toombr 5 Опубликовано: 2015-01-29 06:14:26 Share Опубликовано: 2015-01-29 06:14:26 Доброго времени суток уважаемые форумчане. Система Centos 6.6 Есть небольшая сетка eth0 X.X.X.2 подключён к внешней сети с диапазаном X.X.X.1-8 и гейтвеем X.X.X.1(реальные IP) на eth1 10.0.0.1 поднят pppoe-server и раздаёт адереса в диапазоне 10.1.0.Х на сервере включено правило iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to X.X.X.2 внутренние адреса блокрованы. Появилась необходимость выдать нескольким абонентам белые ipчерез pppoe. Ковырял proxyarp google мне не помог. Кто-нибудь, как для чайников, максимальнно простой способ выдать пользователю белый адрес. Ссылка на сообщение Поделиться на других сайтах
Гайджин 574 Опубліковано: 2015-01-29 07:08:45 Share Опубліковано: 2015-01-29 07:08:45 SNAT + DNAT между серым адресом клиента и одним из свободных адресов на eth0 X.X.X.0/29. - это если клиенту не нужен белый адрес прямо на его ppp интерфейсе. Если же клиенту белый адрес на ppp таки нужен, то просить провайдера модернизировать стык с X.X.X.0/29 на X.X.X.0/30, а сеть X.X.X.4/30 смаршрутизировать на X.X.X.2/29. После этого Вы сможете выдать прямо по ppp любой из белых адресов из сети X.X.X.4/30 четырем клиентам. Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-01-29 07:16:59 Share Опубліковано: 2015-01-29 07:16:59 Линукса не вожу, но на фри для этого достаточно поднять proxy-arp на аналоге вашего eth0, где /29 и выдавать по PPPoE клиентам свободные белые IP из той /29 статиком. Ссылка на сообщение Поделиться на других сайтах
toombr 5 Опубліковано: 2015-01-29 08:14:32 Автор Share Опубліковано: 2015-01-29 08:14:32 А можно поподробнее про DNAT+SNAT Dnat умеет перенаправлять все порты? Ссылка на сообщение Поделиться на других сайтах
xspirit 15 Опубліковано: 2015-01-29 08:17:37 Share Опубліковано: 2015-01-29 08:17:37 какой на** proxy-arp? Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-01-29 08:19:15 Share Опубліковано: 2015-01-29 08:19:15 (відредаговано) какой на** proxy-arp? Что не ясно? Не знаете что это такое или не понимаете зачем он в этой схеме? Відредаговано 2015-01-29 08:22:08 kha0s Ссылка на сообщение Поделиться на других сайтах
toombr 5 Опубліковано: 2015-01-29 08:49:35 Автор Share Опубліковано: 2015-01-29 08:49:35 Да, кстати тоже упёрся в то что на ppp proxyarp не актуален... а вот с dnatом вопрос актуальнее.. но тут другая беда.. как открыть все порты а не выборочные... клиент будет ставить какую то мудрёную систему видео наблюдения и простое пробрасывание портов не канает... Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-01-29 08:53:41 Share Опубліковано: 2015-01-29 08:53:41 (відредаговано) Да, кстати тоже упёрся в то что на ppp proxyarp не актуален.. А ppp тут при чем? Он на езернете нужен а не на ррр. Вы же хотите на ррр выдать IP из бродкастовой сети что на езернете. Вот ваш езернет и будет посредником между теми кто непосредственно в этом езернет сегменте и теми кто на ррр. Без proxy-arp ваши 'ху хез вася?' в езернет сегменте будут умирать. Відредаговано 2015-01-29 08:55:22 kha0s Ссылка на сообщение Поделиться на других сайтах
xspirit 15 Опубліковано: 2015-01-29 09:08:54 Share Опубліковано: 2015-01-29 09:08:54 Вариант SNAT + DNAT между серым адресом клиента и одним из свободных адресов на eth0 X.X.X.0/29. - это если клиенту не нужен белый адрес прямо на его ppp интерфейсе. Если же клиенту белый адрес на ppp таки нужен, то просить провайдера модернизировать стык с X.X.X.0/29 на X.X.X.0/30, а сеть X.X.X.4/30 смаршрутизировать на X.X.X.2/29. После этого Вы сможете выдать прямо по ppp любой из белых адресов из сети X.X.X.4/30 четырем клиентам. самый правильный!!!! Никакие proxy-arp не надо! ppp сервак выдает абону ip X.X.X.4(допустим) и все! Подсетка я так понимаю выше стоящим провайдером уже завернута! Ссылка на сообщение Поделиться на других сайтах
toombr 5 Опубліковано: 2015-01-29 09:14:35 Автор Share Опубліковано: 2015-01-29 09:14:35 не уловил сути... что правильный... ? да есть гейтвей от провайдера.. но этот адрес на другой сетевухе висит... а мне с неё нужно передать ip на локальную ещё и в ppp... Ссылка на сообщение Поделиться на других сайтах
toombr 5 Опубліковано: 2015-01-29 09:17:42 Автор Share Опубліковано: 2015-01-29 09:17:42 на очередном терабайте перечитанном на просторах гугля... упёрся в статью где было написано что прокси арп не канает для ppp... ну да по сути не в том дело... как всё-таки задачу решить? Если можно с примерами... Дать сразу, среди серых адресов один два белых или транслировать их из алиасов на серый не суть важно.... вопрос в том как? если прокси арп тут в помощь то очень её жду. На данный момент не заработало, включил proxyarp на eth0 и выдал клиенту реальник через secret. пробовал отдельно гейтвей прописать для клиента результат тот-же. Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-01-29 09:17:51 Share Опубліковано: 2015-01-29 09:17:51 Зачем там костыль в виде статического NAT один к одному? Именно proxy-arp решает эту задачу и кушать не просит. Ссылка на сообщение Поделиться на других сайтах
xspirit 15 Опубліковано: 2015-01-29 09:24:17 Share Опубліковано: 2015-01-29 09:24:17 да есть гейтвей от провайдера.. но этот адрес на другой сетевухе висит... а мне с неё нужно передать ip на локальную ещё и в ppp... Да хоть и на loopback интерфейсе! Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-01-29 09:26:00 Share Опубліковано: 2015-01-29 09:26:00 (відредаговано) У провайдера 1.1.1.1/29, у клиента на BRAS (раз мы о PPPoE) 1.1.1.2/29. Клиент по ррр выдает 1.1.1.4. Из инета приходит пакет для 1.1.1.4. Поскольку этот адрес принадлежит бродкаст сегменту 1.1.1.0/29, провайдер шлет бродкаст запрос - who has 1.1.1.4 - ему нужен MAC устройства, на который этот пакет пробросить. Так вот при отсутствии на 1.1.1.2 proxy-arp этот 'who has' не получит ответа и пакет дропнется. Ежели на 1.1.1.2 будет включен proxy-arp, то этот 1.1.1.2 ответит на who has 1.1.1.4 своим MAC адресом (проксирует), получит пакет для 1.1.1.4 и перебросит его в ppp. Вуаля. Быстро, качественно, без потери ресурсов на костыль в виде статического NAT. ps: Прежде чем минусовать - матчасть изучить не помешало бы. Відредаговано 2015-01-29 09:28:36 kha0s Ссылка на сообщение Поделиться на других сайтах
toombr 5 Опубліковано: 2015-01-29 09:27:33 Автор Share Опубліковано: 2015-01-29 09:27:33 КАК? Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-01-29 09:31:53 Share Опубліковано: 2015-01-29 09:31:53 Что как? Алгоритм работы маршрутизации в данной схеме подключения - выше. На FreeBSD у меня эта схемка катается много лет. Я так из дома в рабочую сеть попадаю, получая белый IP из /27 езернет сегмента по pptp. Что там еще у Вас докручено на линуксе я не знаю. Ссылка на сообщение Поделиться на других сайтах
Гайджин 574 Опубліковано: 2015-01-29 09:35:06 Share Опубліковано: 2015-01-29 09:35:06 У провайдера 1.1.1.1/29, у клиента на BRAS (раз мы о PPPoE) 1.1.1.2/29. Клиент по ррр выдает 1.1.1.4. Из инета приходит пакет для 1.1.1.4. Поскольку этот адрес принадлежит бродкаст сегменту 1.1.1.0/29, провайдер шлет бродкаст запрос - who has 1.1.1.4 - ему нужен MAC устройства, на который этот пакет пробросить. Так вот при отсутствии на 1.1.1.2 proxy-arp этот 'who has' не получит ответа и пакет дропнется. Ежели на 1.1.1.2 будет включен proxy-arp, то этот 1.1.1.2 ответит на who has 1.1.1.4 своим MAC адресом (проксирует), получит пакет для 1.1.1.4 и перебросит его в ppp. Вуаля. Быстро, качественно, без потери ресурсов на костыль в виде статического NAT. ps: Прежде чем минусовать - матчасть изучить не помешало бы. Нат - костыль, прокси-арп такой же костыль. По сути провайдер дал /29, но она нах не нать в таком виде. Попросить разбить на две /30 и второю /30 смаршрутизировать в некстхоп в первой/30. - Это идеальный вариант. КАК? man pppd proxyarp Add an entry to this system’s ARP [Address Resolution Protocol] table with the IP address of the peer and the Ethernet address of this system. This will have the effect of making the peer appear to other systems to be on the local ethernet. Ссылка на сообщение Поделиться на других сайтах
toombr 5 Опубліковано: 2015-01-29 09:35:40 Автор Share Опубліковано: 2015-01-29 09:35:40 короче нужно включить проксиарп и указать pppoe-server белый адрес.... Ша попробую.... Ссылка на сообщение Поделиться на других сайтах
xspirit 15 Опубліковано: 2015-01-29 09:36:15 Share Опубліковано: 2015-01-29 09:36:15 (відредаговано) У провайдера 1.1.1.1/29, у клиента на BRAS (раз мы о PPPoE) 1.1.1.2/29. Клиент по ррр выдает 1.1.1.4. Из инета приходит пакет для 1.1.1.4. Поскольку этот адрес принадлежит бродкаст сегменту 1.1.1.0/29, провайдер шлет бродкаст запрос - who has 1.1.1.4 - ему нужен MAC устройства, на который этот пакет пробросить. Так вот при отсутствии на 1.1.1.2 proxy-arp этот 'who has' не получит ответа и пакет дропнется. Ежели на 1.1.1.2 будет включен proxy-arp, то этот 1.1.1.2 ответит на who has 1.1.1.4 своим MAC адресом (проксирует), получит пакет для 1.1.1.4 и перебросит его в ppp. Вуаля. Быстро, качественно, без потери ресурсов на костыль в виде статического NAT. ps: Прежде чем минусовать - матчасть изучить не помешало бы. То есть по вашей логике когда я пытаюсь зайти на google я обязательно отправляю arp (who has...)? И google отдает мне свой МАС? ))) Відредаговано 2015-01-29 09:36:41 xspirit Ссылка на сообщение Поделиться на других сайтах
Гайджин 574 Опубліковано: 2015-01-29 09:37:24 Share Опубліковано: 2015-01-29 09:37:24 Что как? Алгоритм работы маршрутизации в данной схеме подключения - выше. На FreeBSD у меня эта схемка катается много лет. Я так из дома в рабочую сеть попадаю, получая белый IP из /27 езернет сегмента по pptp. Что там еще у Вас докручено на линуксе я не знаю. То Вы пару тысяч организмов через прокси-арп при наличии оспф-а запускать не пробовали - шедевральный непередаваемый п@зд#ц. Ссылка на сообщение Поделиться на других сайтах
xspirit 15 Опубліковано: 2015-01-29 09:37:44 Share Опубліковано: 2015-01-29 09:37:44 (відредаговано) короче нужно включить проксиарп и указать pppoe-server белый адрес.... Ша попробую.... Да не нужно ничего включать!!! На вас смаршутизирована /29 сетка, просто выдайте свободный белый адрес!!! Ну и правило НАТа немного надо будет подправить! Відредаговано 2015-01-29 09:39:18 xspirit Ссылка на сообщение Поделиться на других сайтах
Гайджин 574 Опубліковано: 2015-01-29 09:37:56 Share Опубліковано: 2015-01-29 09:37:56 короче нужно включить проксиарп и указать pppoe-server белый адрес.... Ша попробую.... Ман надо прочитать таки - ktune и т.д. Ссылка на сообщение Поделиться на других сайтах
Гайджин 574 Опубліковано: 2015-01-29 09:39:05 Share Опубліковано: 2015-01-29 09:39:05 короче нужно включить проксиарп и указать pppoe-server белый адрес.... Ша попробую.... Да не нужно ничего включать!!! На вас смаршутизирована /29 сетка, просто выдайте свободный белый адрес!!! Не насилуйте ему мозг - включать таки нужно, в опциях pppd. Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-01-29 09:41:16 Share Опубліковано: 2015-01-29 09:41:16 То есть по вашей логике когда я пытаюсь зайти на google я обязательно отправляю arp (who has...)? И google отдает мне свой МАС? ))) Вы разницу между юникастом и бродкастом улавливаете? Если у Вас на машине IP _из бродкастовой сети гугла_ - ДА. Да не нужно ничего включать!!! На вас смаршутизирована /29 сетка Гду сказано что сеть на него _СМАРШРУТИЗИРОВАНА_? Ссылка на сообщение Поделиться на других сайтах
toombr 5 Опубліковано: 2015-01-29 09:41:23 Автор Share Опубліковано: 2015-01-29 09:41:23 Что включать в опциях pppd напоминает разговор пьяного с накуренным (не в обиду, недочёты взаимопонимания в формате интернет форума) Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас