https://www.opennet.dev/openforum/vsluhforumID1/96369.html Всем привет, в свое время данный форум мне очень помог, и сейчас хочу снова прибегнуть к вашей помощи.<br>Имеется шлюз-сервер на: FreeBSD 9.3-RELEASE #2: Thu Jun 11 09:52:58 MSK 2015 <br>И центральный L3 Коммутатор. <br>В шлюзе серверное железо с сетевыми картами с поддержкой 802.1Q.<br>Был подключен второй провайдер, и отсюда появился вопрос, как можно организовать работу всей инфраструктуры.<br>em0 - Интерфейс смотрящий в сеть 192.168.1.10<br>em1 - Интерфейс смотрящий во внешний мир 11.11.11.11<br><br>На сервере стоит IPFW + Kernel NAT, почти все правила IPFW имеют вид:<br>allow tcp from me [port] to any via em1 , то есть пакеты пропускаются непосредственно через интерфейс, как таковой IP адрес в правилах почти нигде не фигурирует<br>Я объединил на коммутаторе оба провайдера по разным VLAN в trunk, который подал на em1<br>Я прошу прощение, за мое невежество, но возможно ли создать на внешнем интерфейсе два VLANа<br>ifconfig_vlan10="inet 11.11.11.11 netmask 255.255.255.252 vlan 10 vlandev em1"<br>ifconfig_vlan11="inet 22.22.22.22 net https://www.opennet.dev/openforum/vsluhforumID1/96369.html#8 Thu, 03 Dec 2015 08:50:06 GMT Настроил две таблицы маршрутизации, работают оба провайдера, чуть позже выложу мануал <br><br> https://www.opennet.dev/openforum/vsluhforumID1/96369.html#7 Thu, 26 Nov 2015 10:23:39 GMT &gt; Я не дублировал. Не понимаю чего там дублировать.<br><br>Ну просто у меня в фаерволле много правил, например такого вида<br>кусочек ipfw show:<br><br>08500 allow udp from any to any dst-port 87 via em1<br>08600 allow tcp from any to any dst-port 1024 via em1<br>08700 allow tcp from any 1024 to any via em1<br>08800 allow tcp from any to any dst-port 9443 via em1<br>08900 allow tcp from any 9443 to any via em1<br>09000 allow tcp from any 8010 to any via em1<br>09100 allow tcp from any to any dst-port 8010 via em1<br><br>Грубо говоря в файерволе закрыты все не используемые порты, а те которые открыты идут от определенного узла до определенного, например в том же openvpn, разрешается прохождение пакетов только от удаленного офиса ко мне<br><br>правила выглядят таким образом "проходящие через внешнюю сетевую карту"<br>Я хотел, что бы оба vlan-a от основного и резервного канала, которые приходят на em1 работали по одним правилам, и спрашивал поддерживает ipfw правила на транковый интерфейс, или ему обязательно надо будет писать правила на каждый https://www.opennet.dev/openforum/vsluhforumID1/96369.html#6 Thu, 26 Nov 2015 06:20:39 GMT Я не дублировал. Не понимаю чего там дублировать.<br> https://www.opennet.dev/openforum/vsluhforumID1/96369.html#5 Wed, 25 Nov 2015 18:08:52 GMT Ну так руки и не дошли до второго провайдера<br>Появилась новая мысль, сделать через setfib, то есть добавив еще одну таблицу маршрутизации.<br>И через rc.local выставить: setfib 0 add default 111.111.111.111 setfib 1 add default 222.222.222.222<br>с ipfw я так понимаю придется все правила, а их около сотни продублировать для второго провайдера, что грустно, ну а куда деваться<br> https://www.opennet.dev/openforum/vsluhforumID1/96369.html#4 Wed, 25 Nov 2015 01:15:24 GMT &gt;[оверквотинг удален]<br>&gt; Не могли бы подсказать как должно выглядеть данное правило or?<br>&gt; Гугл говорит подобное: ipfw add 10000 allow ip from any to any <br>&gt; in { via fxp0 or via fxp1 } <br>&gt; Тут надо подумать как можно их засунуть в тот же Lanout="" <br>&gt; С другой стороны можно попробовать скриптом, как вы советуете, (поискать в том <br>&gt; же интернете готовый, и изменить) где при падении как вы говорите <br>&gt; будет меняться defaultrouter и путь к правилам ipfw, дальше перезагрузка ipfw+nat <br>&gt; и оно снова работает <br>&gt; Я так понимаю при замене defaultrouter , нам надо будет перезагрузить маршруты <br>&gt; /etc/rc.d/routing restart <br><br>У меня что-то типа from myip2 fwd gwprovider2<br>это дает отвечать с двух интерфейсов серверу (почта и т.д.), ну и 2 ната. Я не стал париться, один ядром, второй демоном запустил. Но нагрузка тут балансируется только статическими маршрутами.<br> https://www.opennet.dev/openforum/vsluhforumID1/96369.html#3 Fri, 20 Nov 2015 16:45:21 GMT &gt; По существу основного вопроса: <br>&gt; - метрикой интерфейса вам не удасься разрулить два канала в два провайдера, <br>&gt; т.к. вы не сможете знать "жив" основной канал или нет. Для <br>&gt; этого надо делать самописные приблуды проверяющие доступность канала: кому-то достаточно <br>&gt; проверять раз в минуту кроном пинг на шлюз, кому-то необходимо делать <br>&gt; это максимально быстро, поэтому вешается скриптом tcpdump и слушается входящий трафик. <br>&gt; Как только срабатывает событие down делаем route change default.<br><br>А нельзя заставить фряху работать просто сразу с двумя, не переключаясь, что бы пакеты шли в оба провайдера. Так как и там и там безлимит, а через те же pipe's можно указать скорости, что бы не было зависаний.<br><br>&gt; - в ipfw вам точно надо дописать/поменять nat чтоб он работал на <br>&gt; оба интерфейса, а для основных правил можно использовать конструкцию { via <br>&gt; vlan10 or via vlan11 } <br><br>Ну и если менять правила nat, то это решается прямо в лоб? <br> nat 1 ip4 from any to any via vlan10<br> nat 1 ip4 from any to any via https://www.opennet.dev/openforum/vsluhforumID1/96369.html#2 Wed, 18 Nov 2015 15:04:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt; defaultrouter="11.11.11.10" <br>&gt;&gt; rc.conf, на сколько я знаю не поддерживает больше одного defaultrouter, а следовательно <br>&gt;&gt; что бы назначить на второй интерфейс его шлюз нам придется использовать <br>&gt;&gt; что-то другое. Возможно ли здесь использование демона mrouted для решение этой <br>&gt;&gt; задачи? Если да, то как должно выглядеть правило, я так понимаю: <br>&gt;&gt; route add IP 22.22.22.21 -iface vlan11 <br>&gt; в rc.conf <br>&gt; static_routers="vlan11" <br>&gt; route_vlan11="-net 22.22.22.20/30 22.22.22.21" <br>&gt; Вроде, работает.<br><br>маленькая опечатка - static_routes, но смысла именно в таком маршруте не вижу, т.к. для маршрутизации сети 22.22.22.20/30 через шлюз 22.22.22.21 вам на интерфейсе vlan11 необходимо иметь 22.22.22.22/30, что само собой значит наличие маршрута на сеть 22.22.22.20/30 в статусе connected.<br><br>Mrouted вам не нужен, он предназначен для мультикаста, вы же работаете с "интернет" где трафик грубо говоря уникаст.<br><br>По существу основного вопроса: <br>- метрикой интерфейса вам не удасься разру https://www.opennet.dev/openforum/vsluhforumID1/96369.html#1 Fri, 13 Nov 2015 10:40:45 GMT &gt; Отсюда возникает еще один вопрос <br>&gt; defaultrouter="11.11.11.10" <br>&gt; rc.conf, на сколько я знаю не поддерживает больше одного defaultrouter, а следовательно <br>&gt; что бы назначить на второй интерфейс его шлюз нам придется использовать <br>&gt; что-то другое. Возможно ли здесь использование демона mrouted для решение этой <br>&gt; задачи? Если да, то как должно выглядеть правило, я так понимаю: <br>&gt; route add IP 22.22.22.21 -iface vlan11 <br><br>в rc.conf<br>static_routers="vlan11"<br>route_vlan11="-net 22.22.22.20/30 22.22.22.21"<br><br>Вроде, работает.<br>