Подскажите варианты реализации такой схемы :
Сервер FreeBSD внешним интерфейсом включен в Internet через частную сеть провайдера 10.x.x.x
Один из внутренних интерфейсов включен в корпоративную частную сеть 192.168.1.x
Второй - в сеть с Internet адресами, отдаваемую провайдером.Задача обеспечить клиентов из корпоративной сети интернетом (задействовав 1 Internet адрес, NAT).
Проблема решения задачи в лоб ( по мануалу через natd+divert) : клиент на выходе получает адрес из 10 сети и такой пакет, разумеется в Интернет от провайдера не выйдет.
Возможно, нужно "навешивать" клиенту адрес с внутреннего интерфейса с Internet адресами, но тот не является для клиента "транзитным". В общем, не хватает прикладных знаний.
Заранее спасибо.
> Проблема решения задачи в лоб ( по мануалу через natd+divert) :
> клиент на выходе получает адрес из 10 сети и такой пакет,куда пакет пошел, тот адрес и получил - хинт "роутинг"
> разумеется в Интернет от провайдера не выйдет.а чо нет то, если он, антернет, сам по себе корректно настроен ... через любого провайдера (интерфейс) уйдет
> Возможно, нужно "навешивать" клиенту адрес с внутреннего интерфейса с Internet адресами,
> но тот не является для клиента "транзитным". В общем, не хватает
> прикладных знаний.
> Заранее спасибо.надо для начала задачу хотя бы сформулировать четко ...
1. Двойной НАТ не должен быть проблемой. Потому вниательно вчитайтесь в правила фаервола.
2. Не стоит в 2012 году использовать natd, когда в ядре есть libalias и ядерный nat.
>[оверквотинг удален]
> Второй - в сеть с Internet адресами, отдаваемую провайдером.
> Задача обеспечить клиентов из корпоративной сети интернетом (задействовав 1 Internet адрес,
> NAT).
> Проблема решения задачи в лоб ( по мануалу через natd+divert) :
> клиент на выходе получает адрес из 10 сети и такой пакет,
> разумеется в Интернет от провайдера не выйдет.
> Возможно, нужно "навешивать" клиенту адрес с внутреннего интерфейса с Internet адресами,
> но тот не является для клиента "транзитным". В общем, не хватает
> прикладных знаний.
> Заранее спасибо.Ужасная терминология, ничего не ясно. Попробуйте объяснить более детально.
>[оверквотинг удален]
>> Задача обеспечить клиентов из корпоративной сети интернетом (задействовав 1 Internet адрес,
>> NAT).
>> Проблема решения задачи в лоб ( по мануалу через natd+divert) :
>> клиент на выходе получает адрес из 10 сети и такой пакет,
>> разумеется в Интернет от провайдера не выйдет.
>> Возможно, нужно "навешивать" клиенту адрес с внутреннего интерфейса с Internet адресами,
>> но тот не является для клиента "транзитным". В общем, не хватает
>> прикладных знаний.
>> Заранее спасибо.
> Ужасная терминология, ничего не ясно. Попробуйте объяснить более детально.Попробую еще раз.
Провайдер подключил организацию к интернету через частную "технологическую" сеть 10.0.0.0/24 (интерфейс маршрутизатора на стороне провайдера : 10.0.0.1 , физический интерфейс сервера на стороне клиента : 10.0.0.2 ), обеспечив маршрутизацию в Internet подсеть : 80.80.80.0/27
В данную сеть сервер включен физическим интерфейсом2 (адрес 80.80.80.1). Физический интерфейс3 сервера (адрес 192.168.0.1) включен в "интранет" сеть организации (192.168.0.0/24). Задача обеспечить выход пользователей, находящихся в Интранет сети организации в Internet. OS на сервере - FreeBSD 8.2 Все адреса условные.Спасибо за терпение.
>[оверквотинг удален]
> Попробую еще раз.
> Провайдер подключил организацию к интернету через частную "технологическую" сеть 10.0.0.0/24
> (интерфейс маршрутизатора на стороне провайдера : 10.0.0.1 , физический интерфейс сервера
> на стороне клиента : 10.0.0.2 ), обеспечив маршрутизацию в Internet подсеть
> : 80.80.80.0/27
> В данную сеть сервер включен физическим интерфейсом2 (адрес 80.80.80.1). Физический интерфейс3
> сервера (адрес 192.168.0.1) включен в "интранет" сеть организации (192.168.0.0/24). Задача
> обеспечить выход пользователей, находящихся в Интранет сети организации в Internet. OS
> на сервере - FreeBSD 8.2 Все адреса условные.
> Спасибо за терпение.Схему лучше нарисуйте.
А то что-то непонятно, при чем тут интерфейс 1 с серым айпишником от провайдера, если есть интерфейс 2 с белым айпишником, на кой черт тогда вообще нужен первый.
А вообще идея проста - делаете у себя NAT на выданный провайдером адрес, отдаете внутренней сети через dhcp свой сервер шлюзом по умолчанию, и радуетесь жизни.
>[оверквотинг удален]
>>> Задача обеспечить клиентов из корпоративной сети интернетом (задействовав 1 Internet адрес,
>>> NAT).
>>> Проблема решения задачи в лоб ( по мануалу через natd+divert) :
>>> клиент на выходе получает адрес из 10 сети и такой пакет,
>>> разумеется в Интернет от провайдера не выйдет.
>>> Возможно, нужно "навешивать" клиенту адрес с внутреннего интерфейса с Internet адресами,
>>> но тот не является для клиента "транзитным". В общем, не хватает
>>> прикладных знаний.
>>> Заранее спасибо.
>> Ужасная терминология, ничего не ясно. Попробуйте объяснить более детально.Итак, я понял что мы имеем подключение к провайдеру через некий интерфейс (rl0) 10.0.0.2/24. На этот интерфейс на этот адрес провайдером маршрутизируется белая сеть 80.80.80.0/27.
Так вот. Для вывода в инет пользователей локалки (rl1) 192.168.0.0/24
Вы делаете обычный nat как вы его умеете делать, на интерфейсе rl0 но с белым адресом из 80.80.80.0/27.
Заметьте, что про наличие rl2 80.80.80.1/27 мы вообще " забыли ", т.е. на задачи nat оно по сути и не влияет.
Читайте предложение двумя строками выше.
>[оверквотинг удален]
>>> Ужасная терминология, ничего не ясно. Попробуйте объяснить более детально.
> Итак, я понял что мы имеем подключение к провайдеру через некий интерфейс
> (rl0) 10.0.0.2/24. На этот интерфейс на этот адрес провайдером маршрутизируется белая
> сеть 80.80.80.0/27.
> Так вот. Для вывода в инет пользователей локалки (rl1) 192.168.0.0/24
> Вы делаете обычный nat как вы его умеете делать, на интерфейсе rl0
> но с белым адресом из 80.80.80.0/27.
> Заметьте, что про наличие rl2 80.80.80.1/27 мы вообще " забыли ", т.е.
> на задачи nat оно по сути и не влияет.
> Читайте предложение двумя строками выше.Да, тут вот для меня и загвоздка : как же повесить на rl0 nat с адресом из "белой" сети. Можно пример? Я не знаю такой строки, что-бы опцией для NAT задавала желаемый "подменный" адрес (например с другого интерфейса)
>[оверквотинг удален]
>> Так вот. Для вывода в инет пользователей локалки (rl1) 192.168.0.0/24
>> Вы делаете обычный nat как вы его умеете делать, на интерфейсе rl0
>> но с белым адресом из 80.80.80.0/27.
>> Заметьте, что про наличие rl2 80.80.80.1/27 мы вообще " забыли ", т.е.
>> на задачи nat оно по сути и не влияет.
>> Читайте предложение двумя строками выше.
> Да, тут вот для меня и загвоздка : как же повесить на
> rl0 nat с адресом из "белой" сети. Можно
> пример? Я не знаю такой строки, что-бы опцией для NAT задавала
> желаемый "подменный" адрес (например с другого интерфейса)тогда для меня загвоздка, как вы _вообще_ запускаете нат ?
>[оверквотинг удален]
>> Так вот. Для вывода в инет пользователей локалки (rl1) 192.168.0.0/24
>> Вы делаете обычный nat как вы его умеете делать, на интерфейсе rl0
>> но с белым адресом из 80.80.80.0/27.
>> Заметьте, что про наличие rl2 80.80.80.1/27 мы вообще " забыли ", т.е.
>> на задачи nat оно по сути и не влияет.
>> Читайте предложение двумя строками выше.
> Да, тут вот для меня и загвоздка : как же повесить на
> rl0 nat с адресом из "белой" сети. Можно
> пример? Я не знаю такой строки, что-бы опцией для NAT задавала
> желаемый "подменный" адрес (например с другого интерфейса)ifconfig -a
netstat -r
Может так что-то понятней станет.
А мне топология совсем непонятна. Можно нарисовать?