связь между двумя серверами

[popka]

Привет вообщем опишу такую ситуацию есть два сервера SERVER #1 и SERVER #2 . Так вот SERVER #1 находится за NAT и доступ из вне я к нему получить не мог и что мне пришло в голову поднять между ними VPN туннель, SERVER #1 подключается к SERVER #2 спокойно пакеты бегают туда-сюда SERVER #1 пингует ресурсы SERVER #2 и даже устанавливает связь по ssh c ним так же и с другими ресурсами которые находятся в сети номера второго, но когда я пытаюсь SERVERОм #2 установить связь с первым по средством ssh всё вроде проходит нормально запрашивается имя пользователя, потом пароль и всё после того как я наберу пароль и нажму ENTER сеанс зависает, хотя что первый что второй показывает что сокеты открыты между ними по ssh. Помогите решить проблему, пожалуйста.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

копни в сторону ДНС

[popka]

я сомневаюсь что дело в днс дело в том, что бывают иногда такие моменты которые не как не систематизированны допустим раз в сутки пустит и тут же зависнит снова сеанс.

[princeps]

лаги. adsl, наверное?

[popka]

всё отлично, уменьшил MTU до 1400 и всё отлично работает, правда какая-то проблема с маршрутизацией, со стороны клиента в сторону сервера и за его приделы пакеты бегают, а вот обратно почему то клиент не маршрутизирует

сервер

Код: Выделить всё

router# sockstat -4 | grep nat
root     natd       1213  4  div4   *:8669                *:*
root     natd       553   4  div4   *:8668                *:*
router# ipfw show | grep 866
00040 27962395 21402265090 divert 8668 ip from any to any via rl1
00050 27962502 21402291713 divert 8668 ip4 from any to any via rl1
00090 27545929 20288611819 divert 8669 ip from any to any via ng0
router#

клиент

Код: Выделить всё

freebsd# sockstat -4 | grep nat
root     natd       3809  4  div4   *:8669                *:*
root     natd       685   4  div4   *:8668                *:*

freebsd# ipfw show | grep 866
00050     28     2712 divert 8668 ip4 from any to any via rl0
00090      0        0 divert 8669 ip4 from any to any via ng0

[Laa]

А зачем НАТ на тунеле? Может убрать нат и дать пакетам маршрутизироваться??

[popka]

А зачем НАТ на тунеле? Может убрать нат и дать пакетам маршрутизироваться??

я попробую, но сомневаюсь

[popka]

удалил нат с интерфейса ng0 оставил только на rl0 не работает

[AGN]

тут несколько моментов...
1. По разные стороны тунеля не должно быть одинаковой подсети... иначе тунель будет работать только по своим адресам от машины до машины... т.е. скажем при соединении у сервера 10.10.10.10, а у клиента 10.10.10.20... они между собой по этим адресам будут "общаться" без проблем... а вот если за этими серваками и там и там любимая сетка 192.168.0.0/24 - далее будет облом... т.к. если завернуть маршрутами 192.168.0.0/24 в тунель - у тебя локалка не будет работать... и толку всё равно 0... т.к. машина будет искать хост из той же подсети по АРПу ... и шлюз ей не уперся... т.е. сервак будет искать 192.168.0.0/24 за тунелем и при этом локалка у него отвалится, но ту сеть он будет видеть.
2. Если сети разные (например 192.168.0.0/24 и 192.168.1.0/24) то нужно просто нормально прописать маршруты с обеих сторон... что бы вторую сеть искали за тунелем... иначе её будут искать через дефолтный шлюз провайдера - на котором подобные сети вообще запрещены...

В нате тут особо потребности не вижу... разве что клиентам из одной подсети раздавать инет через шлюз в другой... но какой смысл плодить трафик на двух каналах?

[schizoid]

удалил нат с интерфейса ng0 оставил только на rl0 не работает

а маршруты описал?

[AGN]

Мы уже в аське разобрались... всё оказалось проще...
т.к. машина "клиент" не являлась шлюзом для своей сети и маршрут на шлюзе прописать не представлялось возможным - нужен был нат...
а нат не работал из-за ошибки в правилах ipfw... вот и всё.

[popka]

Теперь вообщем другая проблема тот впн сервер к которому конектится mpd не имеет реального ип и благодаря dyndns удалось привязать динамический ип к домену но вот если сервер перезагрузится то мпд занова не переподключается в виду того что ломится на старый ип пробовал такой вариант в down script

Код: Выделить всё

#!/bin/sh
/sbin/ipfw delete 24
/sbin/ipfw delete 25
/sbin/ipfw delete 51
#/sbin/ipfw delete 90
#/sbin/route delete 85.21.0.66
#/sbin/route delete default
#/sbin/route add default 10.197.80.1
/bin/kill -3 `cat /var/run/natd2.pid`
/sbin/route delete -net 192.168.0.0 192.168.10.1
/bin/sleep 5
/bin/sh /usr/local/etc/mpd4/vpn/updown.sh &

передаю управление скрипту updown.sh и в фон его

Код: Выделить всё

#!/bin/sh
/bin/kill `cat /var/run/mpd.pid`
/bin/sleep 10
/usr/local/sbin/mpd4 -b

в итого действительно один раз mpd убивается и перезапускается, но только один раз, а если сервер в этот момент не доступен то он соответственно не может не куда подцепиться и весит. Вообщим можно конечно вызывать по крону скрипт который будет каждые 5 минут к примеру смотреть поднят ли интерфейс и если нет то перезапускать, но хочется силами mpd.