Маржрутизация между двумя сетями

[Sun]

Пытаюсь настроить маршрутизатор на:

Код: Выделить всё

get# uname -a
FreeBSD get.free.ru 7.0-RELEASE FreeBSD 7.0-RELEASE #0: Sun Feb 24 19:59:52 UTC 2008

Есть:
локалка 192.168.200.0/24
интерфейс 192.168.200.60/255.255.255.0 на него льется инет от вышестоящего сервера 192.168.200.100 (rl0)
Dns server 172.16.1.1
================================================================================================
интерфейс 172.20.120.12/255.255.255.248 на нем висит другая подсеть,доступ к которой нужно получить,вышестоящий маршрутизатор 172.20.120.5(rl1)
Dns server 172.20.121.5

Сервер должен находиться и в той и в другой подсети, пока только получается его затавить работать либо в той либо в той сети,т.е. если работает 192.168.200.60 то не работает 172.20.120.12.

Код: Выделить всё

# cat /etc/rc.conf
hostname="get.free.ru"
gateway_enable="YES" 
defaultrouter="172.16.1.1"

ifconfig_rl0="inet 192.168.200.60 netmask 255.255.255.0"
ifconfig_rl1="inet 172.20.120.12 netmask 255.255.255.248"

sshd_enable="YES"

Код: Выделить всё

# cat /etc/resolv.conf
nameserver 172.16.1.1
nameserver 172.20.121.5

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

Код: Выделить всё

gateway_enable="YES" 

[Sun]

включено,но проба пингануть хост из одной или другой подсети выдает только это:

Код: Выделить всё

ping: cannot resolve www.ru: Host name lookup failure

[zingel]

а до 172.16.1.1 53 порт открыт?

[Sun]

файрвола нет,система чистая,53 порт на серваке выше открыт

[zingel]

навесить сеть на интерфейс не пробовали? например

Код: Выделить всё

ifconfig ed0 inet xxx.yy.zz.nn/28 add

[Sun]

не не пробовал сделал так, пинги уходят только в сторону 192.168.200.0 это rl0

Код: Выделить всё

hostname="get.vsit.ru"

gateway_enable="YES"
defaultrouter="192.168.200.60"

ifconfig_rl0="DHCP"
ifconfig_rl1="inet 172.20.120.12 netmask 255.255.255.248"

static_routes="rs1"
route_rs1="-net 172.20.0.0 -netmask 255.255.0.0 172.20.120.5"

sshd_enable="YES"

[Sun]

Получился такой конфиг:
rc.conf

Код: Выделить всё

hostname="get.vsit.ru"

gateway_enable="YES"

ifconfig_rl0="inet 192.168.201.60 netmask 255.255.255.0"  # локалка, этой машине разрешено лазить в инет без авторизации утм
ifconfig_rl1="inet 172.29.151.14 netmask 255.255.255.248" # второй провайдер сеть каторого тоже нужна

static_routes="net1 net2"
route_net1="-net 192.168.0.0 -netmask 255.255.255.0 192.168.201.100" # для локалки
route_net2="-net 172.29.0.0 -netmask 255.255.0.0 172.29.151.9" # для прова 

sshd_enable="YES"

firewall_enable="YES"
firewall_type="OPEN"

natd_enable="YES"
natd_interface="rl1"
natd_flags="-f /etc/natd.conf"

resolv.conf

Код: Выделить всё

nameserver 172.16.1.1 # днс локального, домен vsit.lan
nameserver 172.29.128.9 # днс прова, домен rs

Смотрим маршруты:

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
127.0.0.1          127.0.0.1          UH          0        0    lo0
172.29.0.0/16      172.29.151.9       UGS         0       22    rl1
172.29.151.8/29    link#2             UC          0        0    rl1
172.29.151.9       00:22:91:49:0e:51  UHLW        2        0    rl1   1176
192.168.0.0/24     192.168.201.100    UGS         0        0    rl0
192.168.201.0/24   link#1             UC          0        0    rl0
192.168.201.49     00:1c:25:04:c5:b5  UHLW        1       42    rl0   1181
192.168.201.100    link#1             UHLW        2        0    rl0

После чего пингуем во все стороны по днс:

Код: Выделить всё

#ping nahoste.ru
PING nahoste.ru (89.105.156.71): 56 data bytes
ping: sendto: No route to host
^C
--- nahoste.ru ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss
#ping vsit.lan
ping: cannot resolve vsit.lan: Unknown host
#ping vpn.rs
PING vpn.rs (172.29.128.104): 56 data bytes
64 bytes from 172.29.128.104: icmp_seq=0 ttl=63 time=0.682 ms
^C
--- vpn.rs ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.526/0.604/0.682/0.078 ms

Затем по ип:

Код: Выделить всё

ping 192.168.201.100
PING 192.168.201.100 (192.168.201.100): 56 data bytes
64 bytes from 192.168.201.100: icmp_seq=0 ttl=64 time=0.342 ms
^C
--- 192.168.201.100 ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.201/0.272/0.342/0.071 ms
#ping 172.16.1.1
PING 172.16.1.1 (172.16.1.1): 56 data bytes
ping: sendto: No route to host
^C
--- 172.16.1.1 ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss
#ping 172.29.128.9
PING 172.29.128.9 (172.29.128.9): 56 data bytes
64 bytes from 172.29.128.9: icmp_seq=0 ttl=63 time=0.982 ms
^C
--- 172.29.128.9 ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.512/0.747/0.982/0.235 ms

[zingel]

флажок

[Sun]

непонял,чего?

[zingel]

метка темы, чтобы потом можно было найти по-тегу *флажок*

[Sun]

Получилось все заработало!:)

[Sun]

Вроде с маршрутизацией мал мал разобрался, встала новая задача. Теперь нужно раздать это все добро народу. Хотелось бы узнать как это сделать более гуманно и правильно,пока что картина такая данная машина находится в 3 сетях(кста картина ниже). Задача примерно такая разрешить из 172.29.0.0 подключаться по впн к серверу и получать ресурсы 192.168.201.0, а локалке 192.168.1.0 юзать ресурсы 192.168.201.0 и 172.29.0.0 без каких либо подключений.

[schizoid]

Задача примерно такая разрешить из 172.29.0.0 подключаться по впн к серверу и получать ресурсы 192.168.201.0

можно попробовать при ВПНе выдавать ИПы из диапазона 192.168.201.0

, а локалке 192.168.1.0 юзать ресурсы 192.168.201.0 и 172.29.0.0 без каких либо подключений.

ну тут маршруты просто

[Sun]

Прошу помощи, не могу понять почему не работатет файр:

Код: Выделить всё

#!/bin/sh -

fwcmd="/sbin/ipfw -q"

vif="rl0"
vip="192.168.201.60"
vlan="192.168.201.0/24"

rif="rl1"
rip="172.29.151.14"
rlan="172.29.0.0/16"

rdc="192.168.201.100,192.168.201.49"
vpn="10.100.204.0/24"

#====================================================
${fwcmd} -f flush
${fwcmd} add check-state

# loopback
${fwcmd} add pass all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any

# SSH разрешаем заходить удаленно
${fwcmd} add pass tcp from ${rdc} to me 22 via ${vif}
${fwcmd} add pass tcp from 192.168.201.49 to any 222 via ${vif}

# Разрешаем администрировать MPD через веб морду
${fwcmd} add pass tcp from any to me 5006

# DNS разрешаем обращаться к нашему DNS
${fwcmd} add pass udp from me 53 to any
${fwcmd} add pass udp from any to me 53

# DNS - разрешаем принимать DNS с других серверов
${fwcmd} add pass udp from me to any 53
${fwcmd} add pass udp from any 53 to me

# Разрешаем цепляться к MPD
${fwcmd} add pass tcp from any to me 1723 keep-state

# GRE for MPD5 - в этот протокол инкапсулируются все пакеты установившегося соединения VPN
${fwcmd} add pass log gre from any to any

# Разрешаем серверу спокойно ходить в обе сети
${fwcmd} add pass all from me to any via ${vip}
${fwcmd} add pass all from me to any via ${rip}

# *** NAT ***
${fwcmd} nat 123 config ip ${vip}
${fwcmd} add nat 123 ip from ${vpn} to any
${fwcmd} add nat 123 ip from any to ${vip} via ${vif}

# Разрешаем только нужный нам ICMP трафик
${fwcmd} add pass icmp from any to any icmptypes 0,3,4,8,10,11,30

# все что не прокатило режим с занесением в логи (/var/log/security по умолчанию)
#${fwcmd} add deny log logamount 3000 all from any to any
${fwcmd} add pass log logamount 3000 all from any to any

при таких правилах подключившись по впн все работает, но если раскоментировать предпоследнюю строку то не фига не работает какого правила не хватает понять не могу,подскажите плиз!

[NoResponse]

дык много чего не хватает, у тебя же после ната по сути никаких правил нет кроме ицмп

[Sun]

дык я вот и понять не могу какие правила то надо? Делал следующие но на веб странички не пускало...

Код: Выделить всё

${fwcmd} add pass all from ${vpn} to any 80

Еще были касательно фтп,аси и т.д. но в инет не пускало,подскажите как правильно их записать, и еще если не трудно скажите у меня часть про нат составлена правильно?