https://217.65.3.21/openforum/vsluhforumID1/90937.html Прекрасно понимаю, что подобный вопрос мог подниматься уже не раз и не два. Если ткнете мордой лица в готовое решение - буду благодарен.<br><br>Вопрос в следующем: в конторе стоит сервак на FreeBSD (6.x) с ipfw и natd. Ставил его практически по мануалам, поскольку в nix-системах разбираюсь весьма слабо. На входе имею канал с пятью внешними IP, выделенными ISP (использую только один). На внутреннем интерфейсе имею стандартную сетку 192.168.0.x. До последнего времени все работало как часы, спал как младенец. Никаких конфигов не привожу, поскольку они тривиальны до безобразия.<br><br>Но тут появились хитрые арендаторы, которым потребовался реальный IP для создания всяких там виртуальных каналов и прочей ip-телефонии. Я им готов отдать один из своих внешних адресов, поставить на роутер еще одну сетевуху, чтобы через нее весь трафик, идущий на этот IP, уплывал на их маршрутизатор. Проблема лишь в том, куда и что нужно для этого дописать?<br><br>Как я понимаю, необходимо добавить статический маршрут и, возможно, в ipfw добавит https://217.65.3.21/openforum/vsluhforumID1/90937.html#13 Tue, 15 Feb 2011 11:19:45 GMT Снова привет всем.<br>Сделал примерно так, как описал в последнем посте: занес клиентов во внутреннюю подсеть на отдельный интерфейс (msk2 192.168.2.1, адрес их внутреннего роутера соответственно 192.168.2.2). Появилась проблема следующего характера. Когда я для ipfw прописываю правила nat-конвертации для этой подсети, выглядит это примерно так:<br><br>${ipfw} add 113 divert ${client_port} ip from ${client_net} to any out xmit ${wan1}<br><br>то есть, все пакеты, проходящие из клиентской подсетки на внешний интерфейс, пропускаются через свой демон natd.<br><br>${ipfw} add 114 divert ${client_port} ip from any to ${client_wan_ip} in recv ${wan1}<br><br>этим правилом мы все пакеты, приходящие на внешний ip, выданный клиенту, заворачиваем через natd, запущенный для клиента.<br><br>Инет у клиента в этом случае не работает. Проблема в том (как я понял), что после пропуска через правило 113 система все исходящие от клиента пакеты после nat-преобразования выпускает с моего стандартного wan-ip-адреса, а не с адреса, назначенного клиенту. С https://217.65.3.21/openforum/vsluhforumID1/90937.html#12 Mon, 14 Feb 2011 10:59:32 GMT На самом деле, надо более подробно все обговаривать, вдруг ваши арендаторы захотят взять все на себя, в результате вам единственное, что надо делать, это прокидывать ip и смотреть трафик, и то может быть просто ограничить их канал...<br> https://217.65.3.21/openforum/vsluhforumID1/90937.html#11 Mon, 14 Feb 2011 09:55:23 GMT &gt; Похоже я недооценил сложность проблемы. Я, честно говоря, думал, что подобные проброски <br>&gt; в nix-системах - обычное явление. Наверное надо предложить им компромисный вариант: <br>&gt; все, что приходит на 100.100.100.102, выдавливаем на 192.168.1.1 (через natd), это будет <br>&gt; типа их внешний ip <br><br>Именно что "типа" :-)<br><br> https://217.65.3.21/openforum/vsluhforumID1/90937.html#10 Mon, 14 Feb 2011 09:42:39 GMT &gt; Поставить карточку в сервер, привязать ip алиасом к внешней карточки и <br>&gt; прокинуть один ip на комп арендаторов, пусть они с ним бодаются... <br><br>что же вы стесняетесь, расскажите чем отличается ситуация от текущей при наличии дополнительной карточки в сервере ?<br><br>пусть они с ним бодаются, придут на сайт опеннета и скажут - нам тут "прокинули" айпишник.... как нам.... ... Коллег не жаль ? )<br> https://217.65.3.21/openforum/vsluhforumID1/90937.html#9 Mon, 14 Feb 2011 08:29:49 GMT &gt;[оверквотинг удален]<br>&gt; маршрутизатор. Проблема лишь в том, куда и что нужно для этого <br>&gt; дописать?<br>&gt; Как я понимаю, необходимо добавить статический маршрут и, возможно, в ipfw добавить <br>&gt; правила для пропуска трафика по этому ip/интерфейсу. Отсюда вытекает ламерский вопрос: <br>&gt; надо ли интерфейсу, смотрящему в арендаторскую сетку, назначать какой-то ip (и <br>&gt; должен ли он быть внешним), либо это надо расписать просто через <br>&gt; имя интерфейса? И второй вопрос: а нужен ли вообще этот дополнительный <br>&gt; интерфейс, или они свой трафик могут снимать с моего внутреннего интерфейса? <br>&gt; Прошу прощения за сумбурность изложения, как и говорил, опыта в данном вопросе <br>&gt; у меня совсем немного.<br><br>DNAT + 802.1q <br> https://217.65.3.21/openforum/vsluhforumID1/90937.html#8 Mon, 14 Feb 2011 07:00:55 GMT Похоже я недооценил сложность проблемы. Я, честно говоря, думал, что подобные проброски в nix-системах - обычное явление. Наверное надо предложить им компромисный вариант:<br><br>на моем роутере имею 5 внешних ip: 100.100.100.101-105 (oif)<br>моя внутренняя подсетка: 192.168.0.0/255 (iif1)<br>клиент: 192.168.1.0/255 (iif2), подразумевается, что его роутер будет 192.168.1.1<br>адрес 100.100.100.101 используется, как и сейчас, как dgw<br>все, что приходит на 100.100.100.102, выдавливаем на 192.168.1.1 (через natd), это будет типа их внешний ip<br>все, что идет из подсетки 192.168.1.0, выкидываем наружу через natd.<br><br>Здесь снова 2 вопроса:<br>1. Надо ли прописывать для клиентской подсети отдельный маршрут, или ipfw сам на основании правил разберется куда завернуть пакет?<br>2. При получении пакета из клиентской подсети natd разберется, что его надо конвертнуть на 100.100.100.102 а не на 100.100.100.101?<br><br>PS: спасибо за предложенные варианты решения. Однако мои познания в BSD не позволяют (пока) производить подобные насильствен https://217.65.3.21/openforum/vsluhforumID1/90937.html#7 Mon, 14 Feb 2011 06:43:55 GMT Поставить карточку в сервер, привязать ip алиасом к внешней карточки и прокинуть один ip на комп арендаторов, пусть они с ним бодаются...<br> https://217.65.3.21/openforum/vsluhforumID1/90937.html#6 Mon, 14 Feb 2011 05:30:52 GMT <br>&gt; 2) поднять например PPPoE/PPtP - и выдать на конец туннеля реальный IP. <br>&gt; ТОгда всего 1 адрес потратишь. Но надо поднимать PPPoE/PPtP сервер.<br><br>В таких случаях внутри системы формируется некоторое подобие proxy-arp, аналогичное тому, что я расписал в ответе выше. Создается новый канал к клиенту, сервер начинает отвечать на арп-запросы адреса клиента (proxy-arp-like), ну и поскольку появился новый канал - в него прописывается маршрут. Имеется все три составляющих - канал, маршрут в него, proxyarp-ответ.<br>Как оно работает на линухе, мне понятно, а как делается в случае pptp на FreeBSD - я не разбирался.<br> https://217.65.3.21/openforum/vsluhforumID1/90937.html#5 Mon, 14 Feb 2011 05:22:09 GMT мне вот кажется есть ещё 2 варианта на подумать:<br><br>1) если у тебя 5 IP адресов - то тебе выделена сеть /29 - т.е. 8 адресов и её в принципе можно разделить на 2 по 4 адреса(/30). Одну себе оставишь, одну клиенту. Правда расход адресов приличный в этом случае.<br><br>2) поднять например PPPoE/PPtP - и выдать на конец туннеля реальный IP. ТОгда всего 1 адрес потратишь. Но надо поднимать PPPoE/PPtP сервер.<br>