Перейти до

ФРЯ 7.2 & 2 шлюза ?


Рекомендованные сообщения

всем привет !

есть сервак на фре 7.2.

Подключил второй канал, но не могу завернуть часть клиентов через него.

вот прописал такие правила для второго канала:

 

${ipfw} nat 2 config ip 2.2.2.2 log same_ports

${ipfw} add 65050 nat 2 ip from pppoe_ip/24 to any

${ipfw} add 65055 fwd 2.2.2.254 ip from 2.2.2.2 to any

${ipfw} add 65060 nat 2 ip from any to 1.1.1.2

 

где 2.2.2.2 - белый IP на серваке (age0) , 2.2.2.254 - шлюз 2-го прова.

 

пакеты не доходят до правила 65055, по ipfw show там нули.

Скорее всего пакеты уходят на интерфес 1-го прова fxp0.

 

КАК ЗАСТАВИТЬ уходить пакеты на интерфейс 2-го прова age0 ???

 

Использую kernel nat, переменная net.inet.ip.fw.one_pass=1

 

В rc.conf:

default_gateway="1.1.1.254" - шлюз 1-го прова

gateway_enable="YES"

firewall_nat_enable="YES"

firewall_nat_interface="fxp0" - cмотрит на 1-го прова

firewall_script="/etc/MyFirewall"

dummynet_enable="YES"

 

 

Ядро собрано с:

#IPFIREWALL

options IPFIREWALL

options IPFIREWALL_DEFAULT_TO_ACCEPT

options DUMMYNET

options IPFIREWALL_VERBOSE

options IPFIREWALL_VERBOSE_LIMIT=1000

options IPFIREWALL_NAT

options LIBALIAS

options IPFIREWALL_FORWARD

options IPFILTER

options IPFILTER_LOG

options IPDIVERT

#

options DEVICE_POLLING

options HZ=1000

options ROUTETABLES=4

Ссылка на сообщение
Поделиться на других сайтах

пробовал:

${ipfw} nat 2 config ip 1.1.1.2 if age0 log same_ports

не заработало ...

В /etc/rc.conf

firewall_nat_interface="fxp0"

И все уходит через fxp0

Ссылка на сообщение
Поделиться на других сайтах

net.inet.ip.fw.one_pass=0

${ipfw} add 65060 nat 2 ip from any to 2.2.2.2

 

​ну и вообще неплохо было бы показать ipfw list в момент работы.

Да, должно быть 0, а у меня сейчас 1. Но буду пробовать уже завтра по утру. Сервер боевой.

В общем нужно использовать Policy routing.

Ссылка на сообщение
Поделиться на других сайтах

Если есть возможность перевести часть юзеров в другую подсеть, переведи и пропиши в таблице маршрутизации что бы подсеть уходила через другой шлюз

Ссылка на сообщение
Поделиться на других сайтах

Если есть возможность перевести часть юзеров в другую подсеть, переведи и пропиши в таблице маршрутизации что бы подсеть уходила через другой шлюз

возможность есть, завтра буду пробовать. скриптик уже есть.

Ссылка на сообщение
Поделиться на других сайтах

Пока вопрос не решил, но понял почему не пашет.

Использую mpd5, в конфиге прописано:

set ipcp ranges 1.1.1.2/32 ippool pppoe - где 1.1.1.2 - мой реальник о 1-го прова, выходит что всем пользователям mpd присваивает шлюз по умолчанию 1.1.1.2.

 

Как распределить в MPD , к примеру pppoe: 172.16.1.0/24 - шлюз 1.1.1.2 , а 172.16.2.0/24 - шлюз 2.2.2.2 ?

Ссылка на сообщение
Поделиться на других сайтах

в мпд надо шлюзом указывать или несуществующий ип или ип с интерфейса. иначе будет путаница (если конечно не используете arp-proxy)

Ссылка на сообщение
Поделиться на других сайтах

в мпд надо шлюзом указывать или несуществующий ип или ип с интерфейса. иначе будет путаница (если конечно не используете arp-proxy)

ип с интерфейса - смотрящего в локалку ?

Ссылка на сообщение
Поделиться на других сайтах

Вопрос решил.

1. В mpd.conf указал set ipcp ranges - адрес шлюза локальной сети (к примеру 10.1.1.1/32)

2. Обязательно Устанавливаем net.inet.ip.fw.one_pass=0

3. В правила ipfw дописываем: (в данном случае работает с биллингом Абилс)

IPFW="/sbin/ipfw"

EXT_IP="92.242.110.42"

ISP_IP="92.242.110.41"

FWD_NAT_ID=22

USER_TABLE_NUM=34

REDIRECT_IPS="10.0.0.0/24"

 

#Add NAT IP to table

${IPFW} table 33 add ${EXT_IP} ${FWD_NAT_ID}

 

${IPFW} nat ${FWD_NAT_ID} config ip ${EXT_IP} log

for ip_mask in ${REDIRECT_IPS} ; do

${IPFW} table ${USER_TABLE_NUM} add ${ip_mask} ${FWD_NAT_ID}

done;

 

${IPFW} 60050 add nat tablearg ip from table(34) to any

${IPFW} 60055 add fwd ${ISP_IP} ip from ${EXT_IP} to any

${IPFW} 60060 add nat tablearg ip from any to table(33)

Ссылка на сообщение
Поделиться на других сайтах

в мпд надо шлюзом указывать или несуществующий ип или ип с интерфейса. иначе будет путаница (если конечно не используете arp-proxy)

ип с интерфейса - смотрящего в локалку ?

с любого. главное чтобы этот ип не был привязан ни к одной другой машине/подсети в вашем пространстве. потому что он устанавливается как вторая точка туннелей у абонентов.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...