Нужны два роутера для доступа посредствам НАТ из сети 192.168.0.0/16 в сеть 10.1.123.54(маска 255.255.0.0) И в интернет!!!
задача сделать два друг от друга независимых роутера с отдальными интерфейсами (192.168.0.1 rl1 и 192.168.0.2 rl4) НА ОДНОМ КОМПЬЮТОРЕ под управлением FreeBSD!!!
в сервере 4 сетевухи:
rl0 195.123.123.123 (интернет)
rl1 192.168.0.1/16
rl3 10.1.123.45/16
rl4 192.168.0.2/16
Задача:
на интерфейсе rl4 (192.168.0.1) поднять роутер, по средствам НАТ в сеть 10.1.123.45/16
на интерфейсе rl1 (192.168.0.2) поднять роутер, по средством НАТ в интернет!
нада это для того чтобы разгрузить интернетный канал, так как юзеры очень жадно качают из сети 10.1.123.45/16, в интернет не пробится! нужно каналы физически разделить, второй роутер поставить возможности нет
у кого какие соображения?
Два роутера в одном!
все уткнулось в то, что нужно принудительно привязывать исходящие пакеты from 10.1.0.0/16 to 192.168.0.0/16 к интерфейсу rl3 , а все остальные исходящие to 192.168.0.0/16, принудительно к интерфейсу rl1....
как это сделать ума не приложу.....мож ipnat мне в этом поможет?
поднял natd....система теряется в том, через какой интерфейс отправлять пакет from 10.1.0.0/16 to 192.168.0.0/16 ...толи через rl1, толи через rl3
что делать?
Добавлено:
rl0 195.123.123.123
rl1 192.168.0.1 255.255.0.0
rl2 10.1.123.45 255.255.0.0
rl3 192.168.0.2 255.255.0.0
natd -p 8868 -n rl2
100 add pass all from any to any via lo0
200 add pass all from 192.168.0.0/16 to 10.1.0.0/16 in via rl3
300 add divert 8868 all from 192.168.0.0/16 to 10.1.0.0/16 out via rl2
400 add pass all from 10.1.123.45 to 10.1.0.0/16 out via rl2
500 add divert 8868 all from 10.1.0.0/16 to 10.1.123.45 in via rl2
600 add pass all from 10.1.0.0/16 to 192.168.0.0/16 in via rl2
700 add pass all from 10.1.0.0/16 to 192.168.0.0/16 out via rl3
800 add deny all from any to any
на 700 правиле не понятно куда пойдет пакет ...толи в rl3 толи в rl1 .... тута и затыкается...не рботает ни чего
меняю ип у rl1 на 192.169.0.1 - ВСЕ РАБОТАЕТ...пинг пошел!!! пакет из 700 правила проходит так как и должен, через rl3!
как принудительно направлять пакет на rl3 , если у пакета в заголовке отправитель 10.1.0.0/16, а получатель 192.168.0.0/16 ??????
ГУРУ ... Где Вы все?
как это сделать ума не приложу.....мож ipnat мне в этом поможет?
поднял natd....система теряется в том, через какой интерфейс отправлять пакет from 10.1.0.0/16 to 192.168.0.0/16 ...толи через rl1, толи через rl3
что делать?
Добавлено:
rl0 195.123.123.123
rl1 192.168.0.1 255.255.0.0
rl2 10.1.123.45 255.255.0.0
rl3 192.168.0.2 255.255.0.0
natd -p 8868 -n rl2
100 add pass all from any to any via lo0
200 add pass all from 192.168.0.0/16 to 10.1.0.0/16 in via rl3
300 add divert 8868 all from 192.168.0.0/16 to 10.1.0.0/16 out via rl2
400 add pass all from 10.1.123.45 to 10.1.0.0/16 out via rl2
500 add divert 8868 all from 10.1.0.0/16 to 10.1.123.45 in via rl2
600 add pass all from 10.1.0.0/16 to 192.168.0.0/16 in via rl2
700 add pass all from 10.1.0.0/16 to 192.168.0.0/16 out via rl3
800 add deny all from any to any
на 700 правиле не понятно куда пойдет пакет ...толи в rl3 толи в rl1 .... тута и затыкается...не рботает ни чего
меняю ип у rl1 на 192.169.0.1 - ВСЕ РАБОТАЕТ...пинг пошел!!! пакет из 700 правила проходит так как и должен, через rl3!
как принудительно направлять пакет на rl3 , если у пакета в заголовке отправитель 10.1.0.0/16, а получатель 192.168.0.0/16 ??????
ГУРУ ... Где Вы все?
К сожалению в даный момент не могу посмотреть конфигурацию своего фаервола, у меня сделано так:Beavis писал(а):ГУРУ ... Где Вы все?
Один входящий интерфейс (внутренняя сеть) и три исходящих (внешние сети), все юзеры могут лазить по всем сетям.
Решил я эту задачу после того как почитал на www.opennet.ru статью о том, как организовать подключение к двум разным провайдерам. И обязательно запускать два сервера NAT.
Если тебе нужно срочно, можешь почитать опннет, если не срочно то через пару дней мсмогу кинуть конфиг своего фаервола
Упс, не разобрался.Beavis писал(а):мне нужно совершенно нето!!!!
у меня два интерфейса с ип из одной и тойже сети имне нужно это все разрулить...
ИМХО твой вариант лучше всего выполнить следующим способом:
1. По умолчанию закрыть юзеру доступ в сеть из которой он жадно качает, но разрешить доступ в интернет через 1 гейт (это гейт и будет прописан у юзера в настройках соединения)
2. Поставить VPN-сервер (на втором внутреннем интерфейсе) и для VPN-юзеров разрешить доступ в сеть и для того чтобы жадно качать юзер должен соединиться с VPN (тогда он будет качать из сети через второй интерфейс)
Или поставить на роутер серверную сетевушку (например интеловскую) с двумя линками и объединить их в транк, тогда внутренний интерфейс будет 200 мегабитный
Или просто урезать (шейпером) юзерам скорость скачивания из сети, чтобы оставался поток для интернета.
Выбирай на свой вкус
впн впринципе полюбому там бы был...через него в инет...poison писал(а):Упс, не разобрался.Beavis писал(а):мне нужно совершенно нето!!!!
у меня два интерфейса с ип из одной и тойже сети имне нужно это все разрулить...
ИМХО твой вариант лучше всего выполнить следующим способом:
1. По умолчанию закрыть юзеру доступ в сеть из которой он жадно качает, но разрешить доступ в интернет через 1 гейт (это гейт и будет прописан у юзера в настройках соединения)
2. Поставить VPN-сервер (на втором внутреннем интерфейсе) и для VPN-юзеров разрешить доступ в сеть и для того чтобы жадно качать юзер должен соединиться с VPN (тогда он будет качать из сети через второй интерфейс)
тут дело в другом!
нужно где то прописать что бы пакет с заголовком : отправитель 10.1.0.0/16 получатель 192,168,0,0/16 принудительно заварачивался на rl3 а все остальны(не от 10..1.0.0/16) принудительно на rl1
а получается что когда приходит такой пакет, система не пониает в какой из интерфейсов его слать...толи в rl1 , толи в rl3
дороговатый дувас....будет стоит примерно столькоже сколька щяс сервер этот сервер стоит:))) тож отпадаетИли поставить на роутер серверную сетевушку (например интеловскую) с двумя линками и объединить их в транк, тогда внутренний интерфейс будет 200 мегабитный
все орутить шейпить-шейпить.....в что это и какэто юзать?Или просто урезать (шейпером) юзерам скорость скачивания из сети, чтобы оставался поток для интернета.
можно поподробнее?
http://ipfw.ism.kiev.ua/pbr.html
может найдешь что полезное
а про резанье канала вот тут есть кое что
http://ipfw.ism.kiev.ua/nipfw.html
может найдешь что полезное
а про резанье канала вот тут есть кое что
http://ipfw.ism.kiev.ua/nipfw.html