Перейти до

Удаленный NAS (rscriptd) + белые IP


Рекомендованные сообщения

Исходные данные:

Есть 3 сервера:

1)Биллинг 

2)Удаленный NAS (поднят обычный NAT, работает нормально)

3)Удаленный NAS (нужно настроить белые IP, чтобы они не натились, а просто маршрутизировались).

 

Каждый сервер имеет по 3 сетевки - 1 в смотрит в инет, 2 - смотрит в локалку, 3 - для обмена данными между серверами

 

 

Биллинг (работает нормально)

1 сетевка с аплинком 10.10.10.2/24

2 сетевка клиенты 172.16.32.1/19

2 сетевка неизвестные клиенты (алиас) 172.31.0.1/24 

2 сетевка для входа в кабинет клиентов с белыми IP (алиас) 2.2.2.98/27

3 сетевка служебная 10.90.90.2/24

 

Удаленный NAS для серых IP, которые выходят через NAT (работает нормально)

1 сетевка с аплинком 10.10.10.3/24

2 сетевка клиенты 172.16.64.1/21

3 сетевка служебная 10.90.90.3/24

 

Удаленный NAS для белых IP, которые НЕ должны работать через NAT (не работает), должны просто маршрутизироваться

1 сетевка с аплинком 2.2.2.228/28

2 сетевка клиенты 2.2.2.97/27

3 сетевка служебная 10.90.90.4/24

 

Поставщик выделил нам подсеть 2.2.2.96/27 и смаршрутизировал её на 2.2.2.228.

 

Как советовали в похожих темах

на биллинге создал сеть указал начальный IP 2.2.2.99, конечный - 2.2.2.126,

указал сеть 2.2.2.96/27.

Создал услугу Real IP.

Привязал к услуге сеть 2.2.2.96/27.

Подправил персональный шаблон подсети DHCP, жестко указав там option routers 2.2.2.97

 

В итоге клиенты получают реальные IP и выходят в инет, но....... при этом натятся.

 

читал это: 

http://local.com.ua/forum/topic/47481-реальні-ір-dhcp-сервер/?hl=белые#entry774562

nightfly

 рекомендовал: 

Викидаєм це порно

${FwCMD} table 2 add 176.120.96.104/29

і замінюємо його на

${FwCMD} table 10 add 176.120.96.104/29

${FwCMD} add 65531 deny all from table\(10\) to any via bge1
$
{FwCMD} add 65532 deny all from any to table\(10\) via bge1

 

По аналогии делал у себя на удаленном насе это:

${FwCMD} table 2 add 2.2.2.96/27

заменил на

${FwCMD} table 10 add 2.2.2.96/27

и добавил еще

${FwCMD} add 65531 deny all from table\(10\) to any via alc0
$
{FwCMD} add 65532 deny all from any to table\(10\) via alc0

 

Но нифига не помогло. Я так понимаю, что это были рекомендации относително биллинга, а не удаленного NASа.

 

ВОПРОС. 

Как пробросить белые IP на удаленном NASе, чтобы они не натились?

rc.txt

firewall-original.txt

firewall-peredalaniy.txt

Відредаговано abonent1000
Ссылка на сообщение
Поделиться на других сайтах

Уберите нах из 2-й таблички, подсеть реальников. Там даже в доке сказано, зачем 10-я зарезервирована.

Відредаговано nightfly
Ссылка на сообщение
Поделиться на других сайтах
как-то так?

жирным добавил, жирным перечеркнутым убрал

#!/bin/sh

 

# netflow stats

/usr/local/sbin/softflowd -i alc0 -n 10.90.90.2:42111

 

 

# firewall command

FwCMD="/sbin/ipfw -q"

 

${FwCMD} -f flush

 

# Networks define

${FwCMD} table 10 add 2.2.2.96/27

${FwCMD} table 9 add 2.2.2.96/27

${FwCMD} table 9 add 2.2.2.228/28

 

 

 

#NAT

${FwCMD} nat 1 config log if re0 reset same_ports

${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) via re0

${FwCMD} add 6000 nat 1 ip from table\(10\) to not table\(9\) via re0

${FwCMD} add 6001 nat 1 ip from any to 2.2.2.228 via re0

# in 6001 rule must be my external IP

 

#Shape 

${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via alc0 out

${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via alc0 in

 

 

#security

${FwCMD} add 3 deny ip6 from any to any

${FwCMD} add 101 allow all from 10.90.90.2 to any

${FwCMD} add 101 allow all from any to 10.90.90.2

 

 

# allow access to my http for all

${FwCMD} add  62000 allow tcp from any to me dst-port 80

${FwCMD} add  62000 allow tcp from me to any src-port 80

 

 

# default block policy

${FwCMD} add 65531 deny all from table\(10\) to any via alc0

${FwCMD} add 65532 deny all from any to table\(10\) via alc0

${FwCMD} add 65533 deny all from table\(2\) to any via alc0

${FwCMD} add 65534 deny all from any to table\(2\) via alc0

${FwCMD} add 65535 allow all from any to any

 

# ==== CUSTOM FIREWALL CONFIG ====

 

${FwCMD} add  62100 allow tcp from table\(2\) to table\(17\) dst-port 80

${FwCMD} add  62100 allow tcp from table\(17\) to table\(2\) src-port 80

Ссылка на сообщение
Поделиться на других сайтах

 

 

как-то так?

Нет.

 

Сделайте просто так, как описано, в приведенной вами же ссылке на тему.

 

 

 

жирным добавил, жирным перечеркнутым убрал

Почему мне поплохело? :)

 

Абисняю почему:

 

 

${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) via re0

чё?

 

 

${FwCMD} add 6000 nat 1 ip from table\(10\) to not table\(9\) via re0

чё?

 

 

${FwCMD} add 65533 deny all from table\(2\) to any via alc0
${FwCMD} add 65534 deny all from any to table\(2\) via alc0

чё?

Ссылка на сообщение
Поделиться на других сайтах

задача не натить абонентов и он всё равно сделал нат и засунул туда белые ипишки...

т.е. вот эти правила где есть nat вообще удалить? 

#NAT

${FwCMD} nat 1 config log if re0 reset same_ports
${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) via re0
${FwCMD} add 6001 nat 1 ip from any to 2.2.2.228 via re0
# in 6001 rule must be my external IP
 
А что вместо него? какое-то правило с командой fwd?
Ссылка на сообщение
Поделиться на других сайтах

читайте что такое маршрутизация и какое отношение к ней имеет фаервол

вам не нужен fwd по вполне очевидным причинам

вам просто нужна маршрутизация, сначала настройте её потом ковыряйте фаервол

Ссылка на сообщение
Поделиться на других сайтах

что-то наподобие этого? только с моими белыми IP?

 

Если на сервере вы используете firewall, например ipfw, то добавим правила разрешающие проход пакетов из одной сети в другую:

ipfw add 100 allow ip from 192.168.1.1/24 to 192.168.0.1/24
ipfw add 110 allow ip from 192.168.1.0/24 to 192.168.1.1/24

Ссылка на сообщение
Поделиться на других сайтах

нет, я удаляюсь из темы, что бы оставить вам такие понятия как маршрутизация, обработки и прохождение пакетов в ipfw на самостоятельное обучение

коль уж взялись - учите, по сути там делов на пару минут

только вот если вы не понимаете что и куда идет - то я не могу вам объяснить

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

А по какой причине при переключении на удаленный нас не режится скорость. В логах передаются все данные, кроме "upspeed-"?

Ссылка на сообщение
Поделиться на других сайтах

Извиняюсь, вопрос снят. В ходе проверок было обнаружено, что php не установлено. Установил из портов и все пошло как надо.

Ссылка на сообщение
Поделиться на других сайтах

Обратно нужна помощь. Есть локальный нас, например, сеть 10.0.0.0/24 и есть удаленный нас 10.10.0.0/24. Непосредственно с с биллинга пинг проходит на все хосты, а как сделать так, чтобы хосты могли видит друг друга? firewall на уделенный установлен по умолчанию/

 

И еще заметил, что при отрицательном балансе на удаленный нас поступает дизконнект и сразу же коннект. То есть не происходит блокировка должников. В логах allconnect показывает, что баланс равен 0. Может быть в этом причина? Даже так, пользователь блокируется, но при обращении к нему, например пинговать в профиле пользователя, на него отрабатывает ОнКоннект, а потом обратно Ондизконнект? Так и должно быть? Понаблюдал, почти каждую минуту проскакивают пинги из выключенного абонента в инет. Странно как-то. Даже, при условии, что я отключил пользователя, все равно у него пакеты проходят, allconnect показывает, что на этом абоненте каждые 30 секунд +- срабатывает коннект и дизконнект, и так по кругу.

Відредаговано Golthana
Ссылка на сообщение
Поделиться на других сайтах
ничего не нахуевертели?

 

Да нет. Сервер был вчера установлен и все настройки по умолчанию.

Единственное, что после установки удаленный нас не считывал скорость и МАС, так как не было установлено php

Установил и все пошло, но только не так как надо)

Відредаговано Golthana
Ссылка на сообщение
Поделиться на других сайтах

 

 

Обратно нужна помощь. Есть локальный нас, например, сеть 10.0.0.0/24 и есть удаленный нас 10.10.0.0/24. Непосредственно с с биллинга пинг проходит на все хосты, а как сделать так, чтобы хосты могли видит друг друга? firewall на уделенный установлен по умолчанию/

 

Это еще актуально

Ссылка на сообщение
Поделиться на других сайтах

 

Обратно нужна помощь. Есть локальный нас, например, сеть 10.0.0.0/24 и есть удаленный нас 10.10.0.0/24. Непосредственно с с биллинга пинг проходит на все хосты, а как сделать так, чтобы хосты могли видит друг друга? firewall на уделенный установлен по умолчанию/

 

Это еще актуально

 

маршрутизация - ответ на ваш вопрос

Ссылка на сообщение
Поделиться на других сайтах

 

маршрутизация - ответ на ваш вопрос

 

Имеете ввиду статические маршруты на сервера биллинга?

 

я имею в виду маршрутизацию

я не знаю как её на пальцах объяснить, погуглите, почитайте

авось поймете

лабы соберите из виртуалок в конце то концов)))

или хотя бы cisco packet tracer используйте, довольно универсальная штука

Ссылка на сообщение
Поделиться на других сайтах

 

 

я имею в виду маршрутизацию

 

Вроде все настроил. С сервера все хорошо пингуется, а вот от клиентов при трассировке до шлюза (сервера) доходит и все(

Ссылка на сообщение
Поделиться на других сайтах
  • 3 years later...

Приветствую, разрешите и мне потупить, настроен удаленный NAS все работает, добавил услуги белых адресов, тоже все работает и раздает, но вот в таблицы 3 и 4 белые адреса не записываются, 

между биллингом и NAS туннель tap 172.16.0.1(billing) и 172.16.0.2(NAS)

 NAS      lan1:10.0.0.1/24    lan2: w.w.w.w/w

в биллинге настроил нас для серых адресов сеть 10.0.0.0/24 rscriptd ip 172.16.0.2

для белых адресов сеть w.w.w.w/w rscriptd ip17216.0.2

что делать, что бы NAS добавлял в таблички 3 и 4  белые адреса?

Відредаговано Di111
Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, Di111 сказал:

Нужно было биллинг перезагрузить

Достаточно только рестарта stargazer чтобы он перечитал remote_nas.conf. В дальнейшем он будет перечитывать его без перезапуска.

Это древняя "особенность" работы его процесса на FreeBSD.

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Di111 сказал:

простите, неправильно выразился, я так и сделал, рестарт биллинга /etc/rc.d/billing restart

а нужно:

10 часов назад, nightfly сказал:

Достаточно только рестарта stargazer

 

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від a_n_h
      Всем доброго дня!
        В работе 2-а NAS-а, отключенные абоны "попадают" в 47-ю таблицу обоих NAS-ов. При включении удаляются из таблицы только в того NAS-а, какой "обслуживает" соответствующую сеть, а во втором остается. Из-за этого соответственно абоны из 2-го NAS-а к уже включенным абонам в 1-го NAS-а получить доступ не могут пока вручную не удалишь запись из 47-й таблицы.
        Можно учесть это, что-бы в 47-ю таблицу NAS-а попадали только абоны соответственного NAS-а?
    • Від a_n_h
      Всем доброго дня!
      Через LocalNAS должники в кабине попадают без проблем. Подскажите как разрешить доступ должникам в кабинет пользователя через NAS  rscriptd.
       
    • Від a_n_h
      Всем доброго дня!
        Как должны попадать в 47-ю таблицу должники/отключенные при загрузке NAS-а rscriptd либо изменении сети абона?
    • Від a_n_h
      Всем доброго дня!
      Как правильно настроить динамический шейпер на удаленном NAS rscriptd?
    • Від Небесный
      Есть нужда сделать 3шт. NAS паралельно.
      1 NAS - роутер в мировую сеть.
      2 NAS - внутренние сервисы.
      3 NAS - внутренние сервисы.
      Не хочу внутренние сервисы пускать через первый НАС, дабы не нагружать, решил установить rscriptd на другие серваки, и что-бы они работали паралельно.
      Так вот в чем вопрос: "Может ли старгейзер работать паралельно с тремя rscriptd, если одна и така же сеть указана на всех трех НАС"?
       
      Пока пробую только Биллинг+НАС1+НАС2, третий пока не трогаю, дай разобраться с двумя НАСами.

      stargzer.conf
      LogFile = /var/log/stargazer.log PIDFile = /var/run/stargazer.pid Rules = /etc/stargazer/rules DetailStatWritePeriod = 1/6 StatWritePeriod = 30 DayFee = 1 DayFeeIsLastDay = no DayResetTraff = 1 SpreadFee = yes FreeMbAllowInet = no WriteFreeMbTraffCost = yes FullFee = yes <DirNames>     DirName0 = Internet     DirName1 =     DirName2 =     DirName3 =     DirName4 =     DirName5 =     DirName6 =     DirName7 =     DirName8 =     DirName9 = </DirNames> ExecutersNum = 2 ModulesPath = /usr/lib/stg MonitorDir=/var/stargazer/monitor FeeChargeType = 1 ReconnectOnTariffChange = yes <IncludeFile "conf-enabled.d/store_*.conf"> </IncludeFile> <Modules>     <IncludeFile "conf-enabled.d/mod_*.conf">     </IncludeFile> </Modules>  
      remote_nas.conf
      192.168.0.0/24 xxx.xxx.xxx.150 10.0.0.0/8 xxx.xxx.xxx.150 213.174.11.0/24 xxx.xxx.xxx.150 192.168.0.0/24 xxx.xxx.xxx.100 10.0.0.0/8 xxx.xxx.xxx.100 213.174.11.0/24 xxx.xxx.xxx.100 192.168.0.0/24 xxx.xxx.xxx.2 10.0.0.0/8 xxx.xxx.xxx.2 213.174.11.0/24 xxx.xxx.xxx.2  
       
      mod_remote_script.conf
      <Module remote_script>     SendPeriod = 10     SubnetFile = /etc/stargazer/remote_nas.conf     Password = 123456     UserParams = Tariff     Port = 9999 </Module>  
      На 1 NAS все работает, на 2 NAS не работает.
       
      Конфигурация 2 NAS
       
      LogFileName = /var/log/rscriptd.log ExecutersNum = 2 ConfigDir = /etc/rscriptd Password = 123456 Port = 9999 UserTimeout = 60 ScriptOnConnect = /etc/rscriptd/OnConnect ScriptOnDisconnect = /etc/rscriptd/OnDisconnect ps ax | grep stg
       6039 ?        S      0:00 stg-exec  6040 ?        S      0:00 stg-exec  6042 pts/1    S+     0:00 grep --color=auto stg  
       
      Есть подозрения, что старгейзер одну и ту же сеть не может на разные НАС пинать. Кто что скажет?
       
       
×
×
  • Створити нове...