https://opennet.ru/openforum/vsluhforumID1/88825.html Приветствую, <br><br>Имею в наследство такую конфигурацию:<br>Fedora 6, 2.6.22.14-72.fc6<br>eth1 - в провайдера &#8470;1, имеет внешний IP<br>eth1.100 - влан внутри провайдера &#8470;1 для связи между объектами (радио между зданиями)<br>eth0 - локальная сеть<br>eth0:1 - алиас для vpn (pptpd)<br><br>ADSL'ный модем воткнут в eth0 и настроен роутером для доступа к провайдеру &#8470;2. В настройках Федора установлена как DMZ.<br><br>По-мелочам: в мир с двух айпишников "смотрят" почтовые порты через DNAT, прозрачный сквид для сотрудников, шифрованный впн, nat. Почтовики и всякая дрянь доступна через eth0 и/или через eth0:1<br><br>Оно почти работает :)<br>Т.е. я не могу получать входящие соединения (например, VPN) по двум каналам одновременно.<br>Постоянно испытываю проблемы в случаи падения одного из каналов - приходится руками скрипты запускать и в GUI править default gateway. Мало того, получаю десятки звонков в стиле "на какой айпи коннектиться?".<br><br>Много чего прочитал на opennet.ru и вот варианты, который удалось найти:<br>1. коннект с двух https://opennet.ru/openforum/vsluhforumID1/88825.html#4 Tue, 11 May 2010 11:58:05 GMT &gt;Иметь свою AS неплохо, но тут тоже есть подводные камни. Ладно если <br>&gt;канал упал и лежит, а если пропадание скачет? Время перестройки таблиц <br>&gt;и анонсирование на рутерах занимает длительное время, если туда-сюда скакать, до <br>&gt;20 минут может уйти. <br><br>Лично у меня получилось вот так:<br>eth0 - локальная сеть, она же для канала &#8470;2<br>eth0:1 - локальная сеть для VPN-щиков.<br>eth1 - канал &#8470;1 в интернет<br>eth1.100 - VLAN между офисом и складом, проброшенный внутри канала &#8470;1<br>ppp0-pppXX - VPN подключения пользователей за пределами офиса/склада.<br>192.168.0.XXX - локальные пользователи.<br><br>Ограничения: всего 2 физических интерфейса, непонимание разных-там-протоколов и всякой всячины. Только Linux-платформа. Срок выполнения с отрицательным значением. <br>Задача: создать сказку для всех пользователей.<br><br>Результат: пользователи из офиса/склада ходят там, где надо (мир + локал), внешние пользователи могут использовать как внутренние, так и внешние сервисы.<br><br>=== скрипт<br>#!/bin/sh<br>PATH=/usr/sbin:/sbin:/bin https://opennet.ru/openforum/vsluhforumID1/88825.html#3 Thu, 29 Apr 2010 07:27:41 GMT &gt;В моем текущем ядре это включено, но не спасает меня от вопросов <br>&gt;пользователей "на какой ип коннектиться?" в случаи падения канала. Хотелось бы <br>&gt;уйти от этих вопросов. <br>&gt;Вижу теоретический выход в приобретении AS и установки quagga, переделать у пользователей <br>&gt;ИП на доменное имя (две записи IN A) и наслаждаться. Я <br>&gt;и сам понимаю, что мне 255 айпишек не нужны, но меньше <br>&gt;купить невозможно. <br>&gt;Останется только настроить всё это, но это отдельная тема. <br><br>Правильно думаешь - Клиентам сказать тыкаться не на IP, а на FQDN имя, напримр vpn.domain.ru <br>В dns создать две записи <br>vpn.domain.ru A xxx.xxx.xxx.xxx<br>vpn.domain.ru A yyy.yyy.yyy.yyy <br>в BIND 9 сказать выдавать эти айпи циклически <br>( в options <br>rrset-order { class IN type A name "domain.ru" order cyclic; }; <br>TTL выставить минимальный. <br>Со второй попытки будут попадать на живой IP. Решение конечно не ахти, но хоть что-то. Может кто лучше предложит.<br><br>Можно еще проще. Клиентам настроить два VPN на разные айпи, не пашет первый - запускать https://opennet.ru/openforum/vsluhforumID1/88825.html#2 Thu, 29 Apr 2010 06:33:57 GMT &gt;[оверквотинг удален]<br>&gt;Никаких дефолт гетвеев. Реализуется средствами ip route2. В федоре он возможно уже <br>&gt;есть, если нет - установите этот пакет. Статья для ядер <br>&gt;2.2. В вашем ядре 2.4 или 2.6 поддержка <br>&gt;CONFIG_IP_ADVANCED_ROUTER=y <br>&gt;CONFIG_IP_MULTIPLE_TABLES=y <br>&gt;CONFIG_IP_ROUTE_MULTIPATH=y <br>&gt;возможно тоже уже есть, проверьте. Если нет, то без генерации ядра не <br>&gt;обойтись. Бояться нечего, старое ядро вы сохраните и можете указать в <br>&gt;GRUB, или что-то там у вас, мультизагрузку с выбором ядра. Можете <br>&gt;проделать это всё на полигоне, затем на реальной машине. <br><br>Спасибо за совет!<br>В моем текущем ядре это включено, но не спасает меня от вопросов пользователей "на какой ип коннектиться?" в случаи падения канала. Хотелось бы уйти от этих вопросов.<br>Вижу теоретический выход в приобретении AS и установки quagga, переделать у пользователей ИП на доменное имя (две записи IN A) и наслаждаться. Я и сам понимаю, что мне 255 айпишек не нужны, но меньше купить невозможно.<br>Останется только настроить всё это https://opennet.ru/openforum/vsluhforumID1/88825.html#1 Wed, 28 Apr 2010 11:06:11 GMT Вам нужно юзать "Маршрутизацию по источнику". <br>Два канала в Internet, Синн Хердеюрген - http://www.osp.ru/lan/2002/05/136078/<br>Никаких дефолт гетвеев. Реализуется средствами ip route2. В федоре он возможно уже есть, если нет - установите этот пакет. Статья для ядер 2.2. В вашем ядре 2.4 или 2.6 поддержка<br>CONFIG_IP_ADVANCED_ROUTER=y<br>CONFIG_IP_MULTIPLE_TABLES=y<br>CONFIG_IP_ROUTE_MULTIPATH=y<br>возможно тоже уже есть, проверьте. Если нет, то без генерации ядра не обойтись. Бояться нечего, старое ядро вы сохраните и можете указать в GRUB, или что-то там у вас, мультизагрузку с выбором ядра. Можете проделать это всё на полигоне, затем на реальной машине.<br>