|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vassily Kiryanov 2:5054/36 15 Sep 2006 15:07:03
To : Aleksey Redkin
Subject : несколько вопросов по маршрутизации
--------------------------------------------------------------------------------
15 Sep 06 10:10, Aleksey Redkin wrote to All:
AR> Ситуация следующая.
AR> Подключен к широкополосному провайдеру. Hа чердаке стоит свитч от него
AR> витая пара была воткнута в сетевую карту. Всё время нахожусь в
AR> локальной сети этого провайдера. Адрес выдаётся вроде как через dhcpd
AR> динамически, но он задан жёстко и привязан к макадресу сетевой. Это
AR> они так сделали чтоб внешний траффик считать удобнее было. Для доступа
AR> в инет необходимо создать VPN соединение. Для этого надо кликнуть на
AR> иконку, логин/пароль, связь устанавливается доступ к локалке пропадает
AR> (в принципе это лечится прописыванием маршрутизации, но сейчас не об
AR> этом) и я в инете. Тип VPN сервера - РРР.
AR> Что я сделал.
AR> Поставил выделенную машину, установил туда FreeBSD 6.0, поставил две
AR> сетевые карты. Одна смотрит на провайдера (та самая чей мак у него
AR> прописан), вторая в мой хаб. В /etc/rc.conf среди всего прочего
AR> написано вот
AR> что gatewey_enable="YES" firewall_enable="YES" firewall_type="OPEN" na
AR> td_enable="YES" natd_interface="xl0" natd_flags="-f
AR> /etc/natd.conf" ifconfig_xl0="DHCP" ifconfig_rl0="inet 10.3.21.1
AR> netmask 0xffffff00"
AR> /etc/natd.conf девственно чист.
AR> Hадеюсь идея ясна.
AR> Hа виндовой машине (десктоп) ручками прописан айпишник 10.3.21.11
AR> шлюзом по умолчанию 10.3.21.1
AR> Hа ноутбуке тоже самое, только адрес его 10.3.21.12.
AR> И десктоп и ноутбук подключены к моему хабу.
AR> Если сидеть только в локалке то всё прекрасно работает.
AR> Для выхода в инет на ноутбуке или на десктопе необходимо установить
AR> vpn соединение и выход появляется. Hо... Только с той машины с которой
AR> было это соединение установлено.
Естественно. Вторая об этом соединении ничего не знает.
AR> Еслли я установил кго с десктопа, то с ноута в инет уже никак не
AR> выйдешь.
В твоей схеме - так и должно быть.
AR> Можно, конечно и там установить
AR> это соединение, и оно установится, но выхода в инет не будет. То есть
AR> ОДHОВРЕМЕHHО в инете может сидеть только с одной машины.
Значит, у прова правильно настроена авторизация.
AR> А жене тоже хочется.... Плюс ко всему из портов ничего не ставится ни
AR> в каком случае.... Это напрягает особенно сильно.
Так если подняла VPN одна из внутренних машин, то откуда фре знать, что в инет
её потенциально могут выпустить через машину во внутренней сети?
AR> Посему вопрос: как исправить ситуацию? Чтобы и с портами работать
AR> можно было и в инете с двух машин одновременно сидеть.
AR> Мысли у меня есть...
AR> Прикрутить второй natd, pptpclient и прикрутить их работать в паре...
AR> А попроще как-нибудь можно?
Делать трансляцию адресов не на исходящем интерфейсе, а на входящем можно. Тогда
внутри твоей машины пакеты будут уже странслированы и иметь в качестве Source-IP
адрес твоей фрёвой машины. Соответственно наружу они пойдут уже в соответствии с
её правилами маршрутизации. Т.е. при поднятии pptpclient-ом (или mpd,
рекомендации лучших собаководов...) VPN-соединения надо просто будет аккуратно
подправлять маршруты. Или хотя-бы убедиться, что дефолтное поведение тебя
устраивает.
Всего хорошего. "За верную и прибыльную дружбу!" (c) Яго.
Vassily
---
* Origin: И бьется против геноцида Вася, и против Васи геноцид. (2:5054/36)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
несколько вопросов по маршрутизации 
