В интернет свквозь два шлюза

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Dushes
рядовой
Сообщения: 29
Зарегистрирован: 2007-03-22 14:20:38
Контактная информация:

В интернет свквозь два шлюза

Непрочитанное сообщение Dushes » 2007-03-22 15:11:22

Есть две зоны зона где стоят сервера и зона сети ....
Сервер S1 раздаёт интернет, на S2 интернет тоже есть, а задача штобы клиент S3 подключившись через pppoe(сервер S2) тоже имел интернет ....
При подключении через pppoe создаётся виртуальный ip сервера 192.168.99.1/24,
ну и клиентские ip 192.168.99.2-254/24
С клиентской машины 192.168.99.1 пингуется, и с сервера S2 клиентская машина тоже пингуется, ну и клиент друг друга пингуют легко, с машины внутрений интерфейс S2 (192.168.2.3) тоже доступен ... а вот далее попать не удаётся на 192.168.2.1 (ну и далее в интернет), такое впячатление что S2 под FreeBSD не форвардит сквозь себя пакеты на шлюз по умолчанию ... как нить возможно проверить отправляет ли он пакеты на S1 ? у кого ваще какие мысли ?

Код: Выделить всё

S2:
# таблица маршрутизации
netstat -rn
Routing tables
Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.2.1        UGS         0        3   net0
127.0.0.1          127.0.0.1          UH          0        0    lo0
192.168.2          link#2             UC          0        0   net0
192.168.2.1        00:50:22:b1:31:ec  UHLW        2        0   net0   1189
192.168.2.100      00:01:6c:fc:56:0d  UHLW        1       30   net0   1180
# пингуем шлюз
ping 192.168.2.1
PING 192.168.2.1 (192.168.2.1): 56 data bytes
64 bytes from 192.168.2.1: icmp_seq=0 ttl=64 time=0.450 ms
# пингует выход в инет
ping mail.ru
PING mail.ru (194.67.57.26): 56 data bytes
64 bytes from 194.67.57.26: icmp_seq=0 ttl=118 time=67.086 ms
# настройка файрвола всё открыто
ipfw list
00100  allow ip from any to any
65535  deny ip from any to any
Вложения
risunok.JPG
risunok.JPG (12.9 КБ) 875 просмотров

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Dushes
рядовой
Сообщения: 29
Зарегистрирован: 2007-03-22 14:20:38
Контактная информация:

Непрочитанное сообщение Dushes » 2007-03-22 15:20:25

ядро скомпилено с поддержкой форвардинга

Код: Выделить всё

options	IPFIREWALL			
options  IPFIREWALL_VERBOSE	
options  IPFIREWALL_VERBOSE_LIMIT=100
options  IPFIREWALL_FORWARD	
options  IPDIVERT	
options  DUMMYNET

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-03-22 15:37:28

rc.conf
GATEWAY_ENABLE="YES" ?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-03-22 15:41:21

как нить возможно проверить отправляет ли он пакеты на S1 ? у кого ваще какие мысли ?
Легко.
1. Подключаешь клиента по PPPoE и пингуешь 192.168.2.1 (Или mail.ru)
2. запускаешь на S2 tcpdump на нужном или всех интерфейсах.

Код: Выделить всё

tcpdump -n icmp
3. Как вариант

Код: Выделить всё

00200  allow count icmp from any to any
и смотришь /var/log/security, что куда ушло
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Dushes
рядовой
Сообщения: 29
Зарегистрирован: 2007-03-22 14:20:38
Контактная информация:

Непрочитанное сообщение Dushes » 2007-03-22 16:27:47

dikens3 писал(а):rc.conf
GATEWAY_ENABLE="YES" ?
стоит

Аватара пользователя
Dushes
рядовой
Сообщения: 29
Зарегистрирован: 2007-03-22 14:20:38
Контактная информация:

Непрочитанное сообщение Dushes » 2007-03-22 16:32:17

а кто нить может привести пример как правельно должны стоять ip адреса и маски и таблици маршрутизации что бы попасть в инет через 2 шлюза ?

192.168.99.0/24 -- локалка
192.168.2.0/24 так называемая DMZ (сеть где все сервера)
88.205.253.50/255.255.254.0 -- ip на интерфейсе который смотрит в инет ...
88.205.252.1 --- шлюз провайдера

просто мне кажется нужно какие то статические роут таблицы писать, никак только вкурить не могу как ...

Аватара пользователя
Dushes
рядовой
Сообщения: 29
Зарегистрирован: 2007-03-22 14:20:38
Контактная информация:

Непрочитанное сообщение Dushes » 2007-03-22 16:34:24

tcpdump -n icmp запускаю на S1 и на s2 один показывает что пакет уходит на s1 а другой приходит, но всё только в одну сторону, такое впечатление что пинг не отвечает с s1 ...

Аватара пользователя
serge
майор
Сообщения: 2132
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Непрочитанное сообщение serge » 2007-03-22 16:39:11

А клиент в качестве шлюза что получает?

Аватара пользователя
serge
майор
Сообщения: 2132
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Непрочитанное сообщение serge » 2007-03-22 16:44:04

И в догонку... вроде точно по твоей проблеме: http://www.freebsd.org/doc/ru_RU.KOI8-R ... uting.html

Аватара пользователя
Dushes
рядовой
Сообщения: 29
Зарегистрирован: 2007-03-22 14:20:38
Контактная информация:

Непрочитанное сообщение Dushes » 2007-03-22 18:28:56

спасибо именно то что надо .... статик роут ....
route add -net 192.168.99.0 netmask 255.255.255.0 gw 192.168.2.3 dev eth0
на s1 решило всё ....