Белый IP

[graff0633]

Доброго времени суток. Понимаю, для опытных админов вопрос глупый, но я только пытаюсь разобраться. Мне очень нравиться работать с ubilling, система интуитивно понятна даже для новичка. Но теперь я столкнулся с проблемой выдачи белого ip адреса своему юзеру. Эта тема уже не однократно обсуждалась, но все же я в ступоре. У меня стоит тестовая машина, инет получаю от роутера. Юзерская машина получает интеренет по серому адресу без проблем. Как правильно отдать белый адрес? нужно ли для этого использовать другой сетевой интерфейс? 

адрес роутера - 10.0.3.2

адрес сервера по входу - em0 10.0.3.3

сеть юзеров em1 172.16.0.1/24 

Прошу помощи в детальном разборе вопроса

[desmond]

http://local.com.ua/forum/topic/47481-%D1%80%D0%B5%D0%B0%D0%BB%D1%8C%D0%BD%D1%96-%D1%96%D1%80-dhcp-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80/?p=428622

[graff0633]

спасибо за ответ! После просмотра темы, которую вы мне скинули я сделал следующие настройки 

ifconfig_bge0="inet 10.0.3.3 netmask 255.255.255.248 " - интерфейс смотрящий на роутер провайдера

 

defaultrouter="10.0.3.2" - адрес роутера

 

ifconfig_ue0="inet 172.16.0.1/19" - интерфейс смотрящей на юзеров

ifconfig_ue0_alias0="inet 10.0.3.8 netmask 255.255.255.248" - предполагаемая сеть белых адресов

 

 

ifconfig_ue1="inet 192.168.56.104/24"  - менеджерская сеть 

 

создал сеть 10.0.3.8 в Ubillingе. Юзер получает адрес 10.0.3.9 со шлюзом 10.0.3.8 но интернета у него нету

[graff0633]

это тестовая машина, для разбора вопроса. Укажите что пропустил!

[mgo]

така штука є називається маршрутизація

для початку осилити треба, далі все самі зрозумієте.

в двох словах
ваш провайдер має великий пул білих адрес 256 чи 1024 неважливо,
частину він маршрутизує на вас, на 10.0.3.3

припустим він на вас виписав 93.250.99.224/27  ( 93.250.99.224 -93.250.99.255, 32 адреси, адреси видумані на льоту, усі співпадіння випадкові)

 

провайдер пише route add 93.250.99.224/27 10.0.3.3

і усі запити  які прилітають до будьякої айпішки з діапазону 93.250.99.224/27 відправляються на 10.0.3.3

 

ваша задача навісити перший нешироковещательний адрес на юзерінтерфейс 

ifconfig_ue0_alias0="inet 93.250.99.225/27" - предполагаемая сеть белых адресов.

він має запінгатися зі світу.

решту адрес 93.250.99.226 -93.250.99.254 видаєте своїм юзерям

з гетевеєм 93.250.99.225

днс за смаком.

 

93.250.99.255 - широковещательний

93.250.99.224 - ваша мережа, широковещательний

 

натити білі адреси нетреба, топто до таблички 2 в фаєрі їх незасовуєм

 

тіпа так на пальцях.

[graff0633]

Вже трохи легше. Якщо я це намагаюсь зробити на простій домашній мережі, ставивши сервер після звичайного тп-лінка в мене нічого не вийде?

[KaYot]

А где вы вообще видите белый IP у себя?

[graff0633]

На тестовой машине как таковых их у меня нету. Я хочу разобрать вопрос на стенде, перед тем как работать на реальном сервере, дабы не мешать юзерам

[l1ght]

На тестовой машине как таковых их у меня нету. Я хочу разобрать вопрос на стенде, перед тем как работать на реальном сервере, дабы не мешать юзерам

вам уже сказали

разберитесь с маршрутизацией

[DIO]

Если в целях самообучения - после первого роутера  настраиваете второй - на нем со стороны lan в DHSP настраиваете  подсеть  93.250.99. ... и тренируйтесь на здоровье

[a_n_h]

 

спасибо за ответ! После просмотра темы, которую вы мне скинули я сделал следующие настройки 

ifconfig_bge0="inet 10.0.3.3 netmask 255.255.255.248 " - интерфейс смотрящий на роутер провайдера

 

defaultrouter="10.0.3.2" - адрес роутера

 

ifconfig_ue0="inet 172.16.0.1/19" - интерфейс смотрящей на юзеров

ifconfig_ue0_alias0="inet 10.0.3.8 netmask 255.255.255.248" - предполагаемая сеть белых адресов

 

 

ifconfig_ue1="inet 192.168.56.104/24"  - менеджерская сеть 

 

создал сеть 10.0.3.8 в Ubillingе. Юзер получает адрес 10.0.3.9 со шлюзом 10.0.3.8 но интернета у него нету

 

в подробности не вникал, но вроде все правильно. Есть один секрет и он не в билинге, а в самом маршрутизаторе, подсказка:

 

Если требуется хождение трафика между клиентами с реальными адресам включаем ProxyARP

sysctl net.link.ether.inet.proxyall=1

[graff0633]

Если в целях самообучения - после первого роутера  настраиваете второй - на нем со стороны lan в DHSP настраиваете  подсеть  93.250.99. ... и тренируйтесь на здоровье

ну так я настроил подсеть  10.0.3.1 а не 93.250.99. .. разница ведь не принципиальная

 

На тестовой машине как таковых их у меня нету. Я хочу разобрать вопрос на стенде, перед тем как работать на реальном сервере, дабы не мешать юзерам

вам уже сказали

разберитесь с маршрутизацией

 

можно немного по конкретнее где копать?

[a_n_h]

 

 

можно немного по конкретнее где копать?

мое сообщение читал? 

[mgo]

 

 

можно немного по конкретнее где копать?

чтитати сьогодні немодно

відяшка?

[graff0633]

 

 

спасибо за ответ! После просмотра темы, которую вы мне скинули я сделал следующие настройки 

ifconfig_bge0="inet 10.0.3.3 netmask 255.255.255.248 " - интерфейс смотрящий на роутер провайдера

 

defaultrouter="10.0.3.2" - адрес роутера

 

ifconfig_ue0="inet 172.16.0.1/19" - интерфейс смотрящей на юзеров

ifconfig_ue0_alias0="inet 10.0.3.8 netmask 255.255.255.248" - предполагаемая сеть белых адресов

 

 

ifconfig_ue1="inet 192.168.56.104/24"  - менеджерская сеть 

 

создал сеть 10.0.3.8 в Ubillingе. Юзер получает адрес 10.0.3.9 со шлюзом 10.0.3.8 но интернета у него нету

 

в подробности не вникал, но вроде все правильно. Есть один секрет и он не в билинге, а в самом маршрутизаторе, подсказка:

 

Если требуется хождение трафика между клиентами с реальными адресам включаем ProxyARP

sysctl net.link.ether.inet.proxyall=1

 

да, читал. спасибо за подсказку, с этим как раз разбираюсь. 

Мне ткнули носом в проблему маршрутизации, и тут я как раз не могу понять где напартачил

[a_n_h]

 

 

да, читал

вот источник:

https://habrahabr.ru/post/243203/

[graff0633]

спасибо, изучаю

[graff0633]

У меня есть только один сервер. Серые адреса я раздаю через локал нас. Как правильно настроить нас для белых адресов? через rscriptd?

[l1ght]

У меня есть только один сервер. Серые адреса я раздаю через локал нас. Как правильно настроить нас для белых адресов? через rscriptd?

правильно будет настроить фаервол и маршруты нужным образом

[a_n_h]

У меня есть только один сервер. Серые адреса я раздаю через локал нас. Как правильно настроить нас для белых адресов? через rscriptd?

"белые" от "серых" отличаются только тем, что их не нужно "натить".

[graff0633]

 

У меня есть только один сервер. Серые адреса я раздаю через локал нас. Как правильно настроить нас для белых адресов? через rscriptd?

"белые" от "серых" отличаются только тем, что их не нужно "натить".

 

для того что б они не натились я убрал их из второй таблички фаера и добавил в 10-ю. Вопрос стоит в насе. Будет ли все нормально работать, если я в юбилинге создам два локал нас 

- 172.16.0.1/24 - пул серых адресов

и второй локал нас 

- 10.0.3.8/29 - пул белых адресов?

[a_n_h]

 

 

для того что б они не натились я убрал их из второй таблички фаера и добавил в 10-ю.

фаервол в студию 

[graff0633]

 

для того что б они не натились я убрал их из второй таблички фаера и добавил в 10-ю.

фаервол в студию 

 

FwCMD="/sbin/ipfw -q"

 

${FwCMD} -f flush

 

# Networks define

${FwCMD} table 2 add 172.16.0.0/24

${FwCMD} table 9 add 10.0.3.8/32

${FwCMD} table 10 add 10.0.3.8/29

 

#NAT

${FwCMD} nat 1 config log if bge0 reset same_ports

${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) via bge0

${FwCMD} add 6001 nat 1 ip from any to 10.0.3.8 via bge0

# in 6001 rule must be my external IP

 

#Shape

${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ue0 out

${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ue0 in

 

 

#security

${FwCMD} add 3 deny ip6 from any to any

${FwCMD} add 101 allow all from 192.168.56.104 to any

${FwCMD} add 101 allow all from any to 192.168.56.104

 

 

# allow access to my http for all

${FwCMD} add  62000 allow tcp from any to me dst-port 80

${FwCMD} add  62000 allow tcp from me to any src-port 80

 

 

# default block policy

${FwCMD} add 65531 deny all from table\(10\) to any via ue0

${FwCMD} add 65532 deny all from any to table\(10\) via ue0

${FwCMD} add 65533 deny all from table\(2\) to any via ue0

${FwCMD} add 65534 deny all from any to table\(2\) via ue0

${FwCMD} add 65535 allow all from any to any

 

# ==== CUSTOM FIREWALL CONFIG ====

 

${FwCMD} add  62100 allow tcp from table\(2\) to table\(17\) dst-port 80

${FwCMD} add  62100 allow tcp from table\(17\) to table\(2\) src-port 80

[a_n_h]

 

 

убрал их из второй таблички фаера и добавил в 10-ю

по документации:

 http://wiki.ubilling.net.ua/doku.php?id=freebsdremotenas

нужно в 9-ю:

Немного о логике фаервола и табличках

• (2) - подсети пользователей, попадают в NAT, по умолчанию запрещено прохождение пакетов через внутренний интерфейс
• (3) и (4) - таблички используются для шейпа (3-вверх/4-вниз). Попадают сюда пользователи при помощи OnConnect.
• (47) - сюда попадают пользователи отстреленные вызовами OnDisconnect
• (9) - адреса и подсети для которых не будет производиться NAT
• (17) - адреса 80-й порт которых будет доступен всегда по-умолчанию (зарезервировано)
• (6) - префиксы UA-IX (зарезервировано)
• (10) - пользовательские подсети, для которых не следует производить NAT (зарезервировано)

[a_n_h]

graff0633 еще не разобрался?