https://opennet.me/openforum/vsluhforumID1/97488.html Есть следующая конфигурация на шлюзе:<br>Linux CentOS 7<br>WAN: enp1s0: 198.51.100.17/25 GW:198.51.100.19 <br>LAN: enp2s0: 192.0.2.1/24<br>Кроме того, провайдером выделено ещё дополнительный адрес 198.51.100.201, Машина (назовём её WILS) с этим адресом размещена в локальной сети.<br>Для того, чтобы WILS работал нормально, на сервере нужно исполнить следующую команду:<br>ip neigh add proxy 198.51.100.201 dev enp1s0<br>Я эту команду добавил в /etc/rc.d/init.d/network и последствия не заставили себя долго ждать, так как очередное обновление системы перезаписало этот файл и уничтожило эту команду.<br>Подскажите, а где правильно прописать эту команду?<br>Можно, конечно, создать сервис, который поднимает эту команду, но, возможно, есть более правильное решение?<br> https://opennet.me/openforum/vsluhforumID1/97488.html#12 Tue, 12 Nov 2019 05:47:52 GMT &gt; Я так и не понял одну важную деталь вашей конфигурации, но готов <br>&gt; на этом остановиться и пометку "использовать arp-proxy чтобы спрятать собственную инфраструкуру <br>&gt; от несотрудничающего админстратора сети" себе сделал.<br>&gt; Если вам покажется, что какой-то из методов которые я изложил, сделает вам <br>&gt; жизнь проще, и ситуация с временем и желанием изменится, то я <br>&gt; готов поделиться деталями.<br><br>На новогодних каникулах я планирую переделать существующую инфраструктуру. В частности, избавиться от arp-proxy - задача номер один.<br><br>Спасибо Вам за предложение.<br> https://opennet.me/openforum/vsluhforumID1/97488.html#11 Sat, 09 Nov 2019 12:02:26 GMT /etc/rc.local<br> https://opennet.me/openforum/vsluhforumID1/97488.html#10 Thu, 07 Nov 2019 17:55:26 GMT <br>&gt; Вариантов решения одной задачи несколько больше, чем один и каждый имеет право <br>&gt; на существование.<br><br>Разумеется. Я не преследую цель поддержать традицию ответов в духе "у вас всё неправильно, переделывайте", а наоборот, пытаюсь понять, какие разные способы используют другие, чтобы при случае пересмотреть собственные привычки. Ну, и делюсь своими, в надежде что оно кому-то окажется полезно.<br><br>&gt; ARP Proxy был применён в этой схеме ещё до меня, а мне <br>&gt; сейчас переделывать нет ни времени, ни желания.<br><br>Охотно верю, самому часто приходится заниматься увлекательным траблшутингом схем, сделанных до нас.<br><br>Я так и не понял одну важную деталь вашей конфигурации, но готов на этом остановиться и пометку "использовать arp-proxy чтобы спрятать собственную инфраструкуру от несотрудничающего админстратора сети" себе сделал.<br>Если вам покажется, что какой-то из методов которые я изложил, сделает вам жизнь проще, и ситуация с временем и желанием изменится, то я готов поделиться деталями.<br> https://opennet.me/openforum/vsluhforumID1/97488.html#9 Thu, 07 Nov 2019 10:21:09 GMT &gt; Вдруг это именно то, что спасет Кису Воробьянинова?<br><br>А кто этот Киса Воробьянинов?<br>Не отец ли русской демократии и гигант мысли по совместительству?<br> https://opennet.me/openforum/vsluhforumID1/97488.html#8 Thu, 07 Nov 2019 06:53:07 GMT &gt; В обоих случаях, необходимый функционал достигается стандартными средствами. В смысле, <br>&gt; распостранёнными и лёгкими для делегирования. Кроме того, он переносимыми с одного <br>&gt; типа устройства на другой, например, если взбредёт в голову сменить CentOS <br>&gt; на другой дистрибутив, или вообще на железное решение.<br><br>Вариантов решения одной задачи несколько больше, чем один и каждый имеет право на существование. <br>ARP Proxy был применён в этой схеме ещё до меня, а мне сейчас переделывать нет ни времени, ни желания.<br><br>&gt; Удачи.<br><br>Спасибо. Вам тоже.<br><br> https://opennet.me/openforum/vsluhforumID1/97488.html#7 Wed, 06 Nov 2019 17:59:11 GMT &gt;&gt; Ах, так WILS это виртуалка на шлюзе... На каком гипервизоре?<br>&gt; Не на шлюзе а на сервере (Proxmox) внутри LAN <br><br>Понятно, значит, я прочёл больше чем вы написали.<br><br>&gt;&gt; А вот с этого места непонятно. Серверу WILS присвоен адрес 198.51.100.201, но <br>&gt;&gt; он подключён (бриджем?) к LAN где сеть 192.0.2.1/24? И каким образом <br>&gt;&gt; шлюз узнаёт, что пакеты надо слать на WILS, у вас его <br>&gt;&gt; MAC где-то задан статически? (В таблице ARP? В /etc/ethers?) <br>&gt; Бриджем. Соответственно, пакеты arp летят свободно и WILS без особого напряга сообщает <br>&gt; в LAN (а значит и шлюзу) свою пару mac-ip <br><br>IMHO, какого-то элемента не хватает, чтобы у шлюза была причина запрашивать ARP до 198.51.100.201 на интерфейсе LAN, который совсем в другой сети. Ну ладно...<br><br>Ваш случай похож на вещи с которыми мне приходится время от времени сталкиваться, но мне как-то не приходило в голову решать это с помощью arp proxy. В зависимости от деталей и доступной инфраструкуры, обычно я выбираю из двух шаблонов:<br><br>1. Самое простое топологически, э https://opennet.me/openforum/vsluhforumID1/97488.html#6 Wed, 06 Nov 2019 10:45:41 GMT &gt;[оверквотинг удален]<br>&gt; Кроме того, провайдером выделено ещё дополнительный адрес 198.51.100.201, Машина (назовём <br>&gt; её WILS) с этим адресом размещена в локальной сети.<br>&gt; Для того, чтобы WILS работал нормально, на сервере нужно исполнить следующую команду: <br>&gt; ip neigh add proxy 198.51.100.201 dev enp1s0 <br>&gt; Я эту команду добавил в /etc/rc.d/init.d/network и последствия не заставили себя долго <br>&gt; ждать, так как очередное обновление системы перезаписало этот файл и уничтожило <br>&gt; эту команду.<br>&gt; Подскажите, а где правильно прописать эту команду?<br>&gt; Можно, конечно, создать сервис, который поднимает эту команду, но, возможно, есть более <br>&gt; правильное решение?<br><br>В анализаторе конфига есть такой параметр, как "OTHERSCRIPT", судя по всему популярностью не пользуется, но может попробовать? <br>Вдруг это именно то, что спасет Кису Воробьянинова?<br> https://opennet.me/openforum/vsluhforumID1/97488.html#5 Wed, 06 Nov 2019 06:26:36 GMT &gt; Ах, так WILS это виртуалка на шлюзе... На каком гипервизоре?<br><br>Не на шлюзе а на сервере (Proxmox) внутри LAN<br><br>&gt; А вот с этого места непонятно. Серверу WILS присвоен адрес 198.51.100.201, но <br>&gt; он подключён (бриджем?) к LAN где сеть 192.0.2.1/24? И каким образом <br>&gt; шлюз узнаёт, что пакеты надо слать на WILS, у вас его <br>&gt; MAC где-то задан статически? (В таблице ARP? В /etc/ethers?) <br><br>Бриджем. Соответственно, пакеты arp летят свободно и WILS без особого напряга сообщает в LAN (а значит и шлюзу) свою пару mac-ip<br><br>&gt; Просто, чтобы понять, почему нет возможности разместить "во вне". Есть какая-то причина <br>&gt; чтобы не создать, скажем, bridge-WAN, включить в него enp1s0 с 198.51.100.17 <br>&gt; и виртуальный интерфейс машины WILS с 198.51.100.201? Провайдер будет видеть в <br>&gt; сети WAN с вашей стороны два хоста, каждый со своим MACом <br>&gt; и IP, и подумает что у вас там подключен свич. Или <br>&gt; eму нельзя показывать незнакомые адреса MAC?<br><br>Ещё раз напоминаю то, что писал выше: шлюз и сервер VM - физически разные маш https://opennet.me/openforum/vsluhforumID1/97488.html#4 Wed, 06 Nov 2019 06:18:28 GMT &gt; arp proxy всего лишь пробрасывает мак-адрес WILSa ( "наружу" (конечно, провайдер должен <br>&gt; был прописать, что пакеты предназначенные для адреса 198.51.100.201 отправлять на мой <br>&gt; WAN, однако, он этого не сделал и договориться об этом невозможно. <br><br>Я примерно так и понял.<br><br>&gt; Разместить машину "во вне" так же нет возможности, так как WILS <br>&gt; - виртуалка, работающая на сервере внутри LAN). Таким образом, все пакеты <br>&gt; из-вне предназначенные для WILS попадают на WAN сервера.<br><br>Ах, так WILS это виртуалка на шлюзе... На каком гипервизоре?<br><br>&gt; А далее, пакеты предназначенные для WILS ..., просто пересылаются на нужный <br>&gt; интерфейс без [DS]NAT <br><br>А вот с этого места непонятно. Серверу WILS присвоен адрес 198.51.100.201, но он подключён (бриджем?) к LAN где сеть 192.0.2.1/24? И каким образом шлюз узнаёт, что пакеты надо слать на WILS, у вас его MAC где-то задан статически? (В таблице ARP? В /etc/ethers?)<br><br>Просто, чтобы понять, почему нет возможности разместить "во вне". Есть какая-то причина чтобы не соз