https://www.opennet.ru/openforum/vsluhforumID1/82493.html Есть 2 линка в интернет. На одном реальный ЙП(ppp0), на другом серый(eth1). Дефолтный шлюз на сером линке.<br><br>Нужно чтобы asterisk слал запросы через линк с реальным ЙП.<br><br>Делаю:<br><br>iptables -t mangle -A OUTPUT -d ! 192.168.0.0/255.255.255.0 -m owner --uid-owner asterisk -j MARK --set-mark 255<br><br>ip route add 88.88.88.88 dev ppp0 table i_ip<br>ip route add default via 88.88.88.88 dev ppp0 table i_ip<br>ip rule add fwmark 255 pri 100 table i_ip<br>ip rule add from 88.88.88.88 pri 200 table i_ip<br><br>iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE<br><br>Пакеты от астериска уходят через ppp0, как и нужно, НО адрес источника у них не 88.88.88.88 а 192.168.254.2 (eth1, серый линк).<br><br>Как добиться SNAT на 88.88.88.88 для пакетов, идущих через ppp0?<br><br>iptables -t nat -A POSTROUTING -o ppp0 -j SNAT 88.88.88.88 дает тот же результат.<br> https://www.opennet.ru/openforum/vsluhforumID1/82493.html#14 Wed, 22 Oct 2008 07:13:00 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;У меня: внешний интерфейс, внешний айпи. Внутренний интерфейс, шлюзы. <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Как будет связь между * и шлюзом, если пакеты с _адреса_ внешнего <br>&gt;&gt;&gt;интерфейса пойдут во внешний интерфейс ? Правильно, никакая. <br>&gt;&gt;<br>&gt;&gt;вот именно потому, что связи никакой нет, решение с bindaddr и подошло <br>&gt;&gt;как временное. <br>&gt;<br>&gt;Это косяк настройки маршрутизации. _Не_всегда надо отправлять пакеты с адреса сетевой <br>&gt;карты в эту сетевую карту. <br><br>посоветуй доку, где раскрываются "идеологические" аспекты использования маршрутизации. доки по инструментарию у меня уже достаточно.<br> https://www.opennet.ru/openforum/vsluhforumID1/82493.html#13 Wed, 22 Oct 2008 06:27:47 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Да нихрена не так. Шлет он через тот интерфейс, через который ему <br>&gt;&gt;говорит таблица и правила маршрутизации. <br>&gt;&gt;<br>&gt;&gt;У меня: внешний интерфейс, внешний айпи. Внутренний интерфейс, шлюзы. <br>&gt;&gt;<br>&gt;&gt;Как будет связь между * и шлюзом, если пакеты с _адреса_ внешнего <br>&gt;&gt;интерфейса пойдут во внешний интерфейс ? Правильно, никакая. <br>&gt;<br>&gt;вот именно потому, что связи никакой нет, решение с bindaddr и подошло <br>&gt;как временное. <br><br>Это косяк настройки маршрутизации. _Не_всегда надо отправлять пакеты с адреса сетевой карты в эту сетевую карту.<br> https://www.opennet.ru/openforum/vsluhforumID1/82493.html#12 Wed, 22 Oct 2008 06:13:45 GMT &gt;&gt;Asterisk шлет запросы через тот интерфейс, на который он забинден. Это не совсем <br>&gt;&gt;то, что хотелось, но проблему решает. <br>&gt;<br>&gt;Да нихрена не так. Шлет он через тот интерфейс, через который ему <br>&gt;говорит таблица и правила маршрутизации. <br>&gt;<br>&gt;У меня: внешний интерфейс, внешний айпи. Внутренний интерфейс, шлюзы. <br>&gt;<br>&gt;Как будет связь между * и шлюзом, если пакеты с _адреса_ внешнего <br>&gt;интерфейса пойдут во внешний интерфейс ? Правильно, никакая. <br><br>вот именно потому, что связи никакой нет, решение с bindaddr и подошло как временное.<br><br>&gt;Пользуйтесь ip route. <br>&gt;<br>&gt;Команды, с которых следует начать: <br>&gt;<br>&gt;ip ru sh <br>&gt;<br>&gt;ip ro sh table main <br>&gt;ip ro sh table default https://www.opennet.ru/openforum/vsluhforumID1/82493.html#11 Wed, 22 Oct 2008 05:52:11 GMT корень проблемы:<br><br>&gt; Все пакеты астерикса изначально идут на default route eth1! Вот <br><br>почему правило для -o ppp0 -j SNAT не работает, а правило -o eth1 -j <br>SNAT --to-source 192.168.254.2 - да!<br>&gt;Дальше маркированный пакет с серым в попадает в ip route и уходит <br><br>через ppp0<br><br>отсюда решение:<br><br>добавляем в /etc/iproute2/rt_tables таблицу iip<br><br>делаем:<br>ip ru add from 88.88.88.88 table iip<br>ip ro add 88.88.88.88 dev ppp0 table iip<br>ip ro add default via 88.88.88.88 dev ppp0 table iip<br>ip ru add fwmark 255 pri 100 table iip<br>ip ru add from 88.88.88.88 pri 200 table iip<br>ip ru f c<br><br>iptables -t mangle -A OUTPUT -d ! 192.168.0.0/24 -m owner --uid-owner asterisk -j MARK --set-mark 255<br>iptables -t nat -A POSTROUTING -m mark --mark 255 -j SNAT --to-source 88.88.88.88<br><br>и все работает отлично.<br><br>спасибо mutronix с linux.org.ru.<br>http://www.linux.org.ru/view-message.jsp?msgid=3186294&nocache=-14381729#3189935<br> https://www.opennet.ru/openforum/vsluhforumID1/82493.html#10 Tue, 21 Oct 2008 14:19:17 GMT &gt;[оверквотинг удален]<br>&gt;&gt;iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source 88.88.88.88 <br>&gt;&gt;и убедится что пакеты не попадают в другое правило SNAT <br>&gt;&gt;<br>&gt;&gt;iptables-save <br>&gt;<br>&gt;Сабжевым способом решить проблемы с asterisk мне не удалось. <br>&gt;<br>&gt;PavelR с подсказал альтернативный способ - использовать опцию bindaddr астериска. Asterisk шлет <br>&gt;запросы через тот интерфейс, на который он забинден. Это не совсем <br>&gt;то, что хотелось, но проблему решает. <br><br>Да нихрена не так. Шлет он через тот интерфейс, через который ему говорит таблица и правила маршрутизации.<br><br>У меня: внешний интерфейс, внешний айпи. Внутренний интерфейс, шлюзы. <br><br>Как будет связь между * и шлюзом, если пакеты с _адреса_ внешнего интерфейса пойдут во внешний интерфейс ? Правильно, никакая.<br><br><br>Пользуйтесь ip route.<br><br>Команды, с которых следует начать:<br><br>ip ru sh <br><br>ip ro sh table main<br>ip ro sh table default <br> https://www.opennet.ru/openforum/vsluhforumID1/82493.html#9 Tue, 21 Oct 2008 13:04:05 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Как добиться SNAT на 88.88.88.88 для пакетов, идущих через ppp0? <br>&gt;&gt;<br>&gt;&gt;iptables -t nat -A POSTROUTING -o ppp0 -j SNAT 88.88.88.88 дает тот <br>&gt;&gt;же результат. <br>&gt;<br>&gt;iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source 88.88.88.88 <br>&gt;и убедится что пакеты не попадают в другое правило SNAT <br>&gt;<br>&gt;iptables-save <br><br>Сабжевым способом решить проблемы с asterisk мне не удалось.<br><br>PavelR с подсказал альтернативный способ - использовать опцию bindaddr астериска. Asterisk шлет запросы через тот интерфейс, на который он забинден. Это не совсем то, что хотелось, но проблему решает.<br> https://www.opennet.ru/openforum/vsluhforumID1/82493.html#8 Tue, 21 Oct 2008 12:54:57 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source 88.88.88.88 <br>&gt;&gt;&gt;и убедится что пакеты не попадают в другое правило SNAT <br>&gt;&gt;<br>&gt;&gt;пакеты в другое POSTROUTING правило не попадают. но с ppp0 идут с <br>&gt;&gt;неправильным ip. <br>&gt;&gt;<br>&gt;&gt;ощущение такое, что пакеты после OUTPUT сразу идут во внешку, хотя в <br>&gt;&gt;документации написано обратное. <br>&gt;<br>&gt;а если лог в самом начале POSTROUTING устроить? <br><br>устроил.<br>iptables -t nat -A POSTROUTING -o ppp0 -j LOG<br><br>один пакет в минуту:<br>Oct 21 15:50:08 gate kernel: IN= OUT=ppp0 SRC=192.168.254.2 DST=194.187.154.13 LEN=575 TOS=0x00 PREC=0x00 TTL=64 ID=24423 PROTO=UDP SPT=5060 DPT=63221 LEN=555<br>Oct 21 15:50:50 gate kernel: IN= OUT=ppp0 SRC=192.168.254.2 DST=194.187.154.13 LEN=539 TOS=0x00 PREC=0x00 TTL=64 ID=24424 PROTO=UDP SPT=5060 DPT=62877 LEN=519<br>Oct 21 15:51:08 gate kernel: IN= OUT=ppp0 SRC=192.168.254.2 DST=194.187.154.13 LEN=575 TOS=0x00 PREC=0x00 TTL=64 ID=24436 PROTO=UDP SPT=5060 DPT=63221 LEN=555<br><br>tcpdump -i ловит пакеты с неправильн https://www.opennet.ru/openforum/vsluhforumID1/82493.html#7 Tue, 21 Oct 2008 12:43:00 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;астериск имеет кучку опций, позволяющих указать, с какого адреса отправлять запросы. <br>&gt;&gt;<br>&gt;&gt;назовите хоть одну :) я только bindaddr из похожего нашел, но это <br>&gt;&gt;не то что нужно. <br>&gt;&gt;<br>&gt;<br>&gt;Специально для вас проверил: <br>&gt;<br>&gt;при выставленном bindaddr для sip, соединения между устройствами проходят с указанного адреса, <br>&gt;а не с адреса интерфейса, на котором устройства висят. <br><br>каюсь. действительно, именно так и есть.<br><br>&gt;[оверквотинг удален]<br>&gt;&gt;&gt;Далее в силу вступает "сага о двух провайдерах", широко и многократно описанная <br>&gt;&gt;&gt;на сайте. <br>&gt;&gt;<br>&gt;&gt;этих "саг" я уже ворох пересмотрел. все вокруг да около, готового решения <br>&gt;&gt;нет. <br>&gt;<br>&gt;Готовые решения - у майкрософта и прочих вендоров. <br>&gt;А если не понятен принцип ip ru / ip ro - извините. <br>&gt;<br>&gt;А там еще и флажки (fwmark) есть... <br><br>fwmark как раз работает - пакеты идут куда надо, но адрес отправителя в них стоит не тот. и как с этим бороться - не ясно.<br><br>в любом случае, с bindaddr проблема решается. спасибо за помощь!<br> https://www.opennet.ru/openforum/vsluhforumID1/82493.html#6 Tue, 21 Oct 2008 12:42:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;же результат. <br>&gt;&gt;<br>&gt;&gt;iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source 88.88.88.88 <br>&gt;&gt;и убедится что пакеты не попадают в другое правило SNAT <br>&gt;<br>&gt;пакеты в другое POSTROUTING правило не попадают. но с ppp0 идут с <br>&gt;неправильным ip. <br>&gt;<br>&gt;ощущение такое, что пакеты после OUTPUT сразу идут во внешку, хотя в <br>&gt;документации написано обратное. <br><br>а если лог в самом начале POSTROUTING устроить?<br>