Вообщем надо срочно сделать шлюз для раздачи белых IP (с шейпером и вообще биллингом), а я имел дело только с настройкой сервера на фряхе корпоративного формата (почта, веб-сервер, самба, фтп, раздача инета от одного прова)
вообщем статейки по биллингу нашел, но там упор идет на VPN, а мне нужно как бы пропустить просто траффик через мой сервак, и пустить его чистым к покупателю (т.е. Никаких NAT)
Вообщем чувствую что задача решается элементарно, но не могу никак понять где копать.
В наличии есть сервер, управляемый свитч, канал по оптике, диапазон из 10 белых IP.Подскажите пожалуйста куда покопать, с помощью чего это реализуется.
> Подскажите пожалуйста куда покопать, с помощью чего это реализуется.vlan per user + ip unnumbered
> В наличии есть сервер, управляемый свитч, канал по оптике, диапазон из 10
> белых IP.Если клиентов тоже 10 - то простая маршрутизация. Если клиентов больше 10 - то без nat не обойтись... проще всего pf nat с диапазоном...
>> В наличии есть сервер, управляемый свитч, канал по оптике, диапазон из 10
>> белых IP.
> Если клиентов тоже 10 - то простая маршрутизация. Если клиентов больше
> 10 - то без nat не обойтись... проще всего pf nat
> с диапазоном...Не понял, почему без NAT не обойтись. Развейте мысль, пожалуйста.
Топикстартеру:
Можно и как в предыдущем посте, через vlan per user и ip unnumbered, можно даже без этого, если свитчи управляемые и умеют traffic segmentation/private vlan/port isolate. Подсетка-то большая? Вы хоть объемы озвучьте.
>>> В наличии есть сервер, управляемый свитч, канал по оптике, диапазон из 10
>>> белых IP.
>> Если клиентов тоже 10 - то простая маршрутизация. Если клиентов больше
>> 10 - то без nat не обойтись... проще всего pf nat
>> с диапазоном...
> Не понял, почему без NAT не обойтись. Развейте мысль, пожалуйста.
> Топикстартеру:
> Можно и как в предыдущем посте, через vlan per user и ip
> unnumbered, можно даже без этого, если свитчи управляемые и умеют traffic
> segmentation/private vlan/port isolate. Подсетка-то большая? Вы хоть объемы озвучьте.Туплю с утра. Вопросы снимаются.
Чтобы клиенты не видели друг друга на канальном уровне, достаточно будет traffic segmentation или аналоги. Заведите их всех в одну подсетку, не обязательно тут ip unnumbered на 10 человек, пропишите 1 из ip себе на сервак, отдавайте его клиентам шлюзом по умолчанию. Всё.
>[оверквотинг удален]
>> Не понял, почему без NAT не обойтись. Развейте мысль, пожалуйста.
>> Топикстартеру:
>> Можно и как в предыдущем посте, через vlan per user и ip
>> unnumbered, можно даже без этого, если свитчи управляемые и умеют traffic
>> segmentation/private vlan/port isolate. Подсетка-то большая? Вы хоть объемы озвучьте.
> Туплю с утра. Вопросы снимаются.
> Чтобы клиенты не видели друг друга на канальном уровне, достаточно будет traffic
> segmentation или аналоги. Заведите их всех в одну подсетку, не обязательно
> тут ip unnumbered на 10 человек, пропишите 1 из ip себе
> на сервак, отдавайте его клиентам шлюзом по умолчанию. Всё.тоесть что бы не видели на канальном уровне? Мне не нужно их изолировать друг от друга, ведь смысл в этом какой? Фирма А поставит себе вебсайт, а Фирма Б туда не сможет зайти?
> тоесть что бы не видели на канальном уровне? Мне не нужно их
> изолировать друг от друга, ведь смысл в этом какой? Фирма А
> поставит себе вебсайт, а Фирма Б туда не сможет зайти?Чтоб клиент А не видел траффика клиента Б.
Чтоб они ходили только через ваш роутер.
А то я в многих ДЦ могу поснифать чужой траффик, в том числе служебный траффик инфраструктуры ДЦ.
>> тоесть что бы не видели на канальном уровне? Мне не нужно их
>> изолировать друг от друга, ведь смысл в этом какой? Фирма А
>> поставит себе вебсайт, а Фирма Б туда не сможет зайти?
> Чтоб клиент А не видел траффика клиента Б.
> Чтоб они ходили только через ваш роутер.
> А то я в многих ДЦ могу поснифать чужой траффик, в том
> числе служебный траффик инфраструктуры ДЦ.используя arp-spoofing ?
>> тоесть что бы не видели на канальном уровне? Мне не нужно их
>> изолировать друг от друга, ведь смысл в этом какой? Фирма А
>> поставит себе вебсайт, а Фирма Б туда не сможет зайти?
> Чтоб клиент А не видел траффика клиента Б.
> Чтоб они ходили только через ваш роутер.
> А то я в многих ДЦ могу поснифать чужой траффик, в том
> числе служебный траффик инфраструктуры ДЦ.блин чето настраиваю не могу понять уже что делаю...
Вот есть 2 сетевухи на серваке, в 1ю (rl0) втыкаем прова, 2я (rl1)идет на управляемый свитч
в rc.conf назначаем на rl0 ip выданный провом, на rl1 что назначать?
или там уже файрволлом назначать перенаправление с rl0 на rl1 и далее на свитч?
> или там уже файрволлом назначать перенаправление с rl0 на rl1 и далее
> на свитч?делаете мост на фряхе http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ne...
ручками ограничиваем клиентов на свитче (траффик сегментайшен или как он называется)
жестко прописывает таблицу адресов в /etc/ether (IP-MAC)
и скриптом прописываем роутинг
route add IP3 -iface rl1
route add IP4 -iface rl1
...и клиенты сами прописывают IP, иногда и МАС на своем оборудовании
>> или там уже файрволлом назначать перенаправление с rl0 на rl1 и далее
>> на свитч?
> делаете мост на фряхе http://www.freebsd.org/doc/ru/books/handbook/network-bridgin...если позволите, крохотное замечание, это старая и кривая реализация, заменим ссылку на
if_bridge:http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ne...
> ручками ограничиваем клиентов на свитче (траффик сегментайшен или как он называется)
> жестко прописывает таблицу адресов в /etc/ether (IP-MAC)
> и скриптом прописываем роутинг
>
> route add IP3 -iface rl1
> route add IP4 -iface rl1
> ...
>
> и клиенты сами прописывают IP, иногда и МАС на своем оборудовании
> if_bridge:
> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ne...Благодарю. Исправил.
>> if_bridge:
>> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ne...
> Благодарю. Исправил.Так-сс
Бридж поднял (rl1 и rl2), попытался создать на бридже vlan1 - не создает пишет.
ifconfig: SIOCSETVLAN: Protocol not supportedМожет впринципе и не нужно на bridge0 поднимать vlan... но как по другому?
-----------------------------------------------------------------------------------------
test# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:02:2a:e1:38:35
inet 192.168.12.10 netmask 0xffffff00 broadcast 192.168.12.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:30:4f:53:f2:ee
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl2: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:30:4f:53:f2:f2
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
pflog0: flags=0<> metric 0 mtu 33200
pfsync0: flags=0<> metric 0 mtu 1460
syncpeer: 224.0.0.240 maxupd: 128
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether ae:04:52:02:7e:e7
id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
member: rl2 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 3 priority 128 path cost 55
member: rl1 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 2 priority 128 path cost 55
vlan1: flags=8003<UP,BROADCAST,MULTICAST> metric 0 mtu 1500
ether 00:00:00:00:00:00
vlan: 0 parent interface: <none>
vlan2: flags=8003<UP,BROADCAST,MULTICAST> metric 0 mtu 1500
ether 00:00:00:00:00:00
vlan: 0 parent interface: <none>
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
test# cat /etc/rc.conf
#Управляющий интерфейс
ifconfig_rl0="inet 192.168.12.10/24"#Мост и vlan
cloned_interfaces="bridge0 vlan1 vlan2"
ifconfig_bridge0="addm rl1 addm rl2 up"
ifconfig_rl1="up"
ifconfig_rl2="up"
ifconfig_vlan1="inet 192.168.12.12/32 vlan 23 vlandev bridge0 up"
ifconfig_vlan2="inet 192.168.12.13/32 vlan 24 vlandev bridge0 up"
-----------------------------------------------------------------------------------------
>>> if_bridge:
>>> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ne...
>> Благодарю. Исправил.
> Так-сс
> Бридж поднял (rl1 и rl2), попытался создать на бридже vlan1 - не
> создает пишет.
> ifconfig: SIOCSETVLAN: Protocol not supported
> Может впринципе и не нужно на bridge0 поднимать vlan... но как по
> другому?Вам провайдер отдает vlan23 и vlan24?
Если вы юзерам нарезаете канал вланами, то надо вланы объединять с rl1 (который смотрит на провайдера).
В моей вышеприведенной схеме вланы не упоминаются.
Она вас чем-то не устраивает? у вашего свитча нет траффик сегментейшена?