Здравствуйте, есть задача обьединить интернет и внутреннюю корпоративную сеть, в сеть офиса, имеется 3 сетевые карты в одну воткнут адсл инет, во вторую корпоративная сеть (со своим роутером) и в третью сеть по офису, все это на FreeBSD 8.0net 1 - 10.10.0.1 255.255.255.0 cо шлюзом 10.10.0.2 (модем)
net 2 - 10.15.50.78 255.255.255.0 со шлюзом 10.15.50.1
net 3 - 10.10.148.1 255.255.255.0в сети шлюзом указан этот сервер 10.10.148.1
инет на сервере работает, вторая сеть только если роутить конкретные адреса через шлюз, как указать второй шлюз я не знаю
вопрос общего плана, как все это зароутить чтоб в нет3 были доступны обе сети?
>net 1 - 10.10.0.1 255.255.255.0 cо шлюзом 10.10.0.2 (модем)
>net 2 - 10.15.50.78 255.255.255.0 со шлюзом 10.15.50.1
>net 3 - 10.10.148.1 255.255.255.0
>
>в сети шлюзом указан этот сервер 10.10.148.1
>
>инет на сервере работает, вторая сеть только если роутить конкретные адреса через
>шлюз, как указать второй шлюз я не знаюНа этой машине (10.10.148.1) какие есть маршруты?
Из сети net2 пингуется 10.15.50.78?
>net 2 - 10.15.50.78 255.255.255.0 со шлюзом 10.15.50.1Как вот это понять?
Приведите /etc/rc.conf
>На этой машине (10.10.148.1) какие есть маршруты?
>Из сети net2 пингуется 10.15.50.78?нет, в том и проблема , между интерфейсами нету роутинга
>>net 2 - 10.15.50.78 255.255.255.0 со шлюзом 10.15.50.1
>
>Как вот это понять?
>Приведите /etc/rc.confdefaultrouter = "10.10.0.2"
gateway_enabled = "YES"ifconfig_rl1="inet 10.10.0.1 netmask 255.255.255.0"
ifconfig_cr0="inet 10.15.50.78 netmask 255.255.255.0"
ifconfig_cr1="inet 10.10.148.1 netmask 255.255.255.0"
пытался прописывать маршруты по типу -net 10.7.21.17 10.15.20.1
начинает пинговаться но если написать например ping -S 10.10.148.1 10.7.21.17 то пинга нет
>>net 2 - 10.15.50.78 255.255.255.0 со шлюзом 10.15.50.1
>
>Как вот это понять?в этой сети есть шлюз за которым целая сеть, но как его обозначить я не знаю
>[оверквотинг удален]
>net 2 - 10.15.50.78 255.255.255.0 со шлюзом 10.15.50.1
>net 3 - 10.10.148.1 255.255.255.0
>
>в сети шлюзом указан этот сервер 10.10.148.1
>
>инет на сервере работает, вторая сеть только если роутить конкретные адреса через
>шлюз, как указать второй шлюз я не знаю
>
>вопрос общего плана, как все это зароутить чтоб в нет3 были доступны
>обе сети?необходимо прописать маршрут в сеть за роутером 10.15.50.1.
если там несколько сетей, по маршруту на каждую.
на 10.15.50.1 ничего дополнительного не надо.в /etc/rc.conf вашего роутера:
static_routes="LAN01"
route_LAN01="-net x.x.x.x 10.15.50.1 -netmask 255.255.255.0"P.S. кстате, на 10.15.50.1 есть NAT ?
и ещё, ping -S 10.10.148.1 10.7.21.17 это тут зачем? ping 10.7.21.17 уже не модно? задача маршрутизации... не стоит и выеденного яйца... это азы вообще, зачем тут "умничать"?
(хотя может быть у вас нет возможности проверить пинг из своей подсети - тогда да :) )
>[оверквотинг удален]
>в /etc/rc.conf вашего роутера:
>static_routes="LAN01"
>route_LAN01="-net x.x.x.x 10.15.50.1 -netmask 255.255.255.0"
>
>P.S. кстате, на 10.15.50.1 есть NAT ?
>и ещё, ping -S 10.10.148.1 10.7.21.17 это тут зачем? ping 10.7.21.17 уже
>не модно? задача маршрутизации... не стоит и выеденного яйца... это азы
>вообще, зачем тут "умничать"?
>(хотя может быть у вас нет возможности проверить пинг из своей подсети
>- тогда да :) )еслиб все было так просто, я уже статические роуты делал, на серваке все роутится есть и инет и 10.15.50.1 и те подсети что за ней
однако подключаясь с компа например 10.10.148.10 указав шлюз 10.10.148.1 не пингуется ни инет ни сеть ни шлюзы 10.10.0.2 ни 10.15.50.1
тоесть как я понимаю необходим роутинг между интерфейсами, но как сделать незнаю, фаервол поднт в режиме эни фром эни ту эни
по поводу ната, незнаю сеть дана вобще как настройка на компе, вот вам айпи вот вам шлюз вот сервисы (пока известно два айпишника один 10.16.6.5 второй 10.7.24.1 из сервисов) наверняка там есть нат
>еслиб все было так просто, я уже статические роуты делал, на серваке
>все роутится есть и инет и 10.15.50.1 и те подсети что
>за ней
> однако подключаясь с компа например 10.10.148.10 указав шлюз 10.10.148.1 не пингуется
>ни инет ни сеть ни шлюзы 10.10.0.2 ни 10.15.50.1
>тоесть как я понимаю необходим роутинг между интерфейсами, но как сделать незнаю,
>фаервол поднт в режиме эни фром эни ту эниДавайте не мешать всё в кучу. У вас есть своя подсеть за одним из интерфейсов. добейтесь выхода в инет этой подсети для начала.
>
>по поводу ната, незнаю сеть дана вобще как настройка на компе, вот
>вам айпи вот вам шлюз вот сервисы (пока известно два айпишника
>один 10.16.6.5 второй 10.7.24.1 из сервисов) наверняка там есть натза 10.15.50.1 какие подсети живут? Если есть nat то нет смысла в маршрутах. Вы не увидите внутренние адреса и дело тут не в маршрутах. Если на 10.15.50.1 есть nat, то на вашем роутере не надо никаких маршрутов.
А вообще: нарисуйте для себя схемку сети. расставьте адреса подсетей и подумайте, знает ли ваш роутер где находятся эти подсети. Ещё раз повторюсь: если за 10.15.50.1 несколько подсетей и они закрыты снаружи NAT-ом, то никакие маршруты вам не помогут. Маршрутов в те подсети заводить не надо.
Маршрутизатор из машины делается добавлением в rc.conf строки:
gateway_enable="YES"
это означает что пакеты будут нормально проходить из интерфейса в интерфейс согласно таблице маршрутизации. О каком ещё "роутинге между интерфейсами" вы говорите? Уберите из правил фаервола все запрещающие правила (сделайте firewall_type="OPEN"). Надеюсь NAT на вашем роутере отсутствует? Если он включен, то как вам это позволили хозяева роутера 10.15.50.1?P.S. перечитываю ваши посты и всё меньше понимаю чего вы хотите добиться?
А может ранее корпоративная сеть выходила в инет через свой роутер? А теперь вы хотите выпустить её через свой? Тогда надо убрать все наты и правила фаервола с корп.роутера (сделать его простым роутером а не шлюзом в инет) и думать дальше про маршруты в подсети.
Сформулируйте точнее задачу и огласите исходные условия поточнее, а то одни догадки. Если управлять корп.роутером вы не можете, свяжитесь с его сисадмином. Если с этой стороны нет "движения на встречу" - дело пустое ...
>Сформулируйте точнее задачу и огласите исходные условия поточнее, а то одни догадки.
>Если управлять корп.роутером вы не можете, свяжитесь с его сисадмином. Если
>с этой стороны нет "движения на встречу" - дело пустое ...
>спасибо что помогаете, вобщем вот схемка: http://clip2net.com/page/m0/6319886
давайте упростим задачу, днс у меня поднят и работает, дать интернет 10.10.148.0/24
пока все, я пречитал кучу статей, все что нужно это :
включить gateway_enable="YES"
и насроить сетвые карты 2 одна в инет вторая в сеть
и при незапрещении фаерволом инет должен работать с машины 148.7 и 148.8
вторую сеть пока не берем
------
так вот я все это сделал, но инет есть только в 10.10.0.0/24 подсети, в 148ой нету, при этом днс отдает адреса как надо. (модем в режиме роутера работает)
>[оверквотинг удален]
>пока все, я пречитал кучу статей, все что нужно это :
>включить gateway_enable="YES"
>и насроить сетвые карты 2 одна в инет вторая в сеть
>и при незапрещении фаерволом инет должен работать с машины 148.7 и 148.8
>
>вторую сеть пока не берем
>------
>так вот я все это сделал, но инет есть только в 10.10.0.0/24
>подсети, в 148ой нету, при этом днс отдает адреса как надо.
>NAT на машине настроен? (на внешнем интерфейсе)
Как проверяете доступность интернета в сети 10.10.148.0/24? (что паказывает tracert www.ru (пример для виндовой машины))
Как настроены машины из этой сети? (адрес, шлюз, маска, (возможно какие-то маршруты))
>
>Как проверяете доступность интернета в сети 10.10.148.0/24?
>Как настроены машины из этой сети? (адрес, шлюз, маска, (возможно какие-то маршруты))
>NATa нет,
банально ping ya.ru10.10.148.7
255.255.255.0
gw 10.10.148.1
dns 10.10.148.1(windows 7)
трейс показывает <1mc до шлюза (10.10.148.1)
дальше звездочки
>[оверквотинг удален]
>>
>
>банально ping ya.ru
>
>10.10.148.7
>255.255.255.0
>gw 10.10.148.1
>dns 10.10.148.1
>
>(windows 7)маршруты вручную вводили?
что кажет
tracert ya.ru ?
10.10.148.1 пингуется?
>
>маршруты вручную вводили?
>что кажет
>tracert ya.ru ?
>10.10.148.1 пингуется?никаких маршрутов, трес выше, да пингуется
>
>>
>>маршруты вручную вводили?
>>что кажет
>>tracert ya.ru ?
>>10.10.148.1 пингуется?
>
>никаких маршрутов, трес выше, да пингуетсяNAT на шлюзе настроен?
давайте полностью rc.conf
ipfw с правилами из штатного скрипта или своё наворотили?
rc.firewall секция OPEN не тронута?
>[оверквотинг удален]
>>>что кажет
>>>tracert ya.ru ?
>>>10.10.148.1 пингуется?
>>
>>никаких маршрутов, трес выше, да пингуется
>
>NAT на шлюзе настроен?
>давайте полностью rc.conf
>ipfw с правилами из штатного скрипта или своё наворотили?
>rc.firewall секция OPEN не тронута?NAT выключен, rc.conf дефолтный, изменено просто чтоб шлюзом был и включен фаервол и указан путь к скрипту rc.firewall.local
скрипт тупо одно правило эни ту эни
ipfw show показывает перым правилом эни ту эни алоу, вторым денай
rc.firewall вобще не трогал
прошу прощенья что так пишу, просто щас доступа на комп нету он на работе, и по понятным причинам потушен.
>[оверквотинг удален]
>и указан путь к скрипту rc.firewall.local
>
>скрипт тупо одно правило эни ту эни
>
>ipfw show показывает перым правилом эни ту эни алоу, вторым денай
>
>rc.firewall вобще не трогал
>
>прошу прощенья что так пишу, просто щас доступа на комп нету он
>на работе, и по понятным причинам потушен.так не интересно.
думаю надо таки включить NAT. С ipfw я обычно делаю так: в rc.firewall добавляю свою секцию. Делаю её на основе OPEN. Для тестов применяю секцию OPEN.
>
>так не интересно.
>
>думаю надо таки включить NAT. С ipfw я обычно делаю так: в
>rc.firewall добавляю свою секцию. Делаю её на основе OPEN. Для тестов
>применяю секцию OPEN.я обязательно изучу как настроить фаервол, ибо специфика предприятия подразумевает защиту информации, поэтому то и фри бсд
но, для начала надо сделать доступными для сотруников и интернет и несколько адресов второй сети
в итоге я конечно же буду и инте раздавать не просто все для всех, и маршуты для второй сети будут скорее всего айпы - айпи даже а не подсеть
>в итоге я конечно же буду и инте раздавать не просто все
>для всех, и маршуты для второй сети будут скорее всего айпы
>- айпи даже а не подсетьа вот так я бы не делал .... маршруты надо прописать что б все подсети были доступны. Если есть необходимость ограничивать доступность некоторых адресов к другим ресурсам сети или в инет, для этого есть фаервол.
>>в итоге я конечно же буду и инте раздавать не просто все
>>для всех, и маршуты для второй сети будут скорее всего айпы
>>- айпи даже а не подсеть
>
>а вот так я бы не делал .... маршруты надо прописать что
>б все подсети были доступны. Если есть необходимость ограничивать доступность некоторых
>адресов к другим ресурсам сети или в инет, для этого есть
>фаервол.а по проблеме что? как дать инет людям то?
>>>в итоге я конечно же буду и инте раздавать не просто все
>>>для всех, и маршуты для второй сети будут скорее всего айпы
>>>- айпи даже а не подсеть
>>
>>а вот так я бы не делал .... маршруты надо прописать что
>>б все подсети были доступны. Если есть необходимость ограничивать доступность некоторых
>>адресов к другим ресурсам сети или в инет, для этого есть
>>фаервол.
>
>а по проблеме что? как дать инет людям то?Вы уже рядом с роутером и можете продолжить?
Заочно да ещё на догадках сложно советовать .... :)
Вообще для вывода сети в вышестоящую сеть (инет) ничего особенного на шлюзе не надо ... только вот NAT надо включать ...
>[оверквотинг удален]
>>>б все подсети были доступны. Если есть необходимость ограничивать доступность некоторых
>>>адресов к другим ресурсам сети или в инет, для этого есть
>>>фаервол.
>>
>>а по проблеме что? как дать инет людям то?
>
>Вы уже рядом с роутером и можете продолжить?
>Заочно да ещё на догадках сложно советовать .... :)
>Вообще для вывода сети в вышестоящую сеть (инет) ничего особенного на шлюзе
>не надо ... только вот NAT надо включать ...Оставьте пожалуйста контакт, во вторник сможем продолжить :)
>[оверквотинг удален]
>>>>фаервол.
>>>
>>>а по проблеме что? как дать инет людям то?
>>
>>Вы уже рядом с роутером и можете продолжить?
>>Заочно да ещё на догадках сложно советовать .... :)
>>Вообще для вывода сети в вышестоящую сеть (инет) ничего особенного на шлюзе
>>не надо ... только вот NAT надо включать ...
>
>Оставьте пожалуйста контакт, во вторник сможем продолжить :)Пишите в эту тему ... будет время - продолжим...
>>>>а по проблеме что? как дать инет людям то?как-то так:
в rc.conf:
firewall_enable="YES"
firewall_script="/etc/firewall.conf"
firewall_nat_enable="yes"
firewall_nat_interface="cr1" #интерфейс смотрящий в локальную сеть
gateway_enable="YES"
в /etc/firewall.conf:#!/bin/sh
fwcmd="/sbin/ipfw"
net_if=rl1 #интерфейс смотрящий в интернет
${fwcmd} -f flush
${fwcmd} nat 123 config if ${net_if}
${fwcmd} add 90 nat 123 ip from any to any
${fwcmd} add 65534 allow ip from any to any/etc/rc.d/ipfw restart
>#!/bin/sh
>fwcmd="/sbin/ipfw"
>net_if=rl1 #интерфейс смотрящий в интернет
>${fwcmd} -f flush
>${fwcmd} nat 123 config if ${net_if}
>${fwcmd} add 90 nat 123 ip from any to any
>${fwcmd} add 65534 allow ip from any to any
>
>/etc/rc.d/ipfw restartпосле этого сервер перестает пинговаться вобще, ссш тоже не работает
Вот конфиги на данный момент:
--- rc.conf ----------------------
#NET
hostname="border0"
ifconfig_rl0="inet 10.10.148.1 netmask 255.255.255.0"
ifconfig_vr0="inet 10.15.50.10 netmask 255.255.255.0"
ifconfig_vr1="inet 10.10.0.1 netmask 255.255.255.0"defaultrouter="10.10.0.2"
firewall_enable="YES"
firewall_script="/etc/rc.firewall.local"
firewall_nat_enable="yes"
firewall_nat_interface="rl0" # Lan interface
gateway_enable="YES"
inetd_enable="NO"
sshd_enable="YES"
named_enable="YES"#ROUTING
#static_routes="inet"
#route_inet="- net 0.0.0.0 10.10.0.2"--- rc.firewall.local ----------------------
ipfw='/sbin/ipfw -q'localhost () {
${ipfw} add allow all from any to any
}nat () {
net_if = 'vr1'
${ipfw} -f flush
${ipfw} nat 123 config if ${net_if}
${ipfw} add 90 nat 123 ip from any to any
${ipfw} add 65534 allow ip from any to any}
${ipfw} flush;
#nat;
localhost;
/etc/rc.conf:firewall_enable="YES"
firewall_type="OPEN"
firewall_nat_enable="yes"
firewall_nat_interface="rl0"и пробуйте...
P.S. кстате, прежде чем такое писать:
#ROUTING
#static_routes="inet"
#route_inet="- net 0.0.0.0 10.10.0.2"
посмотрите для начала в таблицу маршрутизации, почитайте что такое defaulrouter и что он несёт за собой.
и ещё:
defaultrouter="10.10.0.2"
ifconfig_rl0="inet 10.10.148.1 netmask 255.255.255.0"
ifconfig_vr0="inet 10.15.50.10 netmask 255.255.255.0"
ifconfig_vr1="inet 10.10.0.1 netmask 255.255.255.0"
шлюз для машинки находится не в одной подсети с внешним интерфейсом... это как?
или внешний таки vr1 ? тогда зачем на rl0 поднимать nat ? Какие параметры вам выдали для подключения к вышестоящей сети?
>[оверквотинг удален]
>он несёт за собой.
>и ещё:
>defaultrouter="10.10.0.2"
>ifconfig_rl0="inet 10.10.148.1 netmask 255.255.255.0"
>ifconfig_vr0="inet 10.15.50.10 netmask 255.255.255.0"
>ifconfig_vr1="inet 10.10.0.1 netmask 255.255.255.0"
>шлюз для машинки находится не в одной подсети с внешним интерфейсом... это
>как?
>или внешний таки vr1 ? тогда зачем на rl0 поднимать nat ?
>Какие параметры вам выдали для подключения к вышестоящей сети?выше ведь схемка сети, подсеть 10.10.0.* исключительно для связи модема и шлюза, конечно модем не в локалке, иначе смысл сервера теряется вообще, с 10.10.0.2 приходит инет и раздается в 10.10.148.* вот какая задача
с 10.15.50.10 приходит еще сеть, выше писал что выдан только айпи, шлюз и днс, все больше никакой информации, нат там есть 99.9% никакой инфы не дают, натить не разрешат точно.я прошу прощенья за глупые вопросы, возможно чтоб не расписывать мне элементарные вещи моете линкануть где почитать? я вообще программист а не сисадмин :)
с такими правилами не работает ничего, даже ссш, тип фаервола сменил, да и по логике пакет проходит по первому подходящему правилу, первым стоит 123 nat..... потом разрешение всего отовсюду повсюду, должен проходить, но нет даже пинга
>[оверквотинг удален]
>>как?
>>или внешний таки vr1 ? тогда зачем на rl0 поднимать nat ?
>>Какие параметры вам выдали для подключения к вышестоящей сети?
>
>выше ведь схемка сети, подсеть 10.10.0.* исключительно для связи модема и шлюза,
>конечно модем не в локалке, иначе смысл сервера теряется вообще, с
>10.10.0.2 приходит инет и раздается в 10.10.148.* вот какая задача
>с 10.15.50.10 приходит еще сеть, выше писал что выдан только айпи, шлюз
>и днс, все больше никакой информации, нат там есть 99.9% никакой
>инфы не дают, натить не разрешат точно.Вам провайдер дал параметры для подключения?
подем настроен как роутер или как мост?
В любом случае шлюз по умолчанию должен находиться в одной подсети с интерфейсом.
>
>я прошу прощенья за глупые вопросы, возможно чтоб не расписывать мне элементарные
>вещи моете линкануть где почитать? я вообще программист а не сисадмин
>:)Сисадмина нанять вам надо...
А почитать, ну начните с адресации в ip-сетях. Маршрутизацию тоже надо поштудировать (не протоколы динамической маршрутизации, а простую статическую маршрутизацию в ip-сетях)
А про FreeBSD - www.freebsd.org
>
>
>с такими правилами не работает ничего, даже ссш, тип фаервола сменил, да
>и по логике пакет проходит по первому подходящему правилу, первым стоит
>123 nat..... потом разрешение всего отовсюду повсюду, должен проходить, но нет
>даже пингаДля начала выясните кто к чему и для чего у вас подключён (в смысле подсетей и шлюзов)
Дальше что-то советовать не имеет смысла.
>Вам провайдер дал параметры для подключения?
>подем настроен как роутер или как мост?да конечно дал, иначе не было бы интернета, модем как роутер, он и указан в дефаулт роут
>В любом случае шлюз по умолчанию должен находиться в одной подсети с
>интерфейсом.
>>тоесть мой модем должен находиться в 148 подсети иначе интернет не раздать? в таком случае любой укажет роутером его и будет пользоваться интернетом напрямую
непонятно...
>Сисадмина нанять вам надо...
я он и есть теперь...
задача простая есть инет есть внутреняя сеть, все приходит на сервер, из сервера выходит :
*шлюз
*днс
*инет
*внутренняя сетьпри этом весь трафик рулится на сервере
вся эта каша заварена из-за секретных данных во внутренней сети, в нее не должен попасть никто кроме тех кто должен.
>>Вам провайдер дал параметры для подключения?
>>подем настроен как роутер или как мост?
>
>да конечно дал, иначе не было бы интернета, модем как роутер, он
>и указан в дефаулт роутмодем:
10.10.0.1/255.255.255.0
модем поднимает PPPoE и получает на внешний интерфейс адрес от провайдера.
модем настроен как роутер, следовательно на нём есть nat (на внешнем интерфейсе)Ваш роутер должен иметь на внешнем интерфейсе адрес 10.10.0.2/255.255.255.0 (хотя маску для этого линка я бы выбрал 255.255.255.252)
на вашем роутере nat не нужен (он есть на модеме и этого достаточно).
на других интерфейсах роутера поднимаете нужные подсети.
Если некие подсети доступны через другие роутеры в вашей сети, прописываете статические маршруты в те подсети.
ВСЁ!
Дальше определяете, какие подсети могут видеть все остальные а какие нет и это дело описываете на ipfw роутера.
>[оверквотинг удален]
>сервера выходит :
>*шлюз
>*днс
>*инет
>*внутренняя сеть
>
>при этом весь трафик рулится на сервере
>
>вся эта каша заварена из-за секретных данных во внутренней сети, в нее
>не должен попасть никто кроме тех кто должен.P.S. не совсем ясно тогда откуда 148 подсеть взялась ... ещё раз распишите какие подсети за какими интерфейсами у вас живут.
P.P.S. вообще-то у меня большие сомнения, что ваш модем умеет давать инет в "не родные подсети".... т.е. в те подсети, которые НЕ прописаны у него на внутреннем интерфейсе... причём не помогает даже прописывание маршрута в другие серые подсети... С SOHO роутерами по этому поводу не раз сталкивался... Выход: поднимать PPPoE соединение и NAT на вашем роутере а модем перевести в режим бриджа... (ну или поднять nat на роутере, как в общем сначала и предлагалось)
>P.S. не совсем ясно тогда откуда 148 подсеть взялась ... ещё раз
>распишите какие подсети за какими интерфейсами у вас живут.
>P.P.S. вообще-то у меня большие сомнения, что ваш модем умеет давать инет
>в "не родные подсети".... т.е. в те подсети, которые НЕ прописаны
>у него на внутреннем интерфейсе... причём не помогает даже прописывание маршрута
>в другие серые подсети... С SOHO роутерами по этому поводу не
>раз сталкивался... Выход: поднимать PPPoE соединение и NAT на вашем роутере
>а модем перевести в режим бриджа... (ну или поднять nat на
>роутере, как в общем сначала и предлагалось)все компы в здании подключены с настройками :
ip = 10.10.148.x
gw = 10.10.148.1
dns = 10.10.148.1
------------------10.10.148.1 - сервер, в который приходит (допустим бриджом) инет с модема, также приходит еще пара адресов с другого интерфейса, на самом сервере все необходимые адреса пингуются как надо, допустим.
вопросы:
1. если модем бриджом то в дефаултроутере должен быть роутер сети которая приходит (10.15.50.1)?
2. как тогда роутить интернет в 148 подсеть если модем в 0 подсети? (бриджем)реально не думал что настолько сложно, приходит 2 сети выходит одна, сервер обьединяет их по определенным правилам, если чтото доступно моему шлюзу, и на фаерволе не закрыто, почему это не доступно тачкам где шлюзом указан мой серв?
--- rc.conf ----------------------#NET
defaultrouter="10.10.0.2"
gateway_enable="YES"
hostname="border0"ifconfig_rl0="inet 10.10.148.1 netmask 255.255.255.0"
ifconfig_vr0="inet 10.15.50.10 netmask 255.255.255.0"
ifconfig_vr1="inet 10.10.0.1 netmask 255.255.255.0"firewall_enable="YES"
firewall_type="OPEN"
firewall_nat_enable="YES"
firewall_nat_interface="vr1"вот так у вас должно всё заработать, т.е. появиться инет в сети 148 и в остальных. Всем подсетям будет разрешено проходить в любые другие (запреты потом в ipfw отрулите)
Эти настройки примените в любом случае, есть ли на модеме nat или нет, в бридже он или как роутер. (хотя если в бридже, то придётся кое-что поправить на роутере, но вам сейчас только про поднятие PPPoE не хватало лекцию прочитать :) уж лучше сами по букварям ....)
если за вторым вашим роутером есть другие подсети, маршруты в них прописать статическими на вашем роутере.
неа, из сети 10.10.148.* он не увидит таким образом интернет.
>неа, из сети 10.10.148.* он не увидит таким образом интернет.с какого перепуга? обоснуйте :)
>>неа, из сети 10.10.148.* он не увидит таким образом интернет.
>
>с какого перепуга? обоснуйте :)все очень просто, я разобрался, инет то я увижу, но вот инет меня не увидит без ната тоесть на внешний интерфейс придет ответ для адреса внутреннего.
>>>неа, из сети 10.10.148.* он не увидит таким образом интернет.
>>
>>с какого перепуга? обоснуйте :)
>
>все очень просто, я разобрался, инет то я увижу, но вот инет
>меня не увидит без ната тоесть на внешний интерфейс придет ответ
>для адреса внутреннего.Именно так.
>>>>неа, из сети 10.10.148.* он не увидит таким образом интернет.
>>>
>>>с какого перепуга? обоснуйте :)
>>
>>все очень просто, я разобрался, инет то я увижу, но вот инет
>>меня не увидит без ната тоесть на внешний интерфейс придет ответ
>>для адреса внутреннего.
>
>Именно так.Товаришь! :) Вы понимаете что такое NAT?
повторюсь:
--- rc.conf ----------------------#NET
defaultrouter="10.10.0.2"
gateway_enable="YES"
hostname="border0"ifconfig_rl0="inet 10.10.148.1 netmask 255.255.255.0"
ifconfig_vr0="inet 10.15.50.10 netmask 255.255.255.0"
ifconfig_vr1="inet 10.10.0.1 netmask 255.255.255.0"firewall_enable="YES"
firewall_type="OPEN"
firewall_nat_enable="YES"
firewall_nat_interface="vr1"NAT на внешнем интерфейсе!
>[оверквотинг удален]
>ifconfig_rl0="inet 10.10.148.1 netmask 255.255.255.0"
>ifconfig_vr0="inet 10.15.50.10 netmask 255.255.255.0"
>ifconfig_vr1="inet 10.10.0.1 netmask 255.255.255.0"
>
>firewall_enable="YES"
>firewall_type="OPEN"
>firewall_nat_enable="YES"
>firewall_nat_interface="vr1"
>
>NAT на внешнем интерфейсе!но с этим конфигом ничего не меняется, когда включается правило для ната, сервер вобще закрывается
>[оверквотинг удален]
>>
>>firewall_enable="YES"
>>firewall_type="OPEN"
>>firewall_nat_enable="YES"
>>firewall_nat_interface="vr1"
>>
>>NAT на внешнем интерфейсе!
>
>но с этим конфигом ничего не меняется, когда включается правило для ната,
>сервер вобще закрываетсяперепроверьте rc.conf ... все свои скрипты для ipfw уберите и сделайте ровно как я привёл.
ipfw show в студию ....P.S. и кстате, как ядро собрано?
options IPFIREWALL_NAT
options LIBALIAS
это есть? если нет, то надо natd запускать и в ядре иметь: options IPDIVERTконечно не обязательно пересобирать ядро, но имхо так как-то привычнее, надёжнее и спокойнее :)
>повторюсь:
>NAT на внешнем интерфейсе!а вы почитайте man ipfw, в примерах есть раздел "NAT, REDIRECT AND LSNAT", при firewall_type="OPEN" - нат работать не будет.
так же в /etc/defaults/rc.conf найдете комментарий к firewall_nat_interface:
firewall_nat_interface="" # Public interface or IPaddress to use
>>повторюсь:
>>NAT на внешнем интерфейсе!
>
>а вы почитайте man ipfw, в примерах есть раздел "NAT, REDIRECT AND
>LSNAT", при firewall_type="OPEN" - нат работать не будет.
>так же в /etc/defaults/rc.conf найдете комментарий к firewall_nat_interface:
>firewall_nat_interface="" # Public interface or IPaddress
>to useбред. у меня домашний роутер (и ещё чёрти сколько шлюзовых машин по конторам и знакомым) под 8.0 и всё нормально .. как и в предыдущих версиях...
вот кусок штатного rc.firewall:
case ${firewall_type} in
[Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add 50 divert natd ip4 from any to any via ${natd_interface}
fi
;;
esac
case ${firewall_nat_enable} in
[Yy][Ee][Ss])
if [ -n "${firewall_nat_interface}" ]; then
if echo "${firewall_nat_interface}" | \
grep -q -E '^[0-9]+(\.[0-9]+){0,3}$'; then
firewall_nat_flags="ip ${firewall_nat_interface} ${firewall_nat_flags}"
else
firewall_nat_flags="if ${firewall_nat_interface} ${firewall_nat_flags}"
fi
${fwcmd} nat 123 config log ${firewall_nat_flags}
${fwcmd} add 50 nat 123 ip4 from any to any via ${firewall_nat_interface}
fi
;;
esac
esacвсё понятно, или надо прокоментировать каждую строку?
>[оверквотинг удален]
>вопросы:
>1. если модем бриджом то в дефаултроутере должен быть роутер сети которая
>приходит (10.15.50.1)?
>2. как тогда роутить интернет в 148 подсеть если модем в 0
>подсети? (бриджем)
>
>реально не думал что настолько сложно, приходит 2 сети выходит одна, сервер
>обьединяет их по определенным правилам, если чтото доступно моему шлюзу, и
>на фаерволе не закрыто, почему это не доступно тачкам где шлюзом
>указан мой серв?У вас огромные пробелы в понимании маршрутизации ... на эти вопросы даже отвечать не хочу, не вижу смысла.