Доброго времени суток, уважаемые специалисты.
Не буду рассказывать как, но наступила у меня нужда поковырять FreeBSD роутер.
Работает он следующим образом:
Имеет сетевку, глядящую наружу (на провайдера инета) с адресом XXX.XXX.XXX.XXX
Имеет сетевку, глядящую во внутреннюю сеть, имеющую реальный (белый!) IP YYY.YYY.YYY.1
Клиенты внутренней сети имеют адреса YYY.YYY.YYY.2 - YYY.YYY.YYY.128 (тоже реальные, белые)
Каким-то неизвестным для меня образом весь народ, указав как шлюз адрес YYY.YYY.YYY.1, спокойно и радостно ходит в интернет.
Вопрос номер раз: может ли кто-нибудь популярно объяснить, как все это работает, или показать направление куда рыть.
Вопрос номер два непосредственно связан с первым:
Провайдер собирается вводить систему серых адресов системы 192.168.ZZZ.ZZZ для обеспечения vpn-туннелирования пользователям моего шлюза. VPN-сервер, естесственно, находится у провайдера. Каким образом можно обеспечить возможность прямого роута этого диапазона адресов, без NAT'а, к VPN провайдера (т.е. по тому же принципу, видимо, как сейчас подается инет)?..
Очень надеюсь на вашу помощь, ибо сам я новичек в *nix и *BSD системах, а на изучение вопроса тупо нет времени, нужно срочно... )-:
>[оверквотинг удален]
>Вопрос номер раз: может ли кто-нибудь популярно объяснить, как все это работает,
>или показать направление куда рыть.
>Вопрос номер два непосредственно связан с первым:
>Провайдер собирается вводить систему серых адресов системы 192.168.ZZZ.ZZZ для обеспечения vpn-туннелирования пользователям
>моего шлюза. VPN-сервер, естесственно, находится у провайдера. Каким образом можно обеспечить
>возможность прямого роута этого диапазона адресов, без NAT'а, к VPN провайдера
>(т.е. по тому же принципу, видимо, как сейчас подается инет)?..
>Очень надеюсь на вашу помощь, ибо сам я новичек в *nix и
>*BSD системах, а на изучение вопроса тупо нет времени, нужно срочно...
>)-:если срочно, то тупо заплатите специалисту за настройку, потому что если вы не знаете ответ на первый вопрос, то перенастраивать роутер Вам не рекомендуется. А по описанию второго вопроса чесно говоря вообще не понял зачем Вам впн. "для обеспечения vpn-туннелирования пользователям моего шлюза" - это звучит стремно :)
>если срочно, то тупо заплатите специалисту за настройку, потому что если вы
>не знаете ответ на первый вопрос, то перенастраивать роутер Вам не
>рекомендуется. А по описанию второго вопроса чесно говоря вообще не понял
>зачем Вам впн. "для обеспечения vpn-туннелирования пользователям моего шлюза" - это
>звучит стремно :)ВПН необходим для доступа пользователей к безлимитным интернет-тарифам. Провайдер дает анлим только при использовании ВПНа через его сервер.
>>если срочно, то тупо заплатите специалисту за настройку, потому что если вы
>>не знаете ответ на первый вопрос, то перенастраивать роутер Вам не
>>рекомендуется. А по описанию второго вопроса чесно говоря вообще не понял
>>зачем Вам впн. "для обеспечения vpn-туннелирования пользователям моего шлюза" - это
>>звучит стремно :)
>
> ВПН необходим для доступа пользователей к безлимитным интернет-тарифам. Провайдер дает анлим
>только при использовании ВПНа через его сервер.как будет выглядеть схема подключения Вашей сети к провайдеру с использованием впн?:
1 сервер установит соединение по впн, а "Клиенты внутренней сети имеют адреса YYY.YYY.YYY.2 - YYY.YYY.YYY.128" будут подключаься в инету через сервер
2 каждый из "Клиенты внутренней сети имеют адреса YYY.YYY.YYY.2 - YYY.YYY.YYY.128" должен будет устанавливать соединение с провайдером по ВПН?
3 Ваш вариант...
>как будет выглядеть схема подключения Вашей сети к провайдеру с использованием впн?:
>
>1 сервер установит соединение по впн, а "Клиенты внутренней сети имеют адреса
>YYY.YYY.YYY.2 - YYY.YYY.YYY.128" будут подключаься в инету через сервер
>2 каждый из "Клиенты внутренней сети имеют адреса YYY.YYY.YYY.2 - YYY.YYY.YYY.128" должен
>будет устанавливать соединение с провайдером по ВПН?
>3 Ваш вариант...Второй вариант ближе.
Провайдер отбирает у клиента реальный адрес (YYY.YYY.YYY.2 - YYY.YYY.YYY.128), вместо него будет выдан фейковый ИП из серии 192.168.Х.Х. Клиент будет цепляться на сервер ВПН провайдера, имеющий адрес из того же диапазона, а провайдер уже будет роутить его наружу.
Т.е. мне-то интересно как настроить FreeBSD, чтоб она выпускала наружу клиентов с адресами 192.168.Х.Х, не меняя этого адреса, т.е. не используя NAT.
>[оверквотинг удален]
>>будет устанавливать соединение с провайдером по ВПН?
>>3 Ваш вариант...
>
>Второй вариант ближе.
>Провайдер отбирает у клиента реальный адрес (YYY.YYY.YYY.2 - YYY.YYY.YYY.128), вместо него будет
>выдан фейковый ИП из серии 192.168.Х.Х. Клиент будет цепляться на сервер
>ВПН провайдера, имеющий адрес из того же диапазона, а провайдер уже
>будет роутить его наружу.
>Т.е. мне-то интересно как настроить FreeBSD, чтоб она выпускала наружу клиентов с
>адресами 192.168.Х.Х, не меняя этого адреса, т.е. не используя NAT.В правило фаервола одно правило ipfw add 10 allow all from any to any
И курить роутинг.
>В правило фаервола одно правило ipfw add 10 allow all from any
>to any
>И курить роутинг.Это правило позволяет роутить запросы с любого интерфейса на любой? А возможно ли жестко указать интерфейсы? Типа ipfw add 10 allow all from bge1 to bge0 ?
>Это правило позволяет роутить запросы с любого интерфейса на любой? А возможно
>ли жестко указать интерфейсы? Типа ipfw add 10 allow all from
>bge1 to bge0 ?Чувак, если тебе это реально нужно то, читай это
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ne...