Здраствуйте. С FreeBsd знаком поверхностно поэтому и прошу вашей помощи...Мне нужно настроить сеть между двумя офисами, которые находятся через стенку. Задача такая: нужно настроить сеть так, чтобы эти два офиса видели друг друга (сетевое окружение, принтеры и пр.), а так же у каждой конторы свой интернет канал от одного провайдера. Нужно соответственно пускать одну контору через один интерфейс в инет, а другую через другой.
Имеется сервер на FreeBsd 5.4 IPFW, NAT.
1 Интерфейс 192.168.17.33 255.255.255.0 шлюз 192.168.17.101 смотрит в нет
2 Интерфейс 192.168.17.59 255.255.255.0 шлюз 192.168.17.101 смотрит в нет
3 Интерфейс (там любой ип, маска и шлюз)смотрит на свитч, через который подключены эти конторы.Надеюсь, ситуацию обрисовал подробно. Канечно многие скажут, что читай мол маны, но сделать это нужно в течение 3 дней. Не могли бы вы всё подробно расписать куда, что вставить и куда прописать... Наш админ говорит, что это можно сделать при помощи 5 строк, но помогать не хочет, приходится самому...
Заранее большое спасибо за советы :)
Если ты не админ, то и не делай. Взъебут потом админа. А если ты учишься, то учись, блин.... :-\Надеюсь тебе никто по делу ничего не скажут.
Конструктивно... Спасибо. Админу ничего не сделают ибо он не наш, а научиться боюсь не успеть, за такой короткий срок сложно.Помогите плиз в решении проблемы.
>Конструктивно... Спасибо. Админу ничего не сделают ибо он не наш, а научиться
>боюсь не успеть, за такой короткий срок сложно.
>
>Помогите плиз в решении проблемы.хм... по-моему это решается стандартными средствами шлюза... в rc.conf:
gateway_enable="YES"
static_routes="net1 net2"
route_net1="-net 172.18.4.0/24 172.18.5.2"
route_net2="-net 10.0.0.0/16 192.168.1.60" (только другие ip). Все.. В общем-то...
А при чем здесь nat ?
Nat нужен для вываливания в инет конторы, но никак не для связи между ними.
Если нет между ними прямого провода - нужно делать туннель. Vtund - проще всего.
Так нужно сделать чтобы конторы ходили в нет через свой интерфейс каждая, и между тем видели друг друга (сетевое окружение и прочее). Все провода идут в один сервер на FreeBsd. По поводу роутинга разве провайдер не должен прописать мою подсеть в в свою таблицу маршрутизации ? или я что-то путаю...
Провайдер ничего прописывать у себя не будет, поэтому и нужен нат как я понимаю.
>Так нужно сделать чтобы конторы ходили в нет через свой интерфейс каждая,
>и между тем видели друг друга (сетевое окружение и прочее). Все
>провода идут в один сервер на FreeBsd. По поводу роутинга
>разве провайдер не должен прописать мою подсеть в в свою таблицу
>маршрутизации ? или я что-то путаю...
>Провайдер ничего прописывать у себя не будет, поэтому и нужен нат как
>я понимаю.Так.. Называй подсеть первую и подсеть вторую (какой адрес сети и ее подмаска). И я тебе скажу что нужно сделать.
>Здраствуйте. С FreeBsd знаком поверхностно поэтому и прошу вашей помощи...
>
>Мне нужно настроить сеть между двумя офисами, которые находятся через стенку. Задача
>такая: нужно настроить сеть так, чтобы эти два офиса видели друг
>друга (сетевое окружение, принтеры и пр.), а так же у каждой
>конторы свой интернет канал от одного провайдера. Нужно соответственно пускать одну
>контору через один интерфейс в инет, а другую через другой.
>
>Имеется сервер на FreeBsd 5.4 IPFW, NAT.
>
>1 Интерфейс 192.168.17.33 255.255.255.0 шлюз 192.168.17.101 смотрит в нет
>2 Интерфейс 192.168.17.59 255.255.255.0 шлюз 192.168.17.101 смотрит в нет
>3 Интерфейс (там любой ип, маска и шлюз)смотрит на свитч, через который
>подключены эти конторы.интересно получается... два интерфейса находятся в одной сети... или в описании есть неточности?
>интересно получается... два интерфейса находятся в одной сети... или в описании есть неточности?А что странного?! Все правильно. Провайдеру надо видеть разницу между юзерами первой сети и второй, чтоб выставлять 2 счета. Вот они на роутер и поставили 2 интерфейса в свою локалку. А задача админа сделать так, чтобы эти счета в итоге были адекватны. Т.е. заворачивать траффик одной фирмы к провайдеру через 1-й интерфейс, а другой фирмы соответственно через 2-й.
Опиши подробно как настроена сеть в твоей локалке.
>3 Интерфейс (там любой ип, маска и шлюз)смотрит на свитч, через который подключены эти конторы.
у этих контор один свич, но просто прописаны разные ip-адреса на компах?
>>интересно получается... два интерфейса находятся в одной сети... или в описании есть неточности?
>
>А что странного?! Все правильно. Провайдеру надо видеть разницу между юзерами первой
>сети и второй, чтоб выставлять 2 счета. Вот они на роутер
>и поставили 2 интерфейса в свою локалку. А задача админа сделать
>так, чтобы эти счета в итоге были адекватны. Т.е. заворачивать траффик
>одной фирмы к провайдеру через 1-й интерфейс, а другой фирмы соответственно
>через 2-й.Вы сами-то пробовали так делать? как-то всё это странно... алиас я ещё могу понять... но два интерфейса в одной сети - это что-то... :)
Конечно же я так не делал. Ведь намного проще сделать алиас. Но тогда провайдеру надо контролировать корректность разброса траффика и всякая прочая мура. Ведь провайдер имеет свою законодательно-договорную базу и работает с учетом ее требований. Если в типовом договоре речь идет об оплате траффика через физическое подключение, то проще сделать 2 физических подключения, чем переписывать договор на подключение 2-х фирм по одной физике, но через разные алиасы - очень сложная документальная работа. Представте, сколько новых терминов надо ввести в договор, сколько условий обговорить. А так все просто: за траффик с этого порта платите вы, а с этого - вы. Кроме того, это может быть связано с биллинговой системой, считающей деньги по портам, а не по интерфейсам.А еще это может быть просто ошибка в постановке задачи автором топика :-)
>Конечно же я так не делал. Ведь намного проще сделать алиас. Но
>тогда провайдеру надо контролировать корректность разброса траффика и всякая прочая мура.
>Ведь провайдер имеет свою законодательно-договорную базу и работает с учетом ее
>требований. Если в типовом договоре речь идет об оплате траффика через
>физическое подключение, то проще сделать 2 физических подключения, чем переписывать договор
>на подключение 2-х фирм по одной физике, но через разные алиасы
>- очень сложная документальная работа. Представте, сколько новых терминов надо ввести
>в договор, сколько условий обговорить. А так все просто: за траффик
>с этого порта платите вы, а с этого - вы. Кроме
>того, это может быть связано с биллинговой системой, считающей деньги по
>портам, а не по интерфейсам.
>
>А еще это может быть просто ошибка в постановке задачи автором топика
>:-)попробуйте и результат тут выложите... вместе посмеёмся.... и зачем воду лить? :)
Я прям аж загорелся. Щас пойду ставить 3-ю карточку в шлюз. Имхо, раз алиасинг существует, то почему бы и 2-м сетевым картам на одном компе не смотреть в одну сеть?!Да и это ж не новинка. Load-balancing работает почти у всех по такому принципу. Например 2-х (4-х) портовые платы Intel могут делать транк со свичем по протоколу Intel или Cisco, а могут работать в режиме Adaptive Load Balancing как 2 интерфейса и разделять траффик по 2-м ip.
Мне кажется, все-таки на провайдера надо иметь один провод.
А НАТИть конторы на разные айпи-адреса. И пусть провайдер считает по этим адресам отдельно.
Либо раскидывай эти два провода на два отдельных рутера, и у каждой конторы прописывай свой шлюз и настраивай должным образом файрвол, чтоб конторы не могли пользоваться "не своим" шлюзом.
>Мне кажется, все-таки на провайдера надо иметь один провод.
>А НАТИть конторы на разные айпи-адреса. И пусть провайдер считает по этим
>адресам отдельно.
>Либо раскидывай эти два провода на два отдельных рутера, и у каждой
>конторы прописывай свой шлюз и настраивай должным образом файрвол, чтоб конторы
>не могли пользоваться "не своим" шлюзом.да нет, можно всё проще сделать... на каждую карту иметь двуххостовую сеть от провайдера... ну и пару копий ната и т.д. .......
Мы можем долго обсуждать как надо, а как не надо. Но перед человеком стоит задача с вот такими исходными данными. Он ее должен решить, причем в короткие сроки. Надо ему помочь, а не разводить демагогию по поводу правильности используемых решений.
>Мы можем долго обсуждать как надо, а как не надо. Но перед
>человеком стоит задача с вот такими исходными данными. Он ее должен
>решить, причем в короткие сроки. Надо ему помочь, а не разводить
>демагогию по поводу правильности используемых решений.ИМХО заджача описана не полно.... или провайдер и правда не верно огранизовал линк на роутер клиента...
>>Мы можем долго обсуждать как надо, а как не надо. Но перед
>>человеком стоит задача с вот такими исходными данными. Он ее должен
>>решить, причем в короткие сроки. Надо ему помочь, а не разводить
>>демагогию по поводу правильности используемых решений.
>
>ИМХО заджача описана не полно.... или провайдер и правда не верно огранизовал
>линк на роутер клиента...Да задача то тривиальна - только и провайдер, и админ в своих хвостах запутались.
Судячи по тому, что инетный интерфейс имеет фейковый адрес, и провайдер из локалки, и какой-то студент договор заключал, и админ не разобрался.
Для помощи требуется, чтобы человек _словами_ подробно объяснил задачу - без тех технических подробностей, в которых запутался
>>>Мы можем долго обсуждать как надо, а как не надо. Но перед
>>>человеком стоит задача с вот такими исходными данными. Он ее должен
>>>решить, причем в короткие сроки. Надо ему помочь, а не разводить
>>>демагогию по поводу правильности используемых решений.
>>
>>ИМХО заджача описана не полно.... или провайдер и правда не верно огранизовал
>>линк на роутер клиента...
>
>Да задача то тривиальна - только и провайдер, и админ в своих
>хвостах запутались.
>Судячи по тому, что инетный интерфейс имеет фейковый адрес, и провайдер из
>локалки, и какой-то студент договор заключал, и админ не разобрался.
>Для помощи требуется, чтобы человек _словами_ подробно объяснил задачу - без тех
>технических подробностей, в которых запуталсяНе знаю как во фре будут выглядеть настройки а в iptables это примерно так.
iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth1 -j SNAT --to-source 192.168.17.33
iptables -t nat -A POSTROUTING -s 192.168.0.3 -o eth1 -j SNAT --to-source 192.168.17.59iptables -t nat -A POSTROUTING -s 192.168.0.4 -o eth1 -j SNAT --to-source 192.168.17.33
iptables -t nat -A POSTROUTING -s 192.168.0.5 -o eth1 -j SNAT --to-source 192.168.17.59
и так далее (вроде все равельно)
Ну а если у обоих оффисов одна и таже подсеть то принторы и так далее они и так будут видеть если нет то на сервере надо подымать WINS сервер.
Вроде все.
>>>>Мы можем долго обсуждать как надо, а как не надо. Но перед
>>>>человеком стоит задача с вот такими исходными данными. Он ее должен
>>>>решить, причем в короткие сроки. Надо ему помочь, а не разводить
>>>>демагогию по поводу правильности используемых решений.
>>>
>>>ИМХО заджача описана не полно.... или провайдер и правда не верно огранизовал
>>>линк на роутер клиента...
>>
>>Да задача то тривиальна - только и провайдер, и админ в своих
>>хвостах запутались.
>>Судячи по тому, что инетный интерфейс имеет фейковый адрес, и провайдер из
>>локалки, и какой-то студент договор заключал, и админ не разобрался.
>>Для помощи требуется, чтобы человек _словами_ подробно объяснил задачу - без тех
>>технических подробностей, в которых запутался
>
>Не знаю как во фре будут выглядеть настройки а в iptables это
>примерно так.
>
>iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth1 -j SNAT --to-source
>192.168.17.33
>iptables -t nat -A POSTROUTING -s 192.168.0.3 -o eth1 -j SNAT --to-source
>192.168.17.59
>
>iptables -t nat -A POSTROUTING -s 192.168.0.4 -o eth1 -j SNAT --to-source
>192.168.17.33
>iptables -t nat -A POSTROUTING -s 192.168.0.5 -o eth1 -j SNAT --to-source
>192.168.17.59
>и так далее (вроде все равельно)
>Ну а если у обоих оффисов одна и таже подсеть то принторы
>и так далее они и так будут видеть если нет то
>на сервере надо подымать WINS сервер.
>Вроде все.Сори!!!
>iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth1 -j SNAT --to-source
>192.168.17.33
>iptables -t nat -A POSTROUTING -s 192.168.0.3 -o eth2 -j SNAT --to-source
>192.168.17.59
>
>iptables -t nat -A POSTROUTING -s 192.168.0.4 -o eth1 -j SNAT --to-source
>192.168.17.33
>iptables -t nat -A POSTROUTING -s 192.168.0.5 -o eth2 -j SNAT --to-source
>192.168.17.59
>Не знаю как во фре будут выглядеть настройки а в iptables это
>примерно так.
[skip]
>и так далее (вроде все равельно)
>Ну а если у обоих оффисов одна и таже подсеть то принторы
>и так далее они и так будут видеть если нет то
>на сервере надо подымать WINS сервер.
>Вроде все.
А вот и фигушки... бридж нужно строить...
И, если судить по распределению адресов - то таки бред получается.
Я не говорю, что такое невозможно реализовать - но зачем такая кривизна?
Имхо, исходно спутались.
Не думал что будет столько вариантов :)
Две сетевухи нужно из-за того, что провайдер привязывает ip к портам.
Я вам дал ip,маски и шлюза двух каналов в инет, а от вас прошу готовое решение, дайте в примере свои адреса подсет и прочее, я их сам пропишу на сервере (неважно какой ip будет у пользователя).Задача очень простая, может я не так её поставил... Две конторы должны видеть друг друга в сетевом окружении (самбу предлагать не нужно, думаю, если две конторы будут в одной подсети и с одинаковым шлюзом все друг друга увидят). Сервер должен натить (или что-то ещё там)ip одной конторы должны выходить в нет через одну сетевуху, другие через другую, надеюсь, понятно.
Задача как раз непростая, учитывая сколько нарушений допущены как провайдерами так и внутри конторы.Легче всего, если бы одна сетевуха смотрела в одну контору, а другая - в другую.
Тогда подымаются два ната - каждый для своей конторы. И подымается статик роут между двумя конторами.Теперь пробую понять архитектура сети вашей конторы.
Допустим все компы объединены в одну группу 10.0.0.0/24допустим машины с адресами 10.0.0.2-10.0.0.126 принадлежат одной фирме (10.0.0.0/25), а 10.0.0.129-10.0.0.254 (10.0.0.128/25)- другой.
10.0.0.1 - внутренний адрес сервера в сетиИ теперь прописываем статик роуте на сервере.
rc.conf:gateway_enable="YES"
static_routes="net1 net2"
route_net1="-net 10.0.0.0/25 192.168.17.33"
route_net2="-net 10.0.0.128/25 192.168.17.59"(http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/netwo...)
Надеюсь, правильно сконфигурировать сетевые карточки сумеешь.
>Задача как раз непростая, учитывая сколько нарушений допущены как провайдерами так и
>внутри конторы.
>
>Легче всего, если бы одна сетевуха смотрела в одну контору, а другая
>- в другую.
>Тогда подымаются два ната - каждый для своей конторы. И подымается статик
>роут между двумя конторами.
>
>Теперь пробую понять архитектура сети вашей конторы.
>Допустим все компы объединены в одну группу 10.0.0.0/24
>
>допустим машины с адресами 10.0.0.2-10.0.0.126 принадлежат одной фирме (10.0.0.0/25), а 10.0.0.129-10.0.0.254 (10.0.0.128/25)-
>другой.
>10.0.0.1 - внутренний адрес сервера в сети
>
>И теперь прописываем статик роуте на сервере.
>rc.conf:
>
>gateway_enable="YES"
>static_routes="net1 net2"
>route_net1="-net 10.0.0.0/25 192.168.17.33"
>route_net2="-net 10.0.0.128/25 192.168.17.59"
>
>(http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/netwo...)
>
>Надеюсь, правильно сконфигурировать сетевые карточки сумеешь.
Огромное спасибо вам, вы дали очень хороший ответ на мой вопрос. В сетевухах проблем нет, поставлю 4. Не могли бы вы ещё написать как поднять нат для этого всего, а именно правила (add divert ...) для моего примера.Всем огромное спасибо за отзывчивость :)
43
>43
И что это значит ?
>>43
>
>И что это значит ?Наверное, имелось ввиду "answer to life, the universe and everything".
Гугл подскажет
>Огромное спасибо вам, вы дали очень хороший ответ на мой вопрос. В
>сетевухах проблем нет, поставлю 4. Не могли бы вы ещё написать
>как поднять нат для этого всего, а именно правила (add divert
>...) для моего примера.
>
>Всем огромное спасибо за отзывчивость :)А теперь иди кури факи. Здесь их дофига и в разных вариантах "Как поднять NAT на FreeBSD".
P.S. Ничего личного.
Спасибо и на этом, буду курить маны, но боюсь не успеть осознать всё к сроку...