второй день не могу разрешить такую проблему:
имеется:
1. неправильная локальная сеть 90.0.0.0/24
2. два интернет провайдера
повайдер1 выделил сеть 111.111.111.0/29 внешний ип oip="111.111.111.3"
провайдер2 выделил сеть: 222.222.222.120/29 внешний ип oip2="222.222.222.126"
3. сервисы в локальной сети:
интернет (нат)
войсайпи (имеется внутренний сервер ипителефонии который по средствам интернета соединяется с сервером ипителефонии провайдера с ипиадресом 123.123.123.40)
4. два интернет шлюза (так исторически сложилось)
один на базе ос linux - почтовый
другой на масдае - фильтрация трафика, прокси
5. сервер под управлением ос FreeBSD 7.1 с тремя сетевухами (включены пока только две - локалка и провайдер1, собсно по подключению 2-го прова разговор пойдет дальше...)
необходимо реализовать:
1. перевести неправльную локалку в правильную (192.168.), при этом:
- все серверное оборудование включая будущие ад и днс а также всякие сетевые принтеры, принтсерверы и т.д. запихнуть в подсеть 192.168.0.0/24
- всех пользователей запихнуть скажем в 192.168.10.0/24-192.168.80.0/24 (8 подразделений по отделам)
- всю ип телефонию включая сервер войс айпи и иптелефоны в подсеть 192.168.90.0/24
- ну и естественно все это я не смогу сделать одним махом и мгновенно, поэтому надо обестпечать плавный переход от неправильной подсети к правильной чтобы при этом имелась возможность общения между собой этих сетей да и еще желательно по хостнеймам...
2. заменить масду на фрю с тремя сетевыми ифами, один для локалки, два других для провайдера1 и провайдера2 соответственно, при этом необходимо :
- все локальные подсети натить в инет через провайдера1
- а ип телефонию (по сути это всего лишь один сервер, который будет за натом и иметь ипиадрес скажем 192.168.90.10) натить через провайдера2
3. (то что конечно очень хотелось бы но в самую последную очередь) организовать взаимное резервирование каналов (если это возможно в данной ситуации)
то есть в случае падения одного из каналов автоматически (ну или хотябы полуавтоматически но с минимальными затратами усилий/времени на это) переключаться на работающий канал...
реализация
я провел декомпозицию (не полную пока что...) всего этого и сделал вот что:
1. внутренния ифам винды и фри присвоил алиасы из сетки /30. на фре 172.31.0.1 на винде 172.31.0.2
на винде добавил постоянный маршруты:
Код: Выделить всё
route add -net 192.168.0.0/24 172.31.0.1
route add -net 192.168.10.0/24 172.31.0.1
...
route add -net 192.168.90.0/24 172.31.0.1
Код: Выделить всё
route add -net 90.0.0.0/24 172.31.0.1добавил разрешающие правила на фаере винды и фри для общения неправильной локалки с новой (правильной), что-то типа
Код: Выделить всё
ipfw add pass ip from 192.168.../24 to 90.0.0.0/24 via $iif setup
ipfw add pass ip from 90.0.0.0/24 to me via $iif setup2. на этом этапе все пользователи правильной локалки выходят в нет без ограничений по средствам ната через провайдера1
3. я решил сначала перевести всех пользователей, ипителефонию в правильную сеть, а уже потом перетаскивать серваки (их порядка 5-ти), поэтому из старой локалки необходимости обращаться к юзерам новой локалки по хостнейму нет, следовательно я решил настроить днс для новой локалки.
в named.conf указываю слушайть внутренние ипы сервера и 127.0.0.1, так же в форвардерсах прописываю ипи адреса днсов провайдера1, создаю зону office и обратные зоны:
Код: Выделить всё
0.168.192.in-addr.arpa
10.168.192.in-addr.arpa
...
90.168.192.in-addr.arpaКод: Выделить всё
0.0.90.in-addr.arpaв файле зоны office прописываю всех из обеих локалкок ну а дальше по мере перевода компьютеров пользователей из неправильной локалки в правильную редактирую соответствующие файлы обратной зоны и зоны office. теперь для корректной работы остается только добавить днс-суффикс в настройках подклчения пользователей новой (правильной) локалки и все пучком - можно нормально обращаться к файловому серверу находящеуся в неправильно подсети не по ипи а по хостнейму: \\server
теперь собственно подошел к свойе проблеме...
уважаемые форумчане, подскажите пожалуйста, какие телодвидения необходимы для того чтобы подключить еще один канал, настроить нат для ипиадреса 192.168.90.10 на ипи адрес 123.123.123.40 через этот канал, и чтобы при этом все работало
дело в том, что как только я настраиваю ифконфиг для третьей сетевой, добавляю маршрут
Код: Выделить всё
route add -host 123.123.123.40 222.222.222.126Код: Выделить всё
ipfw add divert 8888 from 192.168.0.0/16 to not 123.123.123.40 out via $oif
ipfw add divert 9999 from 192.168.90.10 to 123.123.123.40 out via $oif2
ipfw add divert 9999 from 123.123.123.40 to 222.222.222.126 in via $oif2
ipfw add divert 8888 from not 123.123.123.40 to 111.111.111.3 in via $iifкто-то может мне подсказать, что именно нужно сделать при добавлении третьей сетевой к серверу фри с ipfw(nat)+named?
- быть может не следовало добавлять (дублировать) соответствующие правила в фаере для второго провайдера? а сдать какое-то такое правило:
Код: Выделить всё
ipfw add from 192.168.90.10 to 123.123.123.40 via $iif2 setup
ipfw add from me to 123.123.123.40 via $iif2 setup- быть может еще что?
естественно, если нужны конфиги, я их обязательно покажу, когда приду на работу, так как на данный момент издому доступа не имею
просто может быть я забыл о чем-то, или явно сделал что-то не так и вы это заметили
буду признателен за подсказки
ну и естественно когда разберусь с выше описанной проблемой, а это неприменно произойдет, то мне было бы полезно касательно взаимного резервирования каналов услышать идеи, которые бы мне подошли в такой схеме... хотя как-то не складно выходит - необходимость явного ната по дороге к серверу ипи телефонии через провайдера2 а все остальное через провайдера1 да и в тоже время еще так чтобы если упадет одиниз них то выпускать все через другой работающий, как то я трудно себе представляю это... но мало-ли
спасибо за внимание и зарание спасибо за помощь!
