через який саме канал цей користувач має працювати, дуже рідко але інколи цим користуюсь коли хтось скаржиться на пінг чи ще щось.

Ссылка на сообщение
Поделиться на других сайтах

Допомогло але не дуже. то пакети по одному каналу побіжать. декілька секунд - по іншому вже валять...

 

то світ по каналу для уа.... то уа через світ, то все ок.

 

вже думаю поставити 2 мережеву і не мати мороки

Ссылка на сообщение
Поделиться на других сайтах

про бгп уже вычитал. но мне не дают ас....

 

решил проблему микротиком

1. залил на него список уа-их

2. зделал фильтрование

2.1 уаикс - в дыру 1

2.2 все остальное в дыру2

 

спасибо тему можно закрыть

Ссылка на сообщение
Поделиться на других сайтах

AS для заливки маршрутов не нужна. Поговорите со своим аплинкером, поднять сессию на фейковых адресах дело 10 минут.

Ссылка на сообщение
Поделиться на других сайтах

та уже все бегает пока без бгп.... с провайдером говорить бесполезно.(ну не совсем) пол года не могли подключить мне ас, которую я арендую...

 

практика стандартная - на телефоне девочка.... которая ничего не знает... дальше переключат на такого же мальчика(думают что звонят обычные абоны...) ну час на телефоне и таки на шарющих попасть можно....

Ссылка на сообщение
Поделиться на других сайтах

та уже все бегает пока без бгп.... с провайдером говорить бесполезно.(ну не совсем) пол года не могли подключить мне ас, которую я арендую...

 

практика стандартная - на телефоне девочка.... которая ничего не знает... дальше переключат на такого же мальчика(думают что звонят обычные абоны...) ну час на телефоне и таки на шарющих попасть можно....

Ничего не понятно. Если вы берете канал как провайдер - вас априори должны были включить по bgp, какие там ас и чьи они - сугубо ваше дело.

Да и звонить по любым вопросом нужно по контактам записанным в договоре, определенно не девочка будет трубку брать)

Если конечно включение как для офиса или вообще абонента - понятно что никому вы не нужны будете.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...