URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15237
[ Назад ]

Исходное сообщение
"настройка двух gateway, идущих один за другим. freeBSD 6.3 stable"

Отправлено greenwar , 13-Янв-08 19:54 
вообщем, внутренний сервер, аля DMZ, организовываю, а чего-то не может локалка в инет попасть через него
схема следующая: локалко -> gateway1 (GW1 он же DMZ) -> GW2, куда воткнут кабель провайдера
на этом DMZ прокси подняты, мейл-сервер.. вообщем, все сервисы, которые нужны локалке для выхода в инет. сама локалка выход в инет прямой не имеет, бо блокировано правилами ipfw на DMZ-сервере
но я тестировал с allow all from any to any
не хочетъ.

настройки такие:
gateway_enable="YES" - на обоих серверах

GW1
IP1 192.168.15.99/24 - смотрит в локалку
IP2 192.168.20.99/24 - кабель к GW2
default router 192.168.20.14

GW2
IP1 192.168.20.14/24 - кабель от GW1
IP2 провайдерский IP
default router провайдерский GW

короче: локалка -> DMZ -> GW -> inet

ну вот.. с машины 192.168.15.1/24 пингуем 192.168.20.14
в логах GW1 всё прошло.. пришло с интерфейса локалки, ушло на интерфейс до GW2
в логах GW2 он принимает по интерфейсу от GW1 пакет ICMP 8 и запускает в инет ICMP 0.. ну типа там ищите 192.168.20.14, хотя он сам же им и является..
с самого GW2 не пингуется 15.1
химичил, танцевал с бубном - всё по учебнику
сделал route add 192.168.15.1 192.168.20.99
15.1 стал пинговаться со шлюза (15.1 - это виндусовая машина, кстати, на которой дефолтом прописан роутер GW1)
был момент в этих танцах, когда пинговался и сам 20.14 с 15.1
но в инет попасть так и не удалось... короче я чувствую, что не до конца понимаю, что я делаю так, а что не так...
скажите пожалуйста, как оно правильно делается? направление таксказать
подозреваю, что если везде руками роуты попрописать, оно заработает.. но это же не наш метод - руки то обламывать :) как бы его обойти?


Содержание

Сообщения в этом обсуждении
"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено mixa , 14-Янв-08 06:05 
>[оверквотинг удален]
>которой дефолтом прописан роутер GW1)
>был момент в этих танцах, когда пинговался и сам 20.14 с 15.1
>
>но в инет попасть так и не удалось... короче я чувствую, что
>не до конца понимаю, что я делаю так, а что не
>так...
>скажите пожалуйста, как оно правильно делается? направление таксказать
>подозреваю, что если везде руками роуты попрописать, оно заработает.. но это же
>не наш метод - руки то обламывать :) как бы его
>обойти?

А GW1 в инет нормально выходит?
А так, все правильно, GW2 НЕ ЗНАЕТ, где искать вашу 15-ю сеть (192.168.15.0/24)
У неё, видимо, есть только дефолтный маршрут, куда GW2 все добросовестно и перенаправляет.
Пропишите маршруты и будет вам счастье.
Например так:
На GW2 в /etc/rc.conf
static_routes="netl5"
route_net15="-net 192.168.15.0/24 192.168.20.99"
Ну или на худой конец можно так (если есть еще серые сети из 192.168.0.0/16, но так делать не рекомендуется)
static_routes="local"
route_local="-net 192.168.0.0/16 192.168.20.99"


"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено greenwar , 14-Янв-08 21:26 
проблема была в нате.. был прописан на GW2 в rc.conf, а в ipfw не было :)
прописал на выход и на вход - заработали пинги..
днс не локапится теперь
даже если allow from any to any на обоих GW
имеем пингующийся днс прова, а если его прописать в resolv.conf, то домены в инете не пингуются
по логам уходит на IP-днс-прова
всё прошло, потом возвращается с адресом внешнего интерфейса на GW2
но толку никакого
пробовал намед подключать/отключать с прослушиванием всех возможных интерфейсов - не помогает..
пробовал форвардить на локалхост,53 через ipfw..
IP-днс-прова пингуется даже с .15.1, но если прописать в настройках днс его - сайты не отдадутся
пробывал также с GW2 всё, что приходит на внешний 53 порт, форвардить на GW1 53..
4 часа сверх рабочего графика, а проблема осталась :(

"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено mixa , 15-Янв-08 08:53 
>[оверквотинг удален]
>по логам уходит на IP-днс-прова
>всё прошло, потом возвращается с адресом внешнего интерфейса на GW2
>но толку никакого
>пробовал намед подключать/отключать с прослушиванием всех возможных интерфейсов - не помогает..
>пробовал форвардить на локалхост,53 через ipfw..
>IP-днс-прова пингуется даже с .15.1, но если прописать в настройках днс его
>- сайты не отдадутся
>пробывал также с GW2 всё, что приходит на внешний 53 порт, форвардить
>на GW1 53..
>4 часа сверх рабочего графика, а проблема осталась :(

Если на GW2 в resolv.conf указать ДНС вашего провайдера, то тогда сам GW2 нормально, скажем, google.com пингает?
Если да, то поднимите кеширующий днс на GW2 и укажите его в настройках для остальных компутеров и GW1
Хотя, я уже не понимаю, где у вас затык. Ну просто тупо попингать, запустить трассировку на тот же ya.ru с любой машины в сети, каков результат? А если пингать не по имени а по IP дресу? (213.180.204.8)



"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено greenwar , 15-Янв-08 10:47 
>Если на GW2 в resolv.conf указать ДНС вашего провайдера, то тогда сам
>GW2 нормально, скажем, google.com пингает?
>Если да, то поднимите кеширующий днс на GW2 и укажите его в
>настройках для остальных компутеров и GW1
>Хотя, я уже не понимаю, где у вас затык. Ну просто тупо
>попингать, запустить трассировку на тот же ya.ru с любой машины в
>сети, каков результат? А если пингать не по имени а по
>IP дресу? (213.180.204.8)

GW2 то всё нормально делает, он вообще по умолчанию работал (и работает пока) шлюзом для локалки с поднятым кеширующим биндом
это я щас дополнительный DMZ-шлюз впихиваю между ним и локалкой
вот с ним то и затык
а если на обоих GW поднимать бинды, то смысл в двух GW ?
хотелось бы с внутреннего сервака работать с инетом
хотя может я всё усложняю и есть смысл оставить 1 GW с DMZ зоной :)


"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено mixa , 15-Янв-08 12:41 
>[оверквотинг удален]
>
>GW2 то всё нормально делает, он вообще по умолчанию работал (и работает
>пока) шлюзом для локалки с поднятым кеширующим биндом
>это я щас дополнительный DMZ-шлюз впихиваю между ним и локалкой
>вот с ним то и затык
>а если на обоих GW поднимать бинды, то смысл в двух GW
>?
>хотелось бы с внутреннего сервака работать с инетом
>хотя может я всё усложняю и есть смысл оставить 1 GW с
>DMZ зоной :)

Все-таки, мне кажется, что у вас с маршрутизацией проблема.


"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено universite , 16-Янв-08 01:49 

>Все-таки, мне кажется, что у вас с маршрутизацией проблема.

+10

мне особенно не нравится:
IP2 192.168.20.99/24 - кабель к GW2
IP1 192.168.20.14/24 - кабель от GW1

Что мешает на в одну машину воткнуть оба линка от провайдера и линк в локалку?
Поднять два NATа и rout'ами прописать часть сетей назначения через не дефолт шлюз?


"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено greenwar , 16-Янв-08 09:35 
>мне особенно не нравится:
>IP2 192.168.20.99/24 - кабель к GW2
>IP1 192.168.20.14/24 - кабель от GW1
>
>Что мешает на в одну машину воткнуть оба линка от провайдера и
>линк в локалку?
>Поднять два NATа и rout'ами прописать часть сетей назначения через не дефолт
>шлюз?

а почему "особенно" ? два интерфейса на разных машинах соединены кабелем и находятся в одной сети
P.S. от провайдера 1 линк..
P.P.S. а демон роутинга нужен где-нибудь или руками всё статично вбивать?


"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено universite , 16-Янв-08 14:36 

>а почему "особенно" ? два интерфейса на разных машинах соединены кабелем и
>находятся в одной сети

у вас что-то не то с роутингом.
Делайте схемку и по шагам проверяйте работу всех участков.
Скорее всего, придется добавить пару статических роутов


"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено greenwar , 16-Янв-08 15:12 
ну схемка простая:
локалка (192.168.15.0/24) -> свитч -> GW1 (192.168.15.99/24 (смотрит в локалку), 192.168.20.99/24 (смотрит на GW2) на GW1 собраны squid, bind планируется mail туда же собирать. короче, локалка имеет доступ к нему, а к инету прямого доступа не имеет) -> GW2 (192.168.20.14/24 + интерфейс с провайдерским IP)

на GW2 я прописывал route add 192.168.15.0 192.168.20.99
без него не пингуется ни .15. с GW2, ни GW2 с .15.


"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено universite , 16-Янв-08 15:51 
>ну схемка простая:
>локалка (192.168.15.0/24) -> свитч -> GW1 (192.168.15.99/24 (смотрит в локалку), 192.168.20.99/24 (смотрит на GW2) на GW1 собраны squid, bind планируется mail туда же собирать. короче, локалка имеет доступ к нему, а к инету прямого доступа не имеет) -> GW2 (192.168.20.14/24 + интерфейс с провайдерским IP)
>
>на GW2 я прописывал route add 192.168.15.0 192.168.20.99

route add 192.168.15.0/24 192.168.20.99
так правильнее

>без него не пингуется ни .15. с GW2, ни GW2 с .15.
>

Надо на GW2 натить не только 192.168.20.0/24, но и 192.168.15.0/24



"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено greenwar , 16-Янв-08 16:39 
>Надо на GW2 натить не только 192.168.20.0/24, но и 192.168.15.0/24

там просто прописан нат, который натит всё, что к нему приходит


"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено universite , 16-Янв-08 16:58 
>>Надо на GW2 натить не только 192.168.20.0/24, но и 192.168.15.0/24
>
>там просто прописан нат, который натит всё, что к нему приходит

Укажите явным образом сети, которые надо натить.


"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено greenwar , 17-Янв-08 22:25 
не надо там ничё явно указывать
во-1, надо было сделать редирект в правилах файрвола GW2: fwd GW1-IP udp from any to any 53 in via внешний_интерфейс
во-2, на данном этапе у меня ходят пинги в инет через бинд на GW1
мало того, они даже ходят с GW2, у которого в resolv.conf прописан днсом GW1

непонятка с локалкой осталась.. в логах НЕ ОТОБРАЖАЕТСЯ ни одного deny при попытке достигнуть ДНС из 192.168.15.1
при этом, если в браузере написать IP того же ya.ru, он откроется
но домен->IP ни-ни
не понятно почему не может достичь ДНС.. каждое правило в ipfw логируется, а в security нет ни строчки от 15.1, кроме броадкастов по 137-138 портам oO
буду ковырять дальше..


"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено dmitriy_rsl , 17-Янв-08 22:38 
>[оверквотинг удален]
>
>непонятка с локалкой осталась.. в логах НЕ ОТОБРАЖАЕТСЯ ни одного deny при
>попытке достигнуть ДНС из 192.168.15.1
>при этом, если в браузере написать IP того же ya.ru, он откроется
>
>но домен->IP ни-ни
>не понятно почему не может достичь ДНС.. каждое правило в ipfw логируется,
>а в security нет ни строчки от 15.1, кроме броадкастов по
>137-138 портам oO
>буду ковырять дальше..

Результат ifconfig -a, netstat -rn, ipfw show покажите на обоих роутерах.


"Народ поделитесь опытом ) надо конфиги раочие и маны по pf+a..."
Отправлено Taras , 25-Фев-08 01:41 
Народ привет есле есть у кого маны и рабочие конфиги кому нежалко поделитесь а то есть некоторые вещи с которыми сутками играюсь .... зарание благодарен всем кто отзовется )))
P.s. Юзаю PF более мение нормально а вот с altq напряги ... помогите плиззз ))

"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено dmitriy_rsl , 25-Фев-08 14:29 
>[оверквотинг удален]
>Вопрос №1:Почему  нельзя установить специализированный Linux-дистрибутив?, например vyatta, на сайте, которого
>есть адекватная документация, причем хочу заметить, что данная настройка осущетсвляется без
>применения: "бубнов", "напильников", "химичинья" и прочих freebsd-инструментов.
>Вопрос №2: Почему нельзя использовать аппаратные решения, наприер Cisco ?
>(возможный ответ : религия freebsd называет все патное ПО и АО -
>самым тяжким грехом)
>Вопрос №3: Покаким критериям Вы оцениваете надежность и маштабируемость решения, а также
>при помощи каких средств решается отказоустойчивость конструкции ?
>Вопрос №4 Есть ли в Вашем "подразделение" помимо Вас специалисты в области
>сетевых технологий, а так же системный архитектор ?

опять Linux.... ну-ну... еще и напильники какие-то в FreeBSD для стандартных средств... Вы уважаемый хоть когда-то FreeBSD в глаза видели? Cisco - не спорю, классное решение... А денег на нее человеку тоже подарите? А если не подарите - не флудите.

А по сабжу скажу такое: когда мне нужно было сделать DMZ я использовал флаги natd, к примеру так:
natd_flags="-s -m -dynamic -redirect_port tcp 10.0.0.1:6000-6010 6000-6010"
И этот вариант работал лучше чем изголяться с ipfw fwd.


"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено chesnok , 25-Фев-08 17:51 
15.1 стал пинговаться со шлюза (15.1 - это виндусовая машина, кстати, на которой дефолтом прописан роутер GW1)
был момент в этих танцах, когда пинговался и сам 20.14 с 15.1
но в инет попасть так и не удалось... короче я чувствую, что не до конца понимаю, что я делаю так, а что не так...

по-моему данное высказывание свидетельсвует о не понимание сути.
было-бы здорово получить здравы и адекватные ответы на мои вопросы
А что для Вас дорого?
А почему Вы решили, что это дорого, а вот это не дорого ?
ненужно мерить по-своим понятям, которых между прочим видимо нет.
Откройте документацию к vyatta и посмотрите - там вполне доступно описано
опять повторюсь без "бубнов", "напильников", "танцев"...и тд


2модератор: Почему Вы удали мое сообщение? В нем разве содержиться офф-топик или оскорбление freebsd ?


"настройка двух gateway, идущих один за другим. freeBSD 6.3 s..."
Отправлено greenwar , 07-Мрт-08 07:13 
>2модератор: Почему Вы удали мое сообщение? В нем разве содержиться офф-топик или
>оскорбление freebsd ?

в нём походу содержалось ещё больше тафтологии, чем в этом сообщении, а главное - непонимание сути этой ветки


>Откройте документацию к vyatta и посмотрите - там вполне доступно описано
>опять повторюсь без "бубнов", "напильников", "танцев"...и тд

ЗАКРОЙТЕ документацию к vyatta. где я про vyatta писал? нах она мне нужна? сам её юзай и понимай.