ipfw & fwd

[Antti]

Постанова следующая: есть клиентская сеть 192.168.58.0/24. Есть коммутатор с VLAN. Есть роутер на фряхе 6.2 с двумя сетевухами, умеющими VLAN. Есть циска провайдера с VLAN. На коммутаторе поднят VLAN9, на роутере с внутр. стороны тоже поднят VLAN9 с интерфейсом 192.168.58.9 и этот адрес прописан у всех клиентов сети 192.168.58.0 как шлюз по умолчанию. Далее на циске нарезаны 2 VLAN'а - VLAN100 и VLAN101 со след. подсетками - 10.0.30.0./30 и 10.0.40.0/30. На роутере с внешн. стороны также нарезаны два VLAN'а 100 и 101 с и-фейсами 10.0.30.2 и 10.0.40.2, на циске интерфейсы соответственно 10.0.30.1 и 10.0.40.1. Ну вроде все расписал, а теперь задача: требуется выпустить сеть 192.168.58.0/24 в инет через циску прова. С роутера и в ту и в другую сторону все видится и пингуется, а вот с клиента только 192.168.58.9 и дальше нифига....
пробовал и так...

Код: Выделить всё

${FwCMD} add divert natd log ip from 192.168.58.0/24 to any
${FwCMD} add fwd 10.0.40.1 log ip from 10.0.40.2 to any
${FwCMD} add divert natd log ip from any to 10.0.40.2

и так....

Код: Выделить всё

${FwCMD} add fwd 10.0.40.1 log ip from 192.168.58.0/24 to any

без толку....помогите разрулить, голову сломал...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Antti]

Ну так что - так никто и не поможет.....??? Ведь по теории это тот же самый Policy-Based Routing, только и-фейсов поболе... Где тут все гуру ?

[dikens3]

Чё-то как-то мудрено очень написал, буков много.

[Antti]

Чё-то как-то мудрено очень написал, буков много.

Попробую подругому....



--клиент1 -------------коммутатор ---------- роутер ------------------- cisco
---vlan9-------------------vlan9-------------vlan9-----vlan100-----------------vlan100
192.168.58.x------------vlan8--------192.168.58.9---10.0.40.2-----------10.0.40.1
-----------------------------------------------vlan8-----vlan101-----------------vlan101
--клиент2------------------------------192.168.57.9---10.0.30.2------------10.0.30.1
---vlan8
192.168.57.x
на гориз. линии не смотрите, это чтобы все в кучу не съезжало...

[dikens3]

Уже въехал, но не во всё. Какой default gateway на роутере?
Почему 2 канала на циску? Каким образом они оба используются?
Исходящий траффик клиентов будет идти по одному каналу или обоим?

[Antti]

Уже въехал, но не во всё. Какой default gateway на роутере?
Почему 2 канала на циску? Каким образом они оба используются?
Исходящий траффик клиентов будет идти по одному каналу или обоим?

На роутере default gateway в совсем другую подсеть, да это и не важно, на самом деле я здесь описал упрощенный вариант с двумя каналами, на самом деле их должно быть > 25...
Исходящий траффик клиентов должен идти из каждого вилана клиента в свой вилан прова, то есть на рутере с каждой стороны по 25 виланов, и в сторону клиентов, и в сторону циски прова, и каждый клиент ходит по своему каналу в инет...вот такая нетривиальная задача, если бы надо было всех в один канал выкинуть, я бы не писал....

[dikens3]

Мдя..Чё людям спокойно не живётся. Попал ты однако.

Итак, что мы знаем, что входящий пакет от твоих клиентов (клиентских VLAN) будет отправлен через default gateway.
Но, задача отправлять всегда в VLAN прова (для каждого клиентского VLAN свой VLAN прова), а это значит что придётся использовать ipfw fwd.

1. Принимаем пакеты из всех клиентских VLAN'ов.
2. Нужно применять NATD (или аналоги) для каждого клиентского VLAN'а. (у каждого VLAN NATD будет свой) Т.е. натим.
3. Затем отправлять через нужный провайдерский VLAN'у. (ipfw fwd)
4. При приёме из провайдерского VLAN'а, пакет обязательно должен попадать в NATD из п.2
5. Принимаем этот пакет.
6. Отправляем клиенту.

Образно примерно так.

Код: Выделить всё

Подробнее отправка через нужные VLAN провайдера:
1. allow ip from КЛИЕНТСКИЕ_VLAN'ы to ИНТЕРНЕТ in
2. 
divert natd1(vlan1) from IP-Адреса_VLAN1 to интернет
divert natd2(vlan2) from IP-Адреса_VLAN2 to интернет
divert natd2(vlan2) from IP-Адреса_VLAN3 to интернет
...
3.
ipfw fwd ШЛЮЗ_vlan1(прова) from IP_natd1 to any
ipfw fwd ШЛЮЗ_vlan2(прова) from IP_natd2 to any
ipfw fwd ШЛЮЗ_vlan3(прова) from IP_natd3 to any

Подробнее приём:
4. 
divert natd1(vlan1) from интернет to IP-Адрес_VLAN1
divert natd2(vlan2) from интернет to IP-Адрес_VLAN2
divert natd3(vlan3) from интернет to IP-Адрес_VLAN3
5. allow from Интернет to СПИСОК_IP_ВСЕХ_VLAN'ов in
6. allow from Интернет to СПИСОК_IP_ВСЕХ_VLAN'ов out

Лучше интерфейсы использовать конечно.
к примеру (я не помню как маркируются vlan интерфейсы, пусть будет ng0,ng1,ng2 и т.д.):
1. allow ip from КЛИЕНТСКИЕ_VLAN'ы(IP-Адреса) to ИНТЕРНЕТ in via ng*
тут пакет будет принят к отправке через default gateway, таким образом у него будет метка recv ng0(1,2,3 - Это метко о интерфейсе, через который вошёл пакет. В зависимости от того VLAN, по которому вошёл пакет, метка будет разная)
2. NATD можно использовать в зависимости от того интерфейса, по котором пакет вошёл.
divert natd1(vlan1) from IP-Адреса_VLAN1 to интернет out recv ng0
ipfw fwd ШЛЮЗ_vlan1(прова) from IP_natd1 to any out recv ng0

Что нибудь типа этого нужно использовать, так проще потом понять откуда ноги растут.

P.S. Нагрузка на NATD очень большая может быть, там смотри сам, переходить на ipnat или pf.

[Antti]

Посмотри, я все же мне кажется что-то недопонял, потому как так не пашет....

Код: Выделить всё

${FwCMD} add allow ip from 192.168.58.0/24 to any in via vlan9
${FwCMD} add divert natd log ip from 192.168.58.0/24 to any out recv vlan9
${FwCMD} add fwd 10.0.40.1 log ip from 10.0.40.2 to any out recv vlan9
${FwCMD} add divert natd log ip from any to 10.0.40.2
${FwCMD} add allow log ip from any to 192.168.58.0/24 in
${FwCMD} add allow log ip from any to 192.168.58.0/24 out

и еще - все адреса реально серые, как написаны, может имеет смысл вообще отказаться от ната ? Будет ведь проще...

[dikens3]

Без ната тебя провайдер выпустит? И под каким IP? Любым?

Думай, смотри логи. Смотри по каким правилам бегают пакеты.

[Antti]

Без ната тебя провайдер выпустит? И под каким IP? Любым?

Выпустит, он натит у себя на циске, такая договоренность...А IP он же сам и выдает - vlan100-10.0.40.0/30, vlan101-10.0.30.0/30 и т.д.

Думай, смотри логи. Смотри по каким правилам бегают пакеты.

смотрю...с клиента 192.168.58.53 пытаюсь пинговать 10.0.40.1 - в логах даже попыток прохождения по правилам нет - куда они деваются...?

[dikens3]

tcpdump -n -i vlan9

[Antti]

Замучил меня ipfw - перекомпилил ядро на PF и проблема решилась двумя строками...

Код: Выделить всё

nat on vlan100 from 192.168.58.0/24 to any -> 10.0.40.2
pass out route-to (vlan100 10.0.40.1) from 10.0.40.2 to any

все заработало - спасибо за участие !
P.S. Вопрос по загруженности - потянет PF такую нагрузку и как лучше отмониторить это дело ?

[dikens3]

PF NAT намного быстрее NATD.
Как мониторить не знаю, опыта нет, только теории.
Загрузку каналов смотри, загрузку процессора и т.д. Статистика нужна вобщем.

[Antti]

Хорошо, понаблюдаю... потом напишу. Спасибо еще раз.