Просьба помочь с настройкой двух внешних интерфейсов

[Kolobrod]

Дело так man не предлагать курить , все уже кончились.
Очень прошу помощи , так как уже сплю и вижу проблему, а именно НЕТ ПИНГА на одном из внешним интерфейсов.
Что есть:
Free BSD 7.0
ipfw собранный в ядре и включенный в rc.conf
в rc.conf включена опция

Код: Выделить всё

natd_enabled="YES"

создан файл в /etc/rc.local

Код: Выделить всё

rc.local:
natd -p 8668 -m -u -n xl0
natd -p 8778 -m -u -n xl1

допустим что
xl0 - 10.1.1.1 - первый внешний интерфейс
xl1 - 10.2.2.2 - второй внешний интерфейс
rl0 - 192.168.0.1 - внутренний

Код: Выделить всё

gateway_default="10.1.1.100"

второй шлюз 10.2.2.100
добавлен ручками маршрут

Код: Выделить всё

 route add 10.2.2.0/27 10.2.2.100

через trafshow видиться такая картина пинг приходит на 10.2.2.2, а начинает уходить через 10.1.1.1
блин , где копать , не могу воткнуться, все уже настроена , второй интерфейс именно 10.2.2.2 нужен для mpd5, чтобы удаленный офис и склад приходили к нашей СУБД.
трассировка не доходит, звонил этому провайдеру, ни чего внятного сказать не смог, у них типа трассировка закрыта по соображением безопасности.
Большая просьба помочь, настроено все хорошо ( Squid + winbindd+rejiK+havp(clamav-freshclam)+lightsquid+mpd5+portsentry+sshit) все довел до ума (отдельное спасибо handbook в сообществе lissyara.
C FreeBSD пока недавно , но довольно успешно даеться, достаточно вдумчиво и хорошо настраиваеться, но этот подводный камень силы уже источил. Нет пинга , просьба помочь советами , где копать.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[_kirill_]

НЕТ ПИНГА на одном из внешним интерфейсов.

а гейт прова тоже не пингуете?

[alex3]

Код: Выделить всё

ipfw show
less /etc/rc.conf
netstat -rn

дайте вывод, пожалуйста.

[Kolobrod]

НЕТ ПИНГА на одном из внешним интерфейсов.

а гейт прова тоже не пингуете?

гейт того прова пингуеться

[Kolobrod]

где sk0 - внутренний интерфейс
xl0 - внешний интрефейс 10.1.1.1
xl1 - внешний интрефейс 10.2.2.2 (который не пингуеться)

Код: Выделить всё

00100     0       0 check-state
00110  2714   91342 allow icmp from any to any icmptypes 0,1,3,8,11
00120   123    6888 deny log logamount 100 icmp from any to any in icmptypes 5,9,13,14,15,16,17
00130   818 1926910 allow ip from any to any via lo0
00131     0       0 allow udp from 0.0.0.0 2054 to 0.0.0.0
00140     0       0 deny not icmp from table(0) to me
00141     0       0 deny ip from table(0) to any
00150     0       0 deny ip from any to 127.0.0.0/8
00160     0       0 deny ip from 127.0.0.0/8 to any
00170   225   20100 deny log logamount 100 ip from me to any in recv xl0
00180     0       0 deny log logamount 100 ip from me to any in recv xl1
00190     0       0 deny ip from any to 10.0.0.0/8 in via xl0
00200     0       0 deny ip from any to 172.16.0.0/12 in via xl0
00210  2137  285319 deny ip from any to 192.168.0.0/16 in via xl0
00220     0       0 deny ip from any to 0.0.0.0/8 in via xl0
00230     0       0 deny ip from any to 169.254.0.0/16 in via xl0
00240    40   12080 deny ip from any to 240.0.0.0/4 in via xl0
00250     0       0 deny ip from 218.27.1.0/24 to any in via xl0
00260     0       0 deny ip from 218.27.1.194 to me
00270     0       0 deny ip from 201.234.208.176 to me
00280     0       0 deny ip from 60.32.10.164 to me
00290     0       0 deny icmp from any to any frag
00300     0       0 deny icmp from any to 255.255.255.255 in via xl0
00310     0       0 deny icmp from any to 255.255.255.255 out via xl0
00320   156   19448 fwd 127.0.0.1,3128 tcp from 192.168.100.0/24 to any dst-port 80 via xl0
00330   924   72288 divert 8668 ip from 192.168.100.0/24 to any out via xl0
00340    29    2262 divert 8668 ip from any to 10.1.1.1 in via xl0
00350   145   11310 divert 8778 ip from 192.168.100.0/24 to any out via xl1
00360    33   15506 divert 8778 log logamount 100 ip from any to 10.2.2.2 in via xl1
00370     0       0 deny ip from 10.0.0.0/8 to any out via xl0
00380     0       0 deny ip from 10.0.0.0/8 to any out via xl1
00390     0       0 deny ip from 172.16.0.0/12 to any out via xl0
00400     0       0 deny ip from 172.16.0.0/12 to any out via xl1
00410     0       0 deny ip from 192.168.0.0/16 to any out via xl0
00420     0       0 deny ip from 192.168.0.0/16 to any out via xl1
00430     0       0 deny ip from 0.0.0.0/8 to any out via xl0
00440     0       0 deny ip from 0.0.0.0/8 to any out via xl1
00450     0       0 deny ip from 169.254.0.0/16 to any out via xl0
00460     0       0 deny ip from 169.254.0.0/16 to any out via xl1
00470     0       0 deny ip from 224.0.0.0/4 to any out via xl0
00480     0       0 deny ip from 224.0.0.0/4 to any out via xl1
00490     0       0 deny ip from 240.0.0.0/4 to any out via xl0
00500     0       0 deny ip from 240.0.0.0/4 to any out via xl1
00510     9     404 allow tcp from me 1723 to any keep-state
00520     1      48 allow tcp from any to any dst-port 1723 in via xl1
00530     0       0 allow gre from any to any
00531     0       0 allow tcp from any 137,138,139,445,1433,1434 to any via xl1
00532     0       0 allow tcp from 192.168.100.191,192.168.100.192,192.168.100.193,192.168.100.194,192.168.100.195,192.168.100.196 to any dst-port 137,138,139,445,1433,1434
00540  3151  364123 allow ip from 10.1.1.1 to any out xmit xl0
00550     5     442 allow udp from any 53 to any via xl0
00560     0       0 allow udp from any to any dst-port 53 via xl0
00570     0       0 allow udp from any 53 to any via xl1
00580     0       0 allow udp from any to any dst-port 53 via xl1
00590     0       0 allow tcp from me 22 to any
00600  1026   84264 allow tcp from any to any dst-port 22 via xl0
00610   559  103245 allow tcp from any 443 to any via xl0
00620   328   15464 allow tcp from any to 10.1.1.1 dst-port 25 via xl0
00630     0       0 allow tcp from any to 10.1.1.1 dst-port 110 via xl0
00640     0       0 allow tcp from any to 10.1.1.1 dst-port 3310 via xl0
00650     0       0 allow tcp from 192.168.100.0/24 to any dst-port 5190 in via sk0 setup
00660     0       0 allow tcp from 192.168.100.0/24 to any dst-port 443 in via sk0 setup
00670     0       0 allow tcp from 192.168.100.0/24 to any dst-port 389 in via sk0
00680     0       0 allow tcp from 192.168.100.0/24 to any dst-port 3310 in via sk0
00690     0       0 allow tcp from any to 10.1.1.1 dst-port 1,11,15,79,119,143,540,635,1080,1524 via xl0
00700     0       0 allow tcp from any to 10.1.1.1dst-port 2000,5742,6667,8080,8085 via xl0
00710     0       0 allow udp from any to 10.1.1.1dst-port 1,7,9,69,161,635,640,641,700 via xl0
00720 13723 4751517 allow tcp from any to any via sk0
00730  3942  462562 allow udp from any to any via sk0
00740   726  966551 allow tcp from any to any established
00750  4568  630159 deny log logamount 100 ip from any to any
65535     0       0 deny ip from any to any

Код: Выделить всё

inetd_enable="YES"
linux_enable="YES"
router="/sbin/routed"
router_enable="YES"
router_flags="-q"
rpcbind_enable="YES"
sshd_enable="YES"
squid_enable="YES"
ntpdate_flags="ntp сервер"
ntpdate_enable="YES"
nfs_reserved_port_only="YES"
accounting_enable="YES"
tcp_extensions="NO"
tcp_drop_synfin="YES"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
icmp_bmcastecho="NO"
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
firewall_logging="YES"
natd_enable="YES"
winbindd_enable="YES"
winbindd_flags="-d 1"
saver="logo"
blanktime="1800"
clamav_freshclam_enable="YES"
havp_enable="YES"
apache22_enable="YES"
mpd_enable="YES"
font8x8="cp866-8x8"
font8x14="cp866-8x14"
font8x16="cp866-8x16"
scrnmap="koi8-r2cp866"
keymap="ce.iso2"
keyrate="fast"
ifconfig_sk0="inet 192.168.100.178  netmask 255.255.255.0"
ifconfig_xl0="inet 10.1.1.1  netmask 255.255.255.224"
defaultrouter="10.1.1.100"
hostname="тут наше имя в домене"
gateway_enable="YES"
rwhod_enable="YES"
# -- sysinstall generated deltas -- # Thu Sep 25 16:25:12 2008
ifconfig_xl1="inet 10.2.2.2  netmask 255.255.255.248"

Код: Выделить всё

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            10.1.1.100      UGS         0     2884    xl0
127.0.0.1          127.0.0.1          UH          0      418    lo0
192.168.100.0/24   link#3             UC          0        0    sk0
192.168.100.1      00:18:44:b3:ae:be  UHLW        1      380    sk0   1105
192.168.100.63     00:1b:32:c3:17:34  UHLW        1      812    sk0   1104
192.168.100.68     00:11:42:3a:2f:ed  UHLW        1     6263    sk0   1181
192.168.100.255    ff:ff:ff:ff:ff:ff  UHLWb       1      116    sk0
10.1.1.7/27   link#1             UC          0        0    xl0
10.1.1.100      00:04:9a:23:37:ff  UHLW        2       90    xl0   1163
10.1.1.6      00:1c:f0:9e:99:65  UHLW        1        6    xl0    154
10.1.1.7      00:1c:f0:96:88:61  UHLW        1        6    xl0    155
10.1.1.8      00:1c:f3:9e:77:61  UHLW        1        6    xl0    157
10.1.1.1      00:e0:4c:47:66:7c  UHLW        1        3    xl0    848 - внешний ип первого прова - тут все норм
10.1.1.9      ff:ff:ff:ff:ff:ff  UHLWb       1      116    xl0
10.2.2.0/31   10.2.2.100      UGS         0        0    xl1
10.2.2.8/29   link#2             UC          0        0    xl1
10.2.2.5     00:0b:86:0d:55:ed  UHLW        1        6    xl1    280
10.2.2.4     00:80:45:59:44:5c  UHLW        1       18    xl1   1016
10.2.2.3     00:e0:4c:58:96:32  UHLW        1        3    xl1    856
10.2.2.2     00:10:3b:22:78:8c  UHLW        1        3    lo0 - млять почему внешний ип  того прова идет через loop
10.2.2.15     ff:ff:ff:ff:ff:ff  UHLWb       1      116    xl1

[_kirill_]

а файервол пытались выключать?
айпи на самом деле серые?
что вообще нужно сделать? сделать доступ к сетке прова через второй ифейс?

[alex3]

Код: Выделить всё

00330   924   72288 divert 8668 ip from 192.168.100.0/24 to any out via xl0
00340    29    2262 divert 8668 ip from any to 10.1.1.1 in via sk0
00350   145   11310 divert 8778 ip from 192.168.100.0/24 to any out via xl1
00360    33   15506 divert 8778 log logamount 100 ip from any to 10.2.2.2 in via xl1

по моему во второй строчке ошибка с названием интерфейсов. пингуете с какой сети?

[Kolobrod]

Код: Выделить всё

00330   924   72288 divert 8668 ip from 192.168.100.0/24 to any out via xl0
00340    29    2262 divert 8668 ip from any to 10.1.1.1 in via sk0
00350   145   11310 divert 8778 ip from 192.168.100.0/24 to any out via xl1
00360    33   15506 divert 8778 log logamount 100 ip from any to 10.2.2.2 in via xl1

по моему во второй строчке ошибка с названием интерфейсов. пингуете с какой сети?

по моему в первой строчке я заворачиваю траффик из внутренний на внешнюю карточку , а потом с внешнего ип на карточку внутренный сети, по моему логично - разве не так?

но это врядли относиться к моей проблеме

[alex3]

еще раз... дивертим трафик приходящий от любого на 10.1.1.1, если он входит через внутренний интерфейс, так?

Код: Выделить всё

divert 8668 ip from any to 10.1.1.1 in via xl0

имелось в виду вот так?
отдельный вопрос: пингуете с какой сети?

[Kolobrod]

а файервол пытались выключать?
айпи на самом деле серые?
что вообще нужно сделать? сделать доступ к сетке прова через второй ифейс?

вообще если вы поняли из правил фаера и читали мою просьбу , то мне через 10.2.2.2 (xl1) нужно ввести пользователей с удаленных офисов в нашу СУБД, так вот все уже сделано , но где то грабли - нет пинга на 10.2.2.2

[Kolobrod]

еще раз... дивертим трафик приходящий от любого на 10.1.1.1, если он входит через внутренний интерфейс, так?

Код: Выделить всё

divert 8668 ip from any to 10.1.1.1 in via xl0

имелось в виду вот так?
отдельный вопрос: пингуете с какой сети?

возможно вы правы
в данный момент пингую через себя сидя дома сеть идет через vpn (ppp) нашего прова (домашнего), но допустим 10.2.2.2 не пинговался еще когда я с работы удаленно настраивал наш склад, там таже картина - шлюз того прова (10.2.2.100) пингуеться , сам адрес 10.2.2.2 не подает признаков жизни.

[_kirill_]

еще раз... дивертим трафик приходящий от любого на 10.1.1.1, если он входит через внутренний интерфейс, так?

Код: Выделить всё

divert 8668 ip from any to 10.1.1.1 in via xl0

имелось в виду вот так?
отдельный вопрос: пингуете с какой сети?

возможно вы правы
в данный момент пингую через себя сидя дома сеть идет через vpn (ppp) нашего прова (домашнего), но допустим 10.2.2.2 не пинговался еще когда я с работы удаленно настраивал наш склад, там таже картина - шлюз того прова (10.2.2.100) пингуеться , сам адрес 10.2.2.2 не подает признаков жизни.

откуда пингуете 2.100? откуда пингуете 10.2.2.2? с самого сервера? сидя у себя дома через своего провайдера? например у меня тоже внешний айпи висит на lo0 и всё нормально работает

Код: Выделить всё

MGW# netstat -rn | grep 83.хх.хх.хх
83.хх.хх.хх      00:e0:e4:02:17:ac  UHLW        1  1031401    lo0

[Kolobrod]

в данный момент сижу и пингую из дома через своего домашнего провайдера

[_kirill_]

в данный момент сижу и пингую из дома через своего домашнего провайдера

попробуй добавить след. правило:

Код: Выделить всё

/sbin/ipfw add 1 fwd 10.2.2.100 all from 10.2.2.2 to any out xmit xl1

а ещё рекомендую юзать ipnat а не natd

Код: Выделить всё

/etc/rc.conf
ipnat_enable="YES"
ipnat_program="/sbin/ipnat -CF -f /etc/ipnat.rules"
ipnat_flags=""
/etc/ipnat.rules
map xl0 192.168.0.0/16 -> 10.1.1.1/32
map xl1 192.168.0.0/16 -> 10.2.2.2/32

[Kolobrod]

спасибо за попытку, но краткое и емкое слово *уй - говорит нам о том что воз и ныне там

[_kirill_]

у вас серые айпи?

[Kolobrod]

у вас серые айпи?

просьба обьяснить "серые айпи"

[Kolobrod]

в данный момент сижу и пингую из дома через своего домашнего провайдера

попробуй добавить след. правило:

Код: Выделить всё

/sbin/ipfw add 1 fwd 10.2.2.100 all from 10.2.2.2 to any out xmit xl1

а ещё рекомендую юзать ipnat а не natd

Код: Выделить всё

/etc/rc.conf
ipnat_enable="YES"
ipnat_program="/sbin/ipnat -CF -f /etc/ipnat.rules"
ipnat_flags=""
/etc/ipnat.rules
map xl0 192.168.0.0/16 -> 10.1.1.1/32
map xl1 192.168.0.0/16 -> 10.2.2.2/32

и почему вы предположили что маски подсетей у меня одинаковы?

[_kirill_]

у вас серые айпи?

просьба обьяснить "серые айпи"

серые это значит айпи из диапозонов 10.0.0.0, 192.168.0.0 и т.д... Есть диапозоны айпишнегов, которые используются только в локальных сетях. Вот я и спрашиваю, если у вас серый айпи, то вы его не сможете пинговать из инета. Просто ответьте, все что вы выше написали достоверно конфигурации, или вы на 10.1.1.1, 10.2.2.2 подменяли?

[Kolobrod]

и еще разве ipnat работает в связке ipfw? я подразумевал ipnat+ipf

[Kolobrod]

да есстественно что 10.1.1.1 и 10.2.2.2 подмененные айпишники внешних интерфейсов, единственное что осталось не тронутым - это адреса внутренний сетки

[_kirill_]

и еще разве ipnat работает в связке ipfw? я подразумевал ipnat+ipf

да

[alex3]

значит так... пинговаться этот интерфейс должен только с подсети 10.2.2.8/29
в остальных случаях echo request идет по дефолтному маршруту.

[_kirill_]

да есстественно что 10.1.1.1 и 10.2.2.2 подмененные айпишники внешних интерфейсов, единственное что осталось не тронутым - это адреса внутренний сетки

так значит, у вас есть пинг на 10.2.2.100 с сервера? вы хотите чтобы удаленный офис коннектился на 10.2.2.2?

[Kolobrod]

значит так... пинговаться этот интерфейс должен только с подсети 10.2.2.8/29
в остальных случаях echo request идет по дефолтному маршруту.

так блин в этом и дело пингуя от себя дома и залев на фряху по ssh я вижу что пакет пинга доходит до 10.2.2.2 , но уходит через 10.1.1.1 - грабли вижу, где копать не могу понять (((