Добрый деньПодскажите, пожалуйста, решение проблемы:
Есть два аплинка, своя AS, ipnat.
Проблема с пакетами, котрые уходят через один интерфейс, а приходят через другой. IPNAT ждет их на том же интерфейсе, через который они ушли и трансляции не происходит. Как побороть?
Можно натить в IP исходящих интерфейсов, но это не интересно, хочу натить в IP своей AS.
Правила для нат:map fxp0 LOCAL_NET/24 -> XXX.XXX.XXX.1/32
map fxp1 LOCAL_NET/24 -> XXX.XXX.XXX.1/32ipf - пропускаю все
>[оверквотинг удален]
>IPNAT ждет их на том же интерфейсе, через который они ушли
>и трансляции не происходит. Как побороть?
>Можно натить в IP исходящих интерфейсов, но это не интересно, хочу натить
>в IP своей AS.
>Правила для нат:
>
>map fxp0 LOCAL_NET/24 -> XXX.XXX.XXX.1/32
>map fxp1 LOCAL_NET/24 -> XXX.XXX.XXX.1/32
>
>ipf - пропускаю всев ipfw вроде как никто не ждет, привязанно к интерфейсу. Может стоит попробовать ?
>в ipfw вроде как никто не ждет, привязанно к интерфейсу. Может стоит
>попробовать ?Это да, юзал, но ушел к связке ipf+ipnat как способ уменьшить нагрузку на НАТ. Уж больно тяжело было natd справляться с большой нагрузкой..
Почитал еще про pf_nat, с первого взгляда похоже там столкнусь с той же проблемой что и с ipnat.. Еще вариант ng_nat, но лучшим решением было бы конечно доточить ipf..
без обид, не по теме, просто интересно.
хватило денег получить пул независомых ip, зарегистрировать AS, платить деньги за обмен трафиком, но без cisco?
>без обид, не по теме, просто интересно.
>хватило денег получить пул независомых ip, зарегистрировать AS, платить деньги за обмен
>трафиком, но без cisco?А зачем натить на роутере, поставте рядом еще одну машинку и туда терминируйте vpn и тд. А роутер пусть занимается роутингом.
А по теме могу сказать что если у вас свои ип то не вижу проблем, какая разница кудой пакет уйдет а кудой прийдет, все равно src ip будет один и работу nat оно не нарушает. Полной симетрии вам никто не гарантирует.
>А зачем натить на роутере, поставте рядом еще одну машинку и туда
>терминируйте vpn и тд. А роутер пусть занимается роутингом.Это не обсуждается ))
>А по теме могу сказать что если у вас свои ип то
>не вижу проблем, какая разница кудой пакет уйдет а кудой прийдет,
>все равно src ip будет один и работу nat оно не
>нарушает. Полной симетрии вам никто не гарантирует.Разница в том что ipnat ждет пакет на том же ифейсе, откуда он ушел. Почти весь трафик через один и второй ифейс натится замечательно, проблема только с пакетами, которые уходят через один ифейс, а приходят через другой - нат их игнорирует (вижу исходящий пакет, вижу как приходит входящий через другой интерфейс, но обратной трансляции не происходит)
у тебя оба провайдера могут пропускать твои адреса?
>у тебя оба провайдера могут пропускать твои адреса?Не совсем понял вопрос..
Да, анонсирую свою AS через обоих аплинков..
>>у тебя оба провайдера могут пропускать твои адреса?
>
>Не совсем понял вопрос..
>Да, анонсирую свою AS через обоих аплинков..а если ты запросишь ресурс провайдера того аплинка откуда хочешь получить ответ, ответ получишь?
>а если ты запросишь ресурс провайдера того аплинка откуда хочешь получить ответ,
>ответ получишь?Если я запрошу любой ресурс, доступный в интернете, то ответ получу, если ты это имеешь ввиду. Не совсем понимаю как это относится к делу..
если ты запросишь ресурс провайдера того аплинка откуда хочешь получить ответ,
ответ получишь через какой аплинк?
>если ты запросишь ресурс провайдера того аплинка откуда хочешь получить ответ,
>ответ получишь через какой аплинк?Заранее сказать нельзя. Чаще всего через тот же, но этим процессом управлять можно лишь косвенно, зависит от маршрутизации (bgp). Грубо, но в общем ничто не мешает ресурсу ответить через другой аплинк, если этого захочет его админ.