ipfw, nat, ppoe, 2 провайдера. Как настроить

[gmax007]

Здравствуйте. У меня сейчас создается шлюз на freebsd 9.2 На ней три сетевые карты, в две вставляем по провайдеру интернетов, а третью в локальную сеть. В общем оба провайдера работают по ppoe, это дело я настроил уже (причем ипользуется natd, котороый никак не хочет автоматически стартовать, но это не главное пока), у одного пока, второго еще не вставил, сделаю позже, но тут суть в самих настройках и принципах. В общем в итоге имеем три интерфейса re0 (локалка), rl0 (создает tun0), rl1 (создает tun1). Адреса у провайдеров динамические, но сами не меняются, зарезервированы в пуле у провайдера судя по всему, но я все же не хотел привязывать конфигурацию фаервола (ipfw) к конкретным адресам а оперировать названиями интерфейсов в правилах. Также на каждом интерфейсе провайдера нужен нат (планирую реализовать силами ядра и ipfw, а не natd) - ядро собрано с поддержкой ядерного ната, также нужно сделать подключение tun0 основным а tun1 резервным, тут либо подключение tun1 в случае падения tun0, !!!! но хотелось бы балансировку и в случае падения одного из интернетов, чтобы балансировка естественно полностью переносила нагрузку на второго рабочего. Сейчас также там стоит bind который в качестве форвардеров использует пару общественных серверов. Ну и хотелось бы чтобы локалка этим биндом пользовалась в качестве dns сервера, хотя это уже настроено и работает, ну пока только с одним провайдером. Никак не могу разобраться с ipfw и его natом, натолкните на мысль как прописать правила или возможно кроме ipfw нужно еще что либо использовать. Конечно позже планирую сквида поставить.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

спасибо за информацию

[DarkLan]

В вопросе и ответ.
Запусти тот же IPFW, настроей правилами кому куда можно а куда нельзя, подними, а уже поднял PPPoE. Запусти DHPC, сконфиг его. Что еще нужно? все остальное - это уже NAS, sql, www и тд.

[gmax007]

Да я просто firewall не конфигурил никогда, чтение интернета и книжек в голове такую путаницу сделало, знаю в принципе что как работает, а вот с созданием правил и подобного промблемы, где можно почитать пример конфига фаервола для среднестатического шлюза с недырявой безопасностью и про нат, охото больше практических примеров, Лиссяру читал, хотелось бы попроще чтоле примеров. DHCP кстати вообще не нужен вроде, для ppoe надо чтобы тупо был поднят iface

[DarkLan]

Украина? Укр-телеком? угадал?
pppoe на фри поднять не проблема, проблема запустить еще перед поднятием NATa - такое было в 7 реализе у меня. Также при динамическом ипе есть много НО при конфиге правил IPFW. Поставь железку, которая умеет поднимать pppoe и уже к ней подключи фри и шейпи все, что хочется правилами.
http://www.freebsd.org/doc/ru/books/han ... -ipfw.html
это лучшее, чем смотреть рабочие конфиги не понимая, что и как работает.

[gmax007]

Вот вот у меня natd и ppp плохо стартуют, ppp при баше по дефолту на башевские библитотеки ругался но это все мелочи,и от natd я ухожу в ядерный. Не угадал Россия, но не дефолт-сити, пару провайдеров, один из них местный, сейчас вот думаю может мне в сторону изучения и последующей настройке шлюза в сторону pf смотреть, там интересно какие проблемы, и как nat и ppoe дружат. Да железка есть, в конторе сейчас как раз один из провайдеров и крутится там, d-link свермощный)), виснет периодически то ли от старости, то ли от плохого настроения, хочу вот полностью на фряхе все сделать. Спасибо, буду дальше грызть, так сказать. Может сюда напишу конфиги если добьюсь чего-то, может пригодиться кому-то

[Dampire]

как бы в соседней теме рабочие конфиги аналогичного толка. балансировка делается в ipfw через prob. при падении прова через крон в обоих фибах ставишь маршруты рабочего.

[gmax007]

спасибо, та тема на пару часов раньше моего последнего поста появилась, будем посмотреть и попробовать

[DarkLan]

Рекомендую НЕ делать балансировку! Потому, что такие сайты как vk.com - сессия привязана к ip пользователя, и если он изменяется - работать видео/аудио не будут. Проблема не такая страшная на первый взгляд, но это проблема. В любом случае сумировать 2 канала по 10мб/с и на выходи получить 20мб/с - не получится.

Лучше сделать резервирование канала.

PS
можно и умно настроить балансировку, например торрент, фтп - на один канал, остальное - на другой. Но вам такое на данный момент не под силу.

[gmax007]

Я вот тоже решил сделать просто бэкап-линк, вот только думаю подключаться ли сразу к обоим провайдером и скрипт который будет проверять доступность и переключать как будет работать, то ли меняя шлюз по умолчанию. не соображу до конца, скрипт в принципе напсевдокодил

[gmax007]

Замучился уже никак не работает:
tun0 - динамический внешний, второй провайдер я так понял тоже будет через tun0, так как при переключении скрипт будет убивать текущее ppp и новый ppp тоже будет через tun0.

Получается просто tun0 (ppoe-динамический) <-----> freebsd(bind forwarders 8.8.8.8 ) <------>192.168.0.0, ну и kernel nat



Подскажите пожалуйста элементарные недырявые правила ipfw с кернел нат. снится мне чертик уже с вилами)

[snorlov]

Интересно, а можно pppoe поднимать через разные демоны, ppp и mpd к примеру, привязывая файер и балансировку к разным виртуальным интерфейсам...