forum.lissyara.su

Доброе время суток.
Возникла проблема с прохождением трафика на шлюзе. Для начала опишу что имеется:
2 канала (канал 1 - 10 Мб, канал 2 - 3 Мб)
Шлюз: ОС FreeBSD, Firewall: PF
имеются 2 сетевых карты Intel Pro1000 (em0, em1). em0 настроен на Vlan 2,3,4. Которые:Vlan2 канал 1, Vlan3 канал 2, Vlan4 DMZ (белые ip адреса от провайдера канала 2)
Интерфейс em1 смотрит в сеть.(Схема на рисунке)

Суть проблемы: В ДМЗ имеются сервера с белыми IP адресами, которые из локальной сети пингуются на ура и со шлюза тоже, но вот проблема, если пускаешь команду PING или tracert (traceroute) пакеты проходят через внешний IP адрес канала 1, т.е. как бы так Пробовали варианты через команды route-to и reply-to
PS с исходящим каналом от серверов до интернета по второму каналу получилось сделать:
pass in on $dmz_iface route-to ($ext_iface2 $ext_ip2) from $dmz_ip to any keep state
Помогите решить проблему.

Вы когда в ДНС прописывали для серверов расположенных в ДМЗ какие им адреса писали (какого провайдера)?

Gloft писал(а):Вы когда в ДНС прописывали для серверов расположенных в ДМЗ какие им адреса писали (какого провайдера)?

Все ip адреса в ДМЗ белые - провайдер канала 2. данный провайдер выдал нам пул ip адресов.

Ты пингуешь имя хоста.
Имя хоста транслируют в ip через dns сервер.
Если ты использую ping или tracert попадаешь не на тот сервер, то откуда берется неверный ip?
Может у тебя на машине прописаны ip в host-e?
Проверь dns и host.

Имя хостат днс имя соответствует его ip адресу трасерт и пинги доходят но маршрут разный

У какого провайдера вы взяли диапазон ip?

Ростелеком

Я не об этом. Вы взяли у некоторого провайдера ip адреса (арендуете). Он их и маршрутизирует на уровне провайдеров, а потом прокидывает на ваш шлюз.
Ведь у вас на шлюзе нет BGP маршрутизации? Если вы хотите чтобы поток к серверам проходил через второго провайдера берите ip-адреса у него.
Теоретически возможно перенастроить маршрутизацию у провайдера, но не думаю чтобы он на это согласился, да и второй провайдер тоже должен сделать настройки.

И все же как можно с маршрутизировать входящий трафик, от второго провадера (резервный канал) на другой интерфейс, с определенным адресом назначения?
Я читал мануал там говорится, что эта задача решается через route-to и reply-to.
Как правильно прописать правила?

Какой мануал?
Повторю еще раз. Твоя компания арендует ip-адреса (прямые адреса интернет) у провайдера, но числятся они за провайдером. И на уровне всех других провайдеров интернета, маршрут к этим адресам лежит через маршрутизатор твоего провайдера (того у которого ты арендуешь ip-адреса). Т.к. у него есть возможность прописывать маршруты на своем маршрутизаторе. Ты можешь перенастроить ответы от серверов через другого провайдера, но вот входящий трафик пустить через него ты не можешь (у тебя нет возможности менять маршруты интернета).

tangichhan писал(а):И все же как можно с маршрутизировать входящий трафик, от второго провадера (резервный канал) на другой интерфейс, с определенным адресом назначения?
Я читал мануал там говорится, что эта задача решается через route-to и reply-to.
Как правильно прописать правила?

добрый день, у циски это называется полис-бэйсед роутинг , это правила по которым роутяца пакеты (не смотря в таблицу маршрутизации) если ни одно правило не совпало, то трафик идёт как обычно через таблицу маршрутизации.
http://www.lissyara.su/articles/freebsd/tuning/pbr+pf/
http://ipfw.ism.kiev.ua/pbr.html
http://www.opennet.ru/base/net/bsd_pbr_route.txt.html

vintovkin писал(а):

tangichhan писал(а):И все же как можно с маршрутизировать входящий трафик, от второго провадера (резервный канал) на другой интерфейс, с определенным адресом назначения?
Я читал мануал там говорится, что эта задача решается через route-to и reply-to.
Как правильно прописать правила?

добрый день, у циски это называется полис-бэйсед роутинг , это правила по которым роутяца пакеты (не смотря в таблицу маршрутизации) если ни одно правило не совпало, то трафик идёт как обычно через таблицу маршрутизации.
http://www.lissyara.su/articles/freebsd/tuning/pbr+pf/
http://ipfw.ism.kiev.ua/pbr.html
http://www.opennet.ru/base/net/bsd_pbr_route.txt.html

Вопрос был о входящем трафике а не исходящем.

в таком случае только на уровне провайдеров можно решить вопрос ...