PDA

Bekijk de volledige versie : Несколько Wan-портов на роутере


Vitaly_k
20-06-2005, 19:33
Позволяет ли схемотехника G/GX при наличии соотв. прошивки использовать один из LAN-портов как дополнительный WAN-порт? Хотя бы в простейшем режиме Static-IP.
Oleg
20-06-2005, 21:04
Deluxe - да, обычная нет. Только со софтом самому прийдётся возиться. :)
Deluxe позволяет каждый из портов превратить в отдельную сеть.
Vitaly_k
20-06-2005, 22:26
А насколько значительные изменения в прошивке? Внешними pakages это решается?
И еще, ты не задумывался в своей прошивке по другому в веб-интерфейсе сделать настройку WAN? Ведь по сути несколько WAN-интерфейсов уже есть когда соединяешься по PPTP поверх локалки в домашних сетях. Может сделать разделы WAN1, WAN2, WAN3...
Для каждого интерфейса сделать возможность привязать его к одному из 5 физических портов или указать поверх какого соединения этот интерфейс работает (PPTP).
Oleg
21-06-2005, 07:13
Готовых таких пакетов нет. Впрочем, для присвоения статического IP никакие пакеты и не нужны.

Нет, не задумывался. Это довольно трудоёмко, т.к. хотя внутри и есть подобная возможность, но уж больно привязана к одному соединению АСУСом. И самое главное - мне это в web интерфейсе не нужно. :)
Chili@Hot
17-02-2006, 07:43
ДД!

Приобрел сей девайс. Есть вопрос: планирую в ближайшие дни подключить местную локальную сеть, которая дает как локальные ресурсы, так и интернет, использоваться будут только локальные ресурсы. В дополнение использую другого провайдера у которого беру инет, а также всяко разно из его внутренней сети. Задача в том, чтобы настроить рутинг на подсети. Адреса подсетей известны. По дефолту, стандартный WAN-порт будет смотреть в сеть с интернетом.

Читал, что это возможно сделать через консоль: организовать еще один WAN порт. И прописать рутинг в подсети.

Буду признателен, если напишите, какую прошивку поставить для этих целей.

Еще есть вопрос по Firewall и NAT на второй, созданный, WAN-порт. Будут ли они там работать?
Tsvetkov
18-02-2006, 10:42
прошивка последняя Олега

почитать в прикрепленных faq про robocfg

ссылки url сайт на обоих провов
Chili@Hot
19-02-2006, 14:08
Прошился. Все еще разбираюсь, что к чему.

Вопросик, а что за интерфейс появился - Man?

Прикрепил к посту картинку с тем, что хочется получить. Буду признателен если по шагам объясните как это реализовать.
Chili@Hot
21-02-2006, 17:24
Некорректно изначально спросил, прошу прощения.

Нужно настроить 4й LAN порт на Asus Wl500G как WAN интерфейс и сделать на нем рутинг (постоянный маршрут из ХР в приложенной картинке).

Попытался сделать сие самостоятельно, но видимо не очень успешно, т.к. после команды robocfg vlan 2 ports "4 5t" vlan 0 ports "1 2 3 5t" подтверждения выполнения команды не последовало, а рутер подвис. Вылечил только передернув питание. Далее по команде robocfg show
он отобразил 4й LAN порт:

Switch: enabled
Port 0(W): 100FD enabled stp: none vlan: 1 mac: 00:0a:8b:6c:bc:54
Port 1(4): DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 2(3): DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 3(2): DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 4(1): 100FD enabled stp: none vlan: 0 mac: 00:30:4f:25:0e:9a
Port 5(C): 100FD enabled stp: none vlan: 1 mac: 00:15:f2:77:d2:c2
VLANs: BCM536x enabled mac_check mac_hash
vlan0: 1 2 3 4 5t
vlan1: 0 5t
vlan2:
vlan3:
vlan4:
vlan5:
vlan6:
vlan7:
vlan8:
vlan9:
vlan10:
vlan11:
vlan12:
vlan13:
vlan14:
vlan15:

В Линуксе я не силен, по сему прошу помощи, как это организовать.

Вопрос первый как удалить созданный WAN на 4м LAN?
Вопрос второй и самый главный как правильно все настроить? Буду признателен за пошаговую инструкцию, заранее всем спасибо!
gaaronk
21-02-2006, 22:15
прошивка от олега

на 4м лане WAN2

nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0
nvram commit
reboot

ip адрес

в /usr/local/sbin/post-boot
ifconfig vlan2 <ip address> netmask <mask> up
там же вписать рутинги
типпа
route add -net <net address> gw <gateway>

на втором WAN NAT
в /usr/local/sbin/post-firewall
iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY
iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY
iptables -t nat -A POSTROUTING -o vlan2 ! -s <ip address> -j MASQUERADE
Chili@Hot
22-02-2006, 06:10
Хотелось бы сделать все с нуля и понять как и что. Т.е. для начала удалить то что я создал через robocfg.

nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0

А подробнее можно, что команды значат? Хочется понять как и что.

в /usr/local/sbin/post-boot как попасть эту папку?

robocfg vlan 2 ports "4 5t" vlan 0 ports "1 2 3 5t" это совсем не нужно было вводить?
gaaronk
22-02-2006, 07:03
Хотелось бы сделать все с нуля и понять как и что. Т.е. для начала удалить то что я создал через robocfg.

nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0

А подробнее можно, что команды значат? Хочется понять как и что.

собственно эти команды выставляют переменные по которым при загрузке и конфигурируются виланы


в /usr/local/sbin/post-boot как попасть эту папку?

это файл. описано в FAQ


robocfg vlan 2 ports "4 5t" vlan 0 ports "1 2 3 5t" это совсем не нужно было вводить?

не надо
Chili@Hot
22-02-2006, 09:25
собственно эти команды выставляют переменные по которым при загрузке и конфигурируются виланы



это файл. описано в FAQ



не надо

Дык как теперь это убить?

nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0


Как я понял, в данном случае 1й LAN все же конфигурится как WAN порт, а не четвертый.
Oleg
22-02-2006, 14:30
Убивать ничего не надо. Действия robocfg живут до перезагрузки, а логический порт 1 - это LAN4.
Chili@Hot
23-02-2006, 10:59
2Oleg:

Правильно ли я понял следующее:
в /usr/local/sbin/post-boot
ifconfig vlan2 <ip address> netmask <mask> up
там же вписать рутинги
типпа
route add -net <net address> gw <gateway>


Необходимо создать папку, как указано в FAQ?

mkdir -p /usr/local/sbin
echo "#!/bin/sh" >> /usr/local/sbin/post-boot


Далее с коммандой echo ввести все что писал gaaronk?

Да, забыл, мне еще МАК нужно прописать.
Oleg
24-02-2006, 18:23
МАК - замените вызов ifconfig на



ifconfig vlan2 hw ether 00:11:22:33:44:55 up


Насчёт остального - Вы слишком путанно пишите, что хотите сделать. Операции с nvram нужно сделать один раз. В post-boot это писать не надо.
Chili@Hot
25-02-2006, 11:18
ВОт это я сделал:

nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0
nvram commit
reboot


Далее мне не понятно как сделать следующее:

в /usr/local/sbin/post-boot
ifconfig vlan2 <ip address> netmask <mask> up
там же вписать рутинги
типпа
route add -net <net address> gw <gateway>


Можно просто тупо для меня команды написать с пустыми местами вместо IP и масок? Там я уже конкретнее спрошу.

Вы слишком путанно пишите, что хотите сделать. Ну я не знаю с какого бока подойти, не знаю ни наборов команд ничего. Это ж не циска с ИОС и мануалом. :( Первый раз столкнулся с железкой на базе линукс. Про то что хочется сделать писал выше - 1 ван порт на 4м лане и маршрутизацию на нем для 3-х подсетей.
OlegI
26-02-2006, 20:33
ВОт это я сделал:
Ну я не знаю с какого бока подойти, не знаю ни наборов команд ничего. Это ж не циска с ИОС и мануалом. :( Первый раз столкнулся с железкой на базе линукс. Про то что хочется сделать писал выше - 1 ван порт на 4м лане и маршрутизацию на нем для 3-х подсетей.

с нуля: http://wl500g.info/showthread.php?t=3171 и до пункта 13.
Chili@Hot
27-02-2006, 16:54
с нуля: http://wl500g.info/showthread.php?t=3171 и до пункта 13.

Ну зачем мне к примеру SSH? Пока он мне не нужен. :(

Пришлось таки лезть в доки по Linux :o

Накидал следующее, если где ошибся поправьте плз:

nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0
nvram commit
reboot

mkdir -p /usr/local/sbin (создаем папку)
echo "#!/bin/sh" >> /usr/local/sbin/post-boot (создаем файл и записываем первой строкой #!/bin/sh)
echo ifconfig vlan2 hw ether 00:80:48:EB:A9:FB up >> /usr/local/sbin/post-boot (прописываем мак-адрес в файл post-boot)
echo ifconfig vlan2 192.168.21.207 netmask 255.255.0.0 up >> /usr/local/sbin/post-boot (пишем IP на второй WAN порт, опять же в post-boot)
echo route add -net 172.16.0.0 netmask 255.255.0.0 gw 192.168.1.1 >> /usr/local/sbin/post-boot (прописываем первый маршрут)
echo route add -net 87.236.24.0 netmask 255.255.252.0 gw 192.168.1.1 >> /usr/local/sbin/post-boot (второй маршрут)
echo route add -net 192.168.0.0 netmask 255.255.0.0 gw 192.168.1.1 >> /usr/local/sbin/post-boot (третий маршрут)

echo "#!/bin/sh" >> /usr/local/sbin/post-firewall (создаем файл и записываем первой строкой #!/bin/sh)
iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY (что сие значит не очень понял)
iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY (это тоже не очень понятно)
iptables -t nat -A POSTROUTING -o vlan2 ! -s 192.168.21.207 -j MASQUERADE (здесь прописываем тот IP который стоит на втором WAN)

Я не понял какой командой и в какой момент это все нужно сохранять. Прошу, просот поправьте команды, если возможно, отпишите комментарий плз.
Oleg
28-02-2006, 12:18
nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0
nvram commit
reboot

Это похоже.



mkdir -p /usr/local/sbin (создаем папку)
echo "#!/bin/sh" >> /usr/local/sbin/post-boot (создаем файл и записываем первой строкой #!/bin/sh)
echo ifconfig vlan2 hw ether 00:80:48:EB:A9:FB >> /usr/local/sbin/post-boot (прописываем мак-адрес в файл post-boot)
echo ifconfig vlan2 192.168.21.207 netmask 255.255.0.0 up >> /usr/local/sbin/post-boot (пишем IP на второй WAN порт, опять же в post-boot)

Убрал один up.


echo route add -net 172.16.0.0 netmask 255.255.0.0 gw ??? >> /usr/local/sbin/post-boot (прописываем первый маршрут)
echo route add -net 87.236.24.0 netmask 255.255.252.0 gw ??? >> /usr/local/sbin/post-boot (второй маршрут)

Выкинул маршрут в 192.168.х.х он итак будет, а в остальных надо заменить гейтвей на гейтвей провайдера, если он нужен. Если сети доступны непосредственно, то нужно вместо этого написать dev vlan2



echo "#!/bin/sh" >> /usr/local/sbin/post-firewall (создаем файл и записываем первой строкой #!/bin/sh)
iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY >> /usr/local/sbin/post-firewall (что сие значит не очень понял)
iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY >> /usr/local/sbin/post-firewall (это тоже не очень понятно)
iptables -t nat -A POSTROUTING -o vlan2 ! -s 192.168.21.207 -j MASQUERADE >> /usr/local/sbin/post-firewall (здесь прописываем тот IP который стоит на втором WAN)

SECURITY - это цепочка, защищающая от сетевых атак. На самом деле фаервол я сейчас не готов исправить, не помню, что там сейчас есть.


Я не понял какой командой и в какой момент это все нужно сохранять. Прошу, просот поправьте команды, если возможно, отпишите комментарий плз.
flashfs save && flashfs commit && flashfs enable

Только скриптам надо сделать chmod +x ещё.
Chili@Hot
28-02-2006, 13:52
Олег, сеть 192.168.0.0 255.255.0.0 это одна из сетей провайдера, которая будет жить на 4-м LAN. Соответственно моя внутренняя сеть - 172.31.0.0 255.255.0.0. IP-рутера - 172.31.0.1.

192.168.1.1 и есть гетвей провайдера. :cool:

Все остальное уходит на стандартный WAN-порт Asus.

Если сети доступны непосредственно не очень уловил эту фразу. "непосредственно" - это как?
Oleg
28-02-2006, 14:34
Если сети доступны непосредственно не очень уловил эту фразу. "непосредственно" - это как?
Это не Ваш случай. Имелось в виду, что у провайдера по одним и тем же проводам ходят разные сети.
Chili@Hot
01-03-2006, 06:33
Окончательный вариант, все ли правильно:

nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0
nvram commit
reboot

mkdir -p /usr/local/sbin (создаем папку)
echo "#!/bin/sh" >> /usr/local/sbin/post-boot (создаем файл и записываем первой строкой #!/bin/sh)
chmod +x /usr/local/sbin/post-boot
echo ifconfig vlan2 hw ether 00:80:48:EB:A9:FB >> /usr/local/sbin/post-boot (прописываем мак-адрес в файл post-boot)
echo ifconfig vlan2 192.168.21.207 netmask 255.255.0.0 up >> /usr/local/sbin/post-boot (пишем IP на второй WAN порт, опять же в post-boot)
echo route add -net 172.16.0.0 netmask 255.255.0.0 gw 192.168.1.1 >> /usr/local/sbin/post-boot (прописываем первый маршрут)
echo route add -net 87.236.24.0 netmask 255.255.252.0 gw 192.168.1.1 >> /usr/local/sbin/post-boot (второй маршрут)

echo "#!/bin/sh" >> /usr/local/sbin/post-firewall (создаем файл и записываем первой строкой #!/bin/sh)
chmod +x /usr/local/sbin/post-firewall
echo iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY >> /usr/local/sbin/post-firewall (что сие значит не очень понял)
echo iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY >> /usr/local/sbin/post-firewall (это тоже не очень понятно)
echo iptables -t nat -A POSTROUTING -o vlan2 ! -s 192.168.21.207 -j MASQUERADE /usr/local/sbin/post-firewall (здесь прописываем тот IP который стоит на втором WAN)

flashfs save
flashfs commit
flashfs enable
Oleg
01-03-2006, 09:40
Вы не учли ничего из того, что я говорил и исправил.
Chili@Hot
01-03-2006, 11:18
Один Up я пропустил, согласен. Про сеть 192.168.0.0 я написал выше, пакеты буду ходить в нее - это внешняя сеть. chmode я тоже прописал. Что еще-то я забыл?
Oleg
01-03-2006, 12:26
192.168 писать не надо. Ещё вы зыбыли >> сравните визуально.
Chili@Hot
01-03-2006, 13:17
Огоромное всем спасибо! Особенно Олегу за проявленное терпение к моим вопросам, ошибкам и невнимательности! Все настроил, все заработало! Наверху подправил скрипт так как его и забил в рутер. Читаю теперь справочник по Линуксу =_))))) Еще раз, спасибо всем!
Denisik
15-05-2006, 07:46
Господа специалисты,
подскажите пожалуста как открыть и настроить втрой WAN порт на 500g (простой, не делюксовой), только пожалуйста по шагам, так чтобы даже полный чайник в линуксах смог это сделать.

Раздел "насторика с нуля" - читал, там написано что это возможно, но про то как это непосредственно сделать сказано очень мало, хотя специалист бы возможно понял, посему господа специалисты, обясните плиз как это сделать, а то имею дома два езернетовских шнурка от двух провайдеров (один дорогой но с богатой локалкой, а другой вообще без локалки зато с безлимиткой) и несколько компов на вайфае, вот и хотелось бы объединить это дело с целью извлечения максимального удобства :-)...
alexnik
15-05-2006, 08:55
на простом 500g не настроишь второй wan, у него свич не поддерживает vlan-ы. меняй на делюкс
Denisik
15-05-2006, 09:07
Хорошо, поменяю, а в "делюкес" это как сделать?

И что лучше тогда для этой цели "делюкс" или "перемиум" (или вообще 700g ждать)?
alexnik
15-05-2006, 09:42
про настройку на делюксе читать здесь (http://wl500g.info/showthread.php?t=2718)
Grig_oriy
30-05-2006, 21:02
Помогите плиз "чайнику",в настройках роутера!
Есть дс,инет и локалка,внешний статик IP ,PPPoE.
Настроил роутер,инет есть а локалки я невижу.
На провайдерском форуме мне вот что посоветовали:
надо в post-boot вписать:
ifconfig vlan1:0 твой_ИП_по_договору netmask твоя_маска_по_договору
/sbin/route add -net 10.0.0.0 netmask 255.0.0.0 gw твой_гейт_по_умолчанию_из_договора
/sbin/route add -net 192.168.0.0 netmask 255.255.0.0 gw твой_гейт_по_умолчанию_из_договора
/sbin/route add -net 212.158.171.0 netmask 255.255.255.0 gw твой_гейт_по_умолчанию_из_договора
Читал тему про настройки с нуля,из последней части вообще ничего не понял,в линуксе не силен,инглиш плохо знаю поэтому доки врядли пойму.:(
Вообщем хелп!!
Popovsky
31-05-2006, 05:45
У меня вот так решена данная проблемма -
Провайдер раздает инет по ПППоЕ и есть локальная сетка 192.168.11...
соответственно на Асусе поднят ФТП с адресом 221
в post-boot я прописал - ifconfig vlan1:0 192.168.11.221 netmask 255.255.0.0
Почитай вот этот пост - http://wl500g.info/showthread.php?t=4748
В итоге у меня получилось на ВАН порту 2 ип адреса - белый внешний и серый 192.168.11.221
Grig_oriy
31-05-2006, 16:17
Ну как я понял все равно нужно вписывать настройки в post-boot роутера,а как это сделать не понятно(в линуксе как уже говарил ,я полный ноль).
Потом у меня сеть сегментированная там не только 192.168 но и 10.0.0.0.
Вообщем как вписать настройки эти в роутер,какие то команды нужно дать или что?

9) настройка автозапуска
a) в файл /usr/local/sbin/post-boot нужно будет добавить строки.
А что это за файл?
И далее по тексту много не понятного.:(
avk
05-06-2006, 16:04
А простое заполнение таблицы Static Route List Вы не пробовали? Настройки для сетей разных провайдеров (http://wl500g.info/showthread.php?t=4926)
pfalcon
21-06-2006, 02:13
WL500gDeluxe + 1.9.2.7-7e

Настроил один из LAN-портов как еще один WAN, согласно FAQ (через VLAN). На них висят 2 провайдера, выдающие живой TCP/IP и DHCP. Для второго интрефейса я запускаю udhcpc аналогично стандартному:

udhcpc -i vlan2 -p /var/run/udhcpc1.pid -s /tmp/udhcpc

Проблема в том, что он не устанавливает некоторые параметры, такие как default gateway и DNS. Например, /tmp/resolv.conf пуст после того, как udhcpc отрапортовал, что получил lease. Какову могут быть причины и как побороть, пока фактически прописываю вручную, но все же хотелось бы, чтоб работало "само". Кто ответственнен на установку этих параметров? Подозраиваю, что -s скрипт, но поскольку он бинарник, сам быстро не разберешься ;-).

Пока у меня так:


[admin@asus root]$ cat /usr/local/sbin/post-boot
#!/bin/sh

ifconfig vlan2 hw ether 00:08:xx:xx:xx:xx up
iptables -t nat -A POSTROUTING -o vlan2 -s 192.168.0.0/16 -j MASQUERADE
echo "nameserver 82.144.xx.xx" >> /tmp/resolv.conf
udhcpc -i vlan2 -p /var/run/udhcpc1.pid -s /tmp/udhcpc
killall -HUP dnsmasq

dropbear

(default gw прописываю ручками ;-) )


По этому же вопросу - кто-то делал failover для двух соединений? На чем и как хорошо это работает для асусов?
pfalcon
25-06-2006, 20:41
Олег, ну поскажите, что можно сделать? Можно ли выполнять какие-то custom скрипты после получения настроек по DHCP? Или не стоит пытаться извращаться, а сразу думать насчет OpenWRT?
Oleg
25-06-2006, 20:49
Вам нужно самому просто написать скрипт и всё.

Вообще, OlegI, насколько я понял, использует это не как второй интернет, а лишь для доступа к локальным ресурсам второго провайдера.

Если Вам действительно нужно обеспечить отказоустойчивость, то лучше использовать OpenWRT - там можно и два дефолтных гейтвея прописать, да и настраивать понятно что. Никаких бинарников...
gaaronk
28-06-2006, 14:07
Во первых в данном случае нельзя использовать встроенный /tmp/udhcpc как скрипт для настройки dhcp
ни для основного wan ни для того что добавили
потому что родной скрипт по получению нового адреса по dhcp либо по обновлению адреса перестраивает таблицу NAT, файрволла, маршрутизации
у меня написан свой скрипт - могу выслать

второе. у меня запущен скрип который пингует некие тестовые адреса через каждый из wan и тем определяет "живой" интерфейс или нет. и выставляет файл-флаг. и совсем простой скрипт который на основании флагов перключает дефолт (и не только) роутинг как вам надо.

идея надеюсь ясна.
pfalcon
10-07-2006, 12:21
Во первых в данном случае нельзя использовать встроенный /tmp/udhcpc как скрипт для настройки dhcp
ни для основного wan ни для того что добавили
потому что родной скрипт по получению нового адреса по dhcp либо по обновлению адреса перестраивает таблицу NAT, файрволла, маршрутизации


Да, это видно сразу, просто я надеялся, что есть какие-то хуки, чтоб пускать свои скрипты вроде post-boot.



у меня написан свой скрипт - могу выслать

второе. у меня запущен скрип который пингует некие тестовые адреса через каждый из wan и тем определяет "живой" интерфейс или нет. и выставляет файл-флаг. и совсем простой скрипт который на основании флагов перключает дефолт (и не только) роутинг как вам надо.

идея надеюсь ясна.

Да, если не жалко, делитесь ;-) . Как сделать такое конечно понятно, но изобретать велосипед не хочется - как всегда, будет куча специальных случаев и т.п. уж лучше развивать уже существующее ;-)
gaaronk
13-07-2006, 20:15
Тут набор скриптов
Заточено строго под меня и мою ситуацию
dhcp используется на WAN2, переточить все или написать свое для двух dhcp более чем реально

893
Popovsky
15-07-2006, 11:43
Девайс 500 делюкс прошивка Олега последняя...
Есть 2 провайдера - один по выделеке, а второй через АДСЛ.
Первый используется как основной, а второй как резервный канал
Первый висит на основном ване (ППоЕ, Статик айпи)
Второй подцеплен к 4 лану (ППоЕ, динамик айпи)
Второй Влан поднят командой
nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0
nvram commit

есть 2 файла с параметрами соединений
options.wan0 и options.wan1 соответственно для первого и второго провайдера.

Вопрос в том как передать данные парамеры при поднятиии Влан2?

И какой командой можно потом включить и выключить соединение на Влан2?
Popovsky
16-07-2006, 18:16
Хотелось бы получить помощь по настройке 2х Ван портов, далее идет
выдержка из ФАКа

Есть 2 провайдера дают инет по ППоЕ, ну и хотелось бы переключать их програмно
а не передергивать шнурки...
Вннутр.сетка 192.168.1.XXX

1.Провайдер
IP0 - z.z.z.z (Статика белый адрес)
Гатвей0

2.Провайдер
IP1 - (динамика, постоянного адреса нет... в веб интерфейсе ставлю 0.0.0.0)
Гатвей1

Сохранены также файлы от соединений -
для первого
options.wan0
resolv.conf.vlan0
route.vlan0
в route.vlan0
Destination Gateway Genmask Flags Metric Ref Use Iface
195.58.22.225 * 255.255.255.255 UH 0 0 0 ppp0
195.58.22.0 * 255.255.255.0 U 0 0 0 vlan1
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
192.168.0.0 * 255.255.0.0 U 0 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 225.lestranzit- 0.0.0.0 UG 0 0 0 ppp0

и второго провайдера
options.wan1
resolv.conf.vlan1
route.vlan1
в route.vlan1
Destination Gateway Genmask Flags Metric Ref Use Iface
10.80.8.10 * 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
192.168.0.0 * 255.255.0.0 U 0 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 10.80.8.10 0.0.0.0 UG 0 0 0 ppp0

Пускай Влан2 будет на первом порту (правда хотелось бы на 4, тогда видимо надо
исправить на ports "4 5t" ??)
Прописываем в post-firewall

>robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
>vconfig add eth0 2
>ifconfig hw ether 00:11:32:23:32:23
>ifconfig vlan2 192.168.2.1 broadcast 192.168.2.255 netmask 255.255.255.0 up
В моем случае какой ИП надо указать в место - 192.168.2.1?

создание PPTP соединения вручную.

>создать файл например по пути /etc/ppp/peers/pptp
(Только у меня к сожалению ППоЕ, очень похоже, что это данные из файла
options.wan? )

создать файлы /tmp/ppp/ip-up и /tmp/ppp/ip-up вместо линков которые там лежат
в первый вставить - например вход в удаленную сеть 11.11.11.0
>route add -net 11.11.11.0 netmask 255.255.255.0 dev $1

Это для первого пров.
route add -net 195.58.22.225 netmask 255.255.255.0 dev $1
Это для второго пров.
route add -net 10.80.8.10 netmask 255.255.255.0 dev $1

переменные которые передаются скрипту:
$1 - интерфейс, например ppp0, (где он будет назначаться?)
$4 - назначенный IP, (хотелось бы узнать по подробнее...)
$5 - удаленный IP (хотелось бы узнать по подробнее...)

Если подключение идет к интернет то таким же образом можно поменять шлюз по
умолчанию:
>route add default dev $1

добавить статический маршрут до PPTP сервера:
>route add -net 1.1.1.1 netmask 255.255.255.255 gw такой-то

Это для первого пров.
route add -net IP0 netmask 255.255.255.255 gw Гатвей0
Это для второго пров.
route add -net IP1 netmask 255.255.255.255 gw Гатвей1

запустить соединение:
>pppd file /opt/etc/ppp/peers/pptp
(Только у меня к сожалению ППоЕ - как быть в этом случае?)

Естественно для первого и второго провайдера будут разные файлы с настройками
pfalcon
25-07-2006, 21:23
Спасибо! В очередной раз заглючил основной провайдер, и пришлось резко все бросать и браться за настройку, по крайней мере нормального конфигурирования обоих интерфейсов под DHCP. udhcpc.sh заработал сразу, потом чуть подправил под себя.

Другие скрипты глянул - вроде все понятно, нужно пытаться ставить и смотреть, как будет работать, затачивать под себя.

Вес таки, как приятно найти приличный код и работать с ним, а не писать свой черновичек.
Vitaly_k
25-07-2006, 21:49
Пытаюсь настроить роутер в такой конфигурации - на Wan интерфейсе Pptp+dhcp (Корбина), в один из Lan портов включен Adsl модем в режиме роутера с адресом соответсвенно из локальной подсети.
Вбиваю в Асус маршрут 0.0.0.0 Mask 0.0.0.0 <Адрес модема>metric 10, т.е. делаю дефолтный шлюз с большей метрикой, по идее. пакеты должны бежать на него в случае неисправности основного канала (метрика 0).
В результате получаем веселую вещь - роутер пытается поднимать Pptp соединения через Adsl модем, а также слать в него пакеты на локальные адреса Корбины несмотря на то, что маршруты прописаны на Man-интерфейс.
Что я делаю неправильно?
shab2
01-09-2006, 14:35
Привет всем!

Имею двух провайдеров. Один постоянный, второй на случай, если первый в дауне.
Пытаюсь с помощью wl500gp (WL500gp-1.9.2.7-7f-pre4.trx) организовать переключение между ними.

Сделал vlan2 как советовал Oleg:
--------------------------------------------------
robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
vconfig add eth0 2
после этого появится полноценный интерфейс vlan2. Посмотреть список интерфейсов командой ifconfig -a
посмотреть конфигурацию портов свитча robocfg show
Новому интерфейсу можно назначить свой MAC адрес командой
ifconfig hw ether 00:11:32:23:32:23
запустить интерфейс:
ifconfig vlan2 192.168.2.1 broadcast 192.168.2.255 netmask 255.255.255.0 up
-------------------------------------------------
имеем
# robocfg show
Switch: enabled
Port 0(W): DOWN enabled stp: none vlan: 1 mac: 00:00:00:00:00:00
Port 1(4): 100FD enabled stp: none vlan: 2 mac: 00:00:00:00:00:00
Port 2(3): 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 3(2): 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 4(1): DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 5(C): 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
VLANs: BCM5325/535x enabled mac_check mac_hash
vlan0: 2 3 4 5t
vlan1: 0 5t
vlan2: 1 5t

# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.10.252 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.10.252 0.0.0.0 UG 0 0 0 vlan1

т.е родной WAN (vlan1) получил по DHCP гейт на 192.168.10.252
причем он поднимается автоматически как только втыкаешь кабель в WAN
для vlan2 такое не происходит.

Дальше я пока в ступоре из-за незнания матчасти - как мне отключать
все что связано с vlan1, активировать vlan2 и запросить dhcp выдать
новые ip и гейт уже для vlan2. Далее стартовать vpn для второго провайдера

Еще мыслишка вертится, что нужно для второго провайдера должно выполняться
все тоже, что и для первого, а потом изменением дефолтного гейта
буду переключаться между ними.

Может у кого реализована такая задумка? Или посоветуйте где копать.

Спасибо. Александр
gaaronk
01-09-2006, 14:44
Привет всем!

Имею двух провайдеров. Один постоянный, второй на случай, если первый в дауне.
Пытаюсь с помощью wl500gp (WL500gp-1.9.2.7-7f-pre4.trx) организовать переключение между ними.

Может у кого реализована такая задумка? Или посоветуйте где копать.

у меня в наборе моих скриптов так и сделано. я переписал их под универсальное решение. происходит мониторинг внешних каналов (поддерживается до 5ти wan по протоколам static, dhcp, pppoe unnumbered, pppoe + static, pppoe + dhcp, pptp + static, pptp + dhcp) путем пинга тестовых адресов и автоматическое переклчение дефолт гейта на раезервный канал и обратно.

вкратце идея такова - что и основной канал и резервный(е) нужно поднимать не средствами рутера. а руками (своими скриптами), самому конфигурировать интерфес, файрволл, nat - потому что при использовании канала с динамическим ip при смене адреса рутер полностью перестраивает таблицы файрволла и нат что затрудняет работу с дополнительными wan
shab2
01-09-2006, 15:01
Руками это хорошо, но без примера мне не разобраться.
Был бы рад, если бы Вы дали ваш скрипт как пример.
Можно на мыло shab2@mail.ru

Спасибо.
Александр
Dmitro
06-09-2006, 11:57
у меня в наборе моих скриптов так и сделано. я переписал их под универсальное решение. происходит мониторинг внешних каналов (поддерживается до 5ти wan по протоколам static, dhcp, pppoe unnumbered, pppoe + static, pppoe + dhcp, pptp + static, pptp + dhcp) путем пинга тестовых адресов и автоматическое переклчение дефолт гейта на раезервный канал и обратно.

вкратце идея такова - что и основной канал и резервный(е) нужно поднимать не средствами рутера. а руками (своими скриптами), самому конфигурировать интерфес, файрволл, nat - потому что при использовании канала с динамическим ip при смене адреса рутер полностью перестраивает таблицы файрволла и нат что затрудняет работу с дополнительными wan

Если не жалко вышли скрипты и мне на мыло Dmitrok@gmail.com.
Заранее благодарен.
gaaronk
06-09-2006, 12:00
Если не жалко вышли скрипты и мне на мыло
Заранее благодарен.

да собсно http://wl500g.info/showthread.php?t=6208
hellr@iser
09-10-2006, 14:56
Маршрутизатор ASUS WL-500g Premium, прошивка 1.9.2.7-7f-pre7
Имеются в наличии два провайдера. Оба с VPN (РРТР).
Второй WAN создать, с подсказки Oleg'a, смог... а вот на остальное знаний не хватает.
Итак, вопросы следующие:

1. Как настроить второй WAN (прописать IP, Netmask, Gateway, сервер DNS, сервер VPN, а также логин и пароль к нему для второго провайдера).
2. Как сохранить настройки, чтобы они не исчезали после очередной перезагрузки, либо отключения энергии?

И еще, вопрос к Oleg'у: возможно ли появление полноценного отображения второго WAN'a в веб-оболочке в следующих прошивках? Сдается, не одному мне это может пригодиться.
midya
11-10-2006, 10:47
И еще, вопрос к Oleg'у: возможно ли появление полноценного отображения второго WAN'a в веб-оболочке в следующих прошивках? Сдается, не одному мне это может пригодиться.

Ага и ДМ когда появится ???
ubohex
27-12-2006, 23:57
Преветствую вас умы роутинга :)
Прикупил себе данный девайс - wl500gP и сразу разродился проблемой.
В общем, такая ситуция:
У меня два провайдера: Корбина и Prov
Задача: пустить интернет через Корбину, а локальные ресурсы брать у Prov`a (инет у него могу выключить средствами utm). Хочу Prov воткнуть в стандартный wan, а Корбину в wan2
Скажу сразу, что тему читал, но не помогло эту (http://wl500g.info/showthread.php?t=4567).
Последняя прошивка Олега (респект!)
НАстройки такие:
1.Корбина : PPTP ip 0.0.0.0 Default Gateway: 10.253.0.17 DNS автоматом
2.Prov: static ip 10.33.2.* шлюз 10.33.2.1 маска 255.255.255.0 и два днс (без которых ничего не работает) 195.225.130.2 и 195.225.131.2 + строгая привязка по MAC.
Всё это дело отлично работает в отдельности.

Прошу у вас помощи, ибо сам всё понять до конца не могу.

Приблизительные мои действия: настроить на wan порту Prov как обычно, прописать на lan4 - wan2 командой:
nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0
Как потом мне прописать все настройки Корбины на wan2?
sukhodolsky
28-12-2006, 00:02
Может проще от обратного пойти - Корбину авторизовать на WAN стандартными стредствами, а для владений Романенкова сделать свой vlan, а MAC адрес уже привязать:
ifconfig wan2 hw ether m:a:c:a:d:d:r и далее по вкусу?
ubohex
28-12-2006, 00:05
но как тогда для Prov`a прописать dns`ы?
sukhodolsky
28-12-2006, 00:07
ха :)
лечится

один раз делается, сохраняется
echo "server=/prov.ru/195.225.130.2" >> /usr/local/etc/dnsmasq.conf
echo "server=/prov.ru/195.225.131.2" >> /usr/local/etc/dnsmasq.conf

а в post-firewall
echo "kill -HUP `pidof dnsmasq` " >> /usr/local/sbin/post-firewall
ubohex
28-12-2006, 00:15
Очень прошу напиши подробнее как всё сделать, мой мозг уже кипит от телнета :) По пунктам плиз, с меня пиво :)
sukhodolsky
28-12-2006, 00:20
спать хочу :)
отдели (уже отделил) VLAN от свича, настрой корбину на WAN.

потом сделай как я выше написал (поднимай интерфейс с hw ether, сделай dnsmasq.conf, после этого сохрани его по flashfs, в post-firewall строчку укажи в конце с kill-ом)

там просто все.

а ну вот ещё что надо, самое главное , чтобы локалка работала:
echo "iptables -t nat -A POSTROUTING -s подсетьлокальнаярутера/24 к примеру -o вланпрова -j SNAT --to твойIP в прове" >> /usr/local/sbin/post-firewall

если не получится - завтра ICQ 20463562, пиво приветствуется :)
ubohex
28-12-2006, 00:43
Вот что накидал:

nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0
nvram commit
reboot

mkdir -p /usr/local/sbin (создаем папку)
echo "#!/bin/sh" >> /usr/local/sbin/post-boot (создаем файл и записываем первой строкой #!/bin/sh)
chmod +x /usr/local/sbin/post-boot
echo ifconfig vlan2 hw ether MAC:прописаный:у:прова >> /usr/local/sbin/post-boot (прописываем мак-адрес в файл post-boot)
echo ifconfig vlan2 10.33.2.* netmask 255.255.255.0 up >> /usr/local/sbin/post-boot (пишем IP на второй WAN порт, опять же в post-boot)

echo "#!/bin/sh" >> /usr/local/sbin/post-firewall (создаем файл и записываем первой строкой #!/bin/sh)
chmod +x /usr/local/sbin/post-firewall
echo "kill -HUP `pidof dnsmasq` " >> /usr/local/sbin/post-firewall
echo "iptables -t nat -A POSTROUTING -s подсетьлокальнаярутера/24 к примеру -o вланпрова -j SNAT --to 10.33.2.*" >> /usr/local/sbin/post-firewall (тут не пойму ничего)

mkdir -p /usr/local/etc/ (создаем папку)
echo "#!/bin/sh" >> /usr/local/etc/dnsmasq.conf
echo "server=/prov.ru/195.225.130.2" >> /usr/local/etc/dnsmasq.conf
echo "server=/prov.ru/195.225.131.2" >> /usr/local/etc/dnsmasq.conf

flashfs save
flashfs commit
flashfs enable

Нужно ли прописывать роутинг прова? И что я ещё забыл?
sukhodolsky
28-12-2006, 07:48
nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0
nvram commit
reboot

=== ну да, это один раз делается.

mkdir -p /usr/local/sbin (создаем папку)

echo "#!/bin/sh" >> /usr/local/sbin/post-boot (создаем файл и записываем первой строкой #!/bin/sh)
chmod +x /usr/local/sbin/post-boot

echo ifconfig vlan2 hw ether MAC:прописаный:у:прова >> /usr/local/sbin/post-boot (прописываем мак-адрес в файл post-boot)
echo ifconfig vlan2 10.33.2.* netmask 255.255.255.0 up
>> /usr/local/sbin/post-boot (пишем IP на второй WAN порт, опять же в post-boot)

=== вышеприведенные строчки можно обьединить.


echo "#!/bin/sh" >> /usr/local/sbin/post-firewall (создаем файл и записываем первой строкой #!/bin/sh)
chmod +x /usr/local/sbin/post-firewall
echo "kill -HUP `pidof dnsmasq` " >> /usr/local/sbin/post-firewall

echo "iptables -t nat -A POSTROUTING -s подсетьлокальнаярутера/24 к примеру -o вланпрова -j SNAT --to 10.33.2.*" >> /usr/local/sbin/post-firewall (тут не пойму ничего)


=== подсетьлокальнаярутера - LAN, тоесть по дефолту 192.168.1.0/24
=== вланпрова - vlan2 в нашем случае

mkdir -p /usr/local/etc/ (создаем папку)
echo "#!/bin/sh" >> /usr/local/etc/dnsmasq.conf

=== не надо этого делать (bin/sh) -это не скрипт :)

echo "server=/prov.ru/195.225.130.2" >> /usr/local/etc/dnsmasq.conf
echo "server=/prov.ru/195.225.131.2" >> /usr/local/etc/dnsmasq.conf


flashfs save
flashfs commit
flashfs enable

Нужно ли прописывать роутинг прова? И что я ещё забыл?[/QUOTE]

=== да вроде все. Рутинг на прова надо прописывать только на те ресурсы, что не 10.33.0.0 подсеть, ну по идее весь пиринг что на сайте надо вбить. А так как в WWW интерфейсе ограничения на число записей делать это лучше в post-firewall
siniy
20-01-2007, 12:34
Хочу собрать конфигурацию как на рисунке во вложении. Поэтому мне нужно, чтобы железка(wl-500gP на рисунке) позволяла:
1) задать default route на dsl-модем - с этим понятно, шнурок из модема в wan-порт маршрутизатора
2) позволяла подсоединить две разных сети к своим lan-портам - wl-500gP умеет VLAN
3) умела запускать на себе openvpn-сервер - wl500gP вроде может..больших нагрузок там не будет: 2-3 сессии при потоке 128-256 kbps
4) на локальных интерфейсах(т.е. на lan-портах) можно было прописывать пути маршрутизации. Т.е. на интерфейсе, в который втыкается сеть 172.16.100.0/24 можно было указать, что путь к 172.16.0.0/16 лежит через 172.16.100.254. И вот тут вопрос. wl-500gP(или какая-нибудь другая модель) так может? Если нет, то можете посоветовать железку которая так умеет?
Есть запасной путь - поставить PC с линуксом на борту, воткнуть в него три сетевые карточки и безбедно жить, но PC слишком шумный и часто ломается. Хотелось бы все-таки маленькую и тихую коробочку.
siniy
20-01-2007, 13:33
вопрос снят, поискал по форуму и понял, что можно.
sukhodolsky
09-03-2007, 10:22
дополнение - robocfg есть зло, лучше делать по мотивам:
http://wiki.openwrt.org/OpenWrtDocs/NetworkInterfaces
SoLuTan
09-03-2007, 22:45
Подскажите пожалуйста, как мне реализовать следующий вариант на wl-500gP:
Eсть два провайдера: 1-й с идентификацией по mac и ip, 2-й использует dhcp с pppoe. Хочется, чтоб 2-й провайдер висел на основном wan, а для второго назначить доп. wan порт.
Как мне развести трафик таким образом, чтоб интернет шел через основной wan, а на дополнительном только локальная сеть и DC++ от другого провайдера.
Хотелось бы пошаговых рекомендаций, т. к. не достаточно у самого пока таких навыков :) Буду признателен всем за советы!
despair
10-03-2007, 04:53
На счёт пошаговых рекомендаций - это вряд ли, но на WLAN можно попробовать навесить IP alias для одного из провайдеров.
Надеюсь, IP-адреса у них в разных подсетях.
SoLuTan
10-03-2007, 13:04
На счёт пошаговых рекомендаций - это вряд ли, но на WLAN можно попробовать навесить IP alias для одного из провайдеров.
Надеюсь, IP-адреса у них в разных подсетях.

Ну почему же врядли? Ведь форумы для этого и существуют. Где, как не здесь, мне искать помощи и совета :)
Что за IP алиас и как его настроить?
Теоритически я понимаю, что нужно сделать дополнительный wan порт на роутере и настроить маршрутизацию, но как это сделать мне неизвестно :confused:
usmailer™
10-03-2007, 15:33
Ну почему же врядли? Ведь форумы для этого и существуют. Где, как не здесь, мне искать помощи и совета :)
Что за IP алиас и как его настроить?
Теоритически я понимаю, что нужно сделать дополнительный wan порт на роутере и настроить маршрутизацию, но как это сделать мне неизвестно :confused:

ПОИСК по форуму ответит на все вопросы... неужели это трудно???
http://www.wl500g.info/showpost.php?p=20276&postcount=3

и для закрепления прочитать всю эту тему - http://www.wl500g.info/showthread.php?t=3171&highlight=%E2%F2%EE%F0%EE%E9+%EF%EE%F0%F2
SoLuTan
10-03-2007, 19:33
ПОИСК по форуму ответит на все вопросы... неужели это трудно???
http://www.wl500g.info/showpost.php?p=20276&postcount=3

и для закрепления прочитать всю эту тему - http://www.wl500g.info/showthread.php?t=3171&highlight=%E2%F2%EE%F0%EE%E9+%EF%EE%F0%F2

А неужели трудно написать один раз правильное решение, если ты все это прекрасно знаешь?
Читал я те темы еще до твоих советов, но многое для меня там непонятно, поэтому и создал свою тему. Я же написал, что нет подобного опыта настроек роутера через команды. Мне бы поподробней...
MMike
10-03-2007, 22:07
Господа не стоит горячиться... к сожалению пошаговых инструкций для сложных или редковстречающихся проблем никто писать кроме тех кого они касаются не будет. Все банально, врядли найдется на форуме еще хотя бы пара человек у которых такой "зоопарк" с провайдерами, а времени для создания стенда и обкатки решения требуется достаточно много. Так что постарайтесь из тех тем что уже есть вычленить непонятные для Вас вопросы и задать их тут. По другому врядли получится.

P.S.
После решения своего вопроса не забудте описать рецепт, ведь абсолютное большинство банально это "забывают".
SoLuTan
28-03-2007, 17:32
Решил свою задачу следующим образом:

nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0
nvram commit
reboot


mkdir -p /usr/local/sbin
echo "#!/bin/sh" >> /usr/local/sbin/post-boot
chmod +x /usr/local/sbin/post-boot
echo ifconfig vlan2 hw ether 00:18:F3:3B:F6:5F >> /usr/local/sbin/post-boot
echo ifconfig vlan2 192.168.234.2 netmask 255.255.252.0 up >> /usr/local/sbin/post-boot
echo route add -net 192.168.0.0 netmask 255.255.0.0 gw 192.168.232.1 >> /usr/local/sbin/post-boot


echo "#!/bin/sh" >> /usr/local/sbin/post-firewall
chmod +x /usr/local/sbin/post-firewall
echo iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY >> /usr/local/sbin/post-firewall
echo iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY >> /usr/local/sbin/post-firewall
echo iptables -t nat -A POSTROUTING -o vlan2 ! -s 192.168.234.2 -j MASQUERADE >> /usr/local/sbin/post-firewall


flashfs save
/sbin/flashfs commit
flashfs enable
reboot
Таким образом провайдер с идентификацией по MAC и IP висит на дополнительном wan, а провайдер
с идентификацией через PPPOE на основном wan и настроен через web интерфейс.
Rambalac
19-08-2007, 17:36
вл500гпремиум. прошивка пре9
у меня настроено два ван порта
разделение траффика у меня идет через список ип адресов на ван2(внештатный), ван1 по умолчанию. заметил такой прикол, когда чтото качается с ван2 то ван1 вобще не живой. на ван2 у меня висит адсл модем и максимум прокачивается 800кбайт/сек. вроде не должен же умирать другой ван? при том, что на ван1 у меня максимум 15кбайт/сек, при скачивании по ван2 800кб/сек, ван1 не выдает и 500байт/сек

п.с. это у меня глюки или мне только кажется? почему-то все большие буквы становятся маленькими?
dimm
18-09-2007, 19:49
сейчас подключен PPTP на WAN, в ближайшем будущем собираюсь подключиться ко второму провайдеру, который работает по PPPoE. Возникли вопросы:
1. Можно ли организовать одновременную работу? (Перевести один порт из LAN в WAN, как я понимаю, как его потом конфигурять?)
2. При успешном решении ?1 выбрать, кого куда цеплять. Пров по PPPoE будет с анлимом, PPTP останется для провайдерской локалки.
3. Прописать маршруты (сеть одного прова - через 1й интерфейс, остальной мир - через анлим второго).
Ссылки приветствуются
Reyter
19-09-2007, 06:49
подключение будет по двум проводам или по одному?
dimm
19-09-2007, 18:32
2 провайдера, 2 кабеля, соответственно нужно 2 интерфейса Wan
Mam(O)n
20-09-2007, 03:31
В общих чертах:

1. Чтоб поднять независимый интерфейс на lan порту см. пункт 13 в инструкции по настройки с нуля (http://wl500g.info/showpost.php?p=20276&postcount=3&highlight=robocfg+vconfig)
2. Чтоб поднять второй vpn см. man pppd (http://linux.die.net/man/8/pppd), в качестве основы для конфига можно взять /tmp/ppp/options.wan0, который генерируется исходя из настроек в веб морде.
3. По настройке маршрутизации см. man route (http://linux.die.net/man/8/route), для настройки nat(masqerade) см. man iptables (http://linux.die.net/man/8/iptables) .
dimm
21-09-2007, 12:01
а PPPoE вручную как поднять на новом WAN? Для PPTP нашел, но хотелось бы оставить его на родном WAN, а на новом именно PPPoE
Reyter
23-09-2007, 08:33
Советую все-таки на WAN повесить соединение, через которое будет раздаваться интернет.
Так придется меньше ковырять роутинг и т.п. Как создать vlan2 ссылка приведена выше.

Допустим, уже имеем настроенный pptp на WAN. Копируем /tmp/ppp/options.wan0
в /usr/local/sbin и переименовываем его (для ясности) в options.ppp1

Важно! Нужно подредактировать options.ppp1: изменяем строку
(указываем, что соединение будет подниматься на интерфейсе vlan2)

plugin rp-pppoe.so nic-vlan2
и добавляем строку (это соединение не будет шлюзом по умолчанию):

nodefaultroute
После чего уже можно поднимать соединение:

pppd file /usr/local/sbin/options.ppp1
Далее настраиваем WAN под соединение PPPoE и сохраняем.

Маршруты для ppp1 необходимо будет добавлять вручную, прописав их в post-firewall. Что-то типа:

route add -net 89.106.192.0/21 dev ppp1
route add -net 192.168.128.0/24 dev ppp1
route add -net 10.0.5.0/25 dev ppp1
Разрешаем маскарадинг (NAT) через ppp1:

iptables -t nat -A POSTROUTING -o ppp1 -j MASQUERADE
разрешаем прохождение пакетов через ppp1:

iptables -A FORWARD -i br0 -o ppp1 -j ACCEPT
Если доступ к сети провайдера осуществляется не только через pptp (ppp1) (WAN-маршрутизация),
но и через IP-адрес vlan2 (MAN-маршрутизация), то аналогичные процедуры проделываем и для vlan2:

route add -net 192.168.129.0/24 dev vlan2
(тут должны быть уже другие маршруты, отличные от таковых для ppp1)

iptables -t nat -A POSTROUTING -o vlan2 -j MASQUERADE
iptables -A FORWARD -i br0 -o vlan2 -j ACCEPT

Вроде все. Правда может быть одна засада. Вот лично у меня почему-то не отрабатывается
post-firewall при поднятии ppp1. Как с этим бороться я пока еще не разобрался.
yalexey
25-09-2007, 09:16
вопрос вот какого рода.
какого уровня производительности можно ожидать от этого роутера, если сконфигурировать его с двумя wan интерфейсами. На одном доступ pppoe на другом интернет pptp + локалка. Требуется обычный nat, multicast... Возможно, ещё фильтр от зафлуживания и SPI.
какой пропускной способности можно ожидать при размере пакетов порядка 1400 байт, 64 байт. В килобайтах в секунду и пакетах в секунду.
Отдельный вопрос.
Можно ли будет организовать транк из двух линий lan к компьтеру, являющемуся сервером DC для обоих локалок?
Конечно, это актуально, если рутер вообще сможет пропускать больше 12 мегабайт в секунду.
yalexey
27-09-2007, 17:17
судя по другим топикам в этой теме, я сделал вывод, что при конфигукации с одним wan портом nat работает на скорости интерфейса.
Это очень хорошо!
Однако, не редкость.
Вопрос моей темы остаётся не раскрытым. Если создать 2 WAN интерфейса проводных разгонится такой вертолёт до 20 мегабайт в секунду сумарно?
Ну и по поводу транка тоже интересно. Можно, конечно, дать 2 разных ip двум картам в компьютере и на них отдельно форвардить запросы с разных wan интерфесов, но тогда для внутреннего обращения к этому же серверу придётся заводить третий интерфейс и упс! закончились порты рутера :)
wlock21
07-10-2007, 15:34
перечитал все что мог (.. но так и не смог добиться искомого результата на данный момент..

конфигурация следующая...

2 провайдера.. 1 эзернет.. 1 пппое...

задача..

эзернет на ван
пппое на переделанном лане

для вана мы определяем список сетей который известен, пппое отрабатывает весь остальной интернет..

на данном этапе у меня почему то не получается установить пппое соединение на лан2 (.. и не совсем понятно как сделать разграничение по интернету..
Reyter
07-10-2007, 17:31
для вана мы определяем список сетей который известен, пппое отрабатывает весь остальной интернет..

на данном этапе у меня почему то не получается установить пппое соединение на лан2 (.. и не совсем понятно как сделать разграничение по интернету..
Таки повторно советую интернет раздавать именно через WAN. Почему - я уже писАл выше.
Ну и как всегда - здесь телепатов и гадалок нет. Почему не устанавливается PPPoE соединение мы сказать не сможем, пока не увидим полную информацию. Что, где прописано, как поднимается соединение, что пишется в логах и т.п.
wlock21
08-10-2007, 18:26
еще раз добрый вечер ))..

взяв себя в руки и вооружившись принципом rtfm я в общем то все настроил..

эзернет на ване мне в общем то нужен был для того чтобы пользовать файловые архивы моего провайдера на скорости 10 мбит... насколько я понял переделланый лан ограничивает 3мбитами...

по настройке маршрутов как бы тоже проблем не возникло.. ппп делался дефаултом.. дефаулт эзернета грохался после того как прописывались все его маршруты... все переделка роутинга записана в пост-моунт.. в общем то все работает )).. спасибо за полезные ссылки
Mam(O)n
08-10-2007, 18:37
насколько я понял переделланый лан ограничивает 3мбитами...

Как это ограничивает?? Для доступа в локалку пптп используется?


все переделка роутинга записана в пост-моунт..

post-mount?? Мож всетаки post-firewall??
wlock21
08-10-2007, 19:15
Как это ограничивает?? Для доступа в локалку пптп используется?

ну где то тут в одной ветке исали про 2 минуса.. 3 мбит/сек при 65% загрузке сети и вроде как роутинг настраивать тяжко...
это не совсем локалка.. это внутрисетевые ресурсы провайдера который довльно крупный + внутригородские сети.. в общем все что бесплатно и на 10 мбитах...


post-mount?? Мож всетаки post-firewall??
ну.. у меня именно в постмоунт... пост фаерволл почему то не захотел команды выполнять (..
Mam(O)n
08-10-2007, 20:44
3 мбит/сек при 65% загрузке сети
Не понял смысла фразы. 4.61 МБит при 100% загрузки должно быть?


это не совсем локалка..

Ну для доступа туда впн используется или нет?


ну.. у меня именно в постмоунт... пост фаерволл почему то не захотел команды выполнять (..
Это неправильно. Пост моунт выполняется лишь тогда, когда диски монтируются.. А вот после каждого изменения состояния wan (коннект-дисконнект-реконнект) сначала приводятся в дефолтное состояние таблицы роутинга и файрвола а затем исполняется post-firewall.

-- cut --

Я Сейчас специально тестовую конфигурацию поднял:

robocfg vlan 0 ports "1 2 4 5t" vlan 2 ports "3 5t"
vconfig add eth0 2
ifconfig vlan2 172.22.23.1 netmask 255.255.255.0
iptables -I FORWARD -i vlan2 -o br0 -j ACCEPT

и погонял файлы. Получил в среднем 48 мегабит. При этом загрузка процессора роутера судя по top составила 50%. При этом похоже узкое место была дисковая подсистема сервера.
covecs
21-10-2007, 19:55
Доброго времени суток!

Уважаемые озадачился я такой проблемай - в квартиру проведены кабели 2-х провайдеров - CLN и QWERTY. Основной - CLN им пользуюсь по wifi по большей части.
В "настройке 500 deluxe с нуля.." и не только прочел что роутер можно приспособить для работы с двумя провайдерами сразу.
Ворос к тем, кто пользуется этим - как выглядит это все на практике - как можно будет подключаться по wifi (пользуюсь тока 1 ноутом) - будут доступны сразу 2 прова (как при проводном соединении и 2-х сетевухах)или как-то по-другому(т.е. как будет выглядеть процесс пользования). Или я вообще не правильно понимаю сам смысл этой возможности в данном контексте.

Сразу извиняюсь за ламерские вопросы -хотя и нашел пару постов с похожими проблемами и рекомендациями понял мало- в этом я чайник.
Если кто может подскажите что нужно делать по-шагово.
(пользую 500gp, прошивка 1.9.2.7-7g)
covecs
27-10-2007, 15:35
неужели никто не пользуется данной возможностью?
Spacesoft
28-10-2007, 01:13
В общих чертах - сначала методом консольного шаманства один из LAN портов превращается в ещё один WAN, затем в зависимости от поставленных задач и специфичности провайдеров опять же с помощью скриптов разруливается.
'Как' разрулить сеть между именно CLN и центел с помощью одного асюса здесь вряд-ли кто опишет.
Метод меньших затрат - воткнуть между qwerty и LAN-портом асюса что-то наподобии д-линка 604 и затем сюда:
http://forum.degunino.net/?showtopic=141520
covecs
28-10-2007, 13:18
спасибо, - пошел изучать
Reyter
28-10-2007, 17:03
.
Метод меньших затрат - воткнуть между qwerty и LAN-портом асюса что-то наподобии д-линка 604
Что такого умеет DLink из того, что не умеет АСУС?

covecs Как подключить двух провайдеров уже многократно обсуждалось на форуме. И рецепты приведены.
Вот только такой вопрос - по какому принципу собираетесь определять к какому из провайдеров пойдет тот или иной запрос?
Lt_Flash
28-10-2007, 18:59
В общих чертах - сначала методом консольного шаманства один из LAN портов превращается в ещё один WAN, затем в зависимости от поставленных задач и специфичности провайдеров опять же с помощью скриптов разруливается.
'Как' разрулить сеть между именно CLN и центел с помощью одного асюса здесь вряд-ли кто опишет.
Метод меньших затрат - воткнуть между qwerty и LAN-портом асюса что-то наподобии д-линка 604 и затем сюда:
http://forum.degunino.net/?showtopic=141520

Собстно, я опишу. Через LARTC. http://gazette.linux.ru.net/rus/articles/lartc/index.html

Разделяйте как хотите, хоть почту в одну сторону, веб-трафик - в другую. Хотя вопрос еще - поддерживает ли Асус все это. Но по идее должен.
Spacesoft
28-10-2007, 19:12
Что такого умеет DLink из того, что не умеет АСУС?Он тут приведён как самый малозатратный (для чайника разумеется) метод.
Reyter
29-10-2007, 06:10
и затем сюда:
http://forum.degunino.net/?showtopic=141520
"Вход на эту страницу разрешён только для пользователей сети degunino.net и сетей-партнёров."
Reyter
29-10-2007, 06:12
Он тут приведён как самый малозатратный (для чайника разумеется) метод.
Хм... Вы всерьез предполагаете, что чайник сможет самостоятельно изучить LARC и правильно применить его? Ну-ну... :)
covecs
29-10-2007, 19:43
covecs Как подключить двух провайдеров уже многократно обсуждалось на форуме. И рецепты приведены.
Вот только такой вопрос - по какому принципу собираетесь определять к какому из провайдеров пойдет тот или иной запрос?

обсуждалось...но если нет определенной базы в этом, то не больно-то разберешся, поэтому и прошу мне разжевать все по-возможности доступно.
Spacesoft
30-10-2007, 00:42
Метод меньших затрат - воткнуть между qwerty и LAN-портом асюса что-то наподобии д-линка 604 и затем сюда:
http://forum.degunino.net/?showtopic=141520Что такого умеет DLink из того, что не умеет АСУС?Он тут приведён как самый малозатратный (для чайника разумеется) метод.Хм... Вы всерьез предполагаете, что чайник сможет самостоятельно изучить LARC и правильно применить его? Ну-ну...Я про LARC не писал, a предложил в качестве 2го WAN-a поставить железку ака длинк за 800р.

и затем сюда:
http://forum.degunino.net/?showtopic=141520
"Вход на эту страницу разрешён только для пользователей сети degunino.net и сетей-партнёров."Автору темы эта ссылка доступна.
Reyter
30-10-2007, 10:09
Я про LARC не писал, a предложил в качестве 2го WAN-a поставить железку ака длинк за 800р.Автору темы эта ссылка доступна.
Полагаете, что лучше потратить 800 рублей на покупку еще одной железки, чем потратить пару часов на настройку роутера?
К тому же даже при установке длинка интернет все-равно придется как-то разруливать. Т.е. производить дополнительные настройки.

covecs Поиск никто не отменял. Вот например, попробовали бы для начала воспользоваться рекомендациями отсюда (http://wl500g.info/showthread.php?t=10678), а там по ходу дела мы бы уже помогли, если что не пойдет.
Coolty
05-12-2007, 19:15
У меня в квартире две домашних сети , два компьютера , и роутер . от одного провайдера мне нужен интернет , от другого сеть . можно ли какнибудь сделать что бы работало одновременно сеть от одного провайдера и интернет от другого ?
Oleg
05-12-2007, 19:50
Да, можно. Чтение прикреплённых тем поможет.
Coolty
05-12-2007, 20:57
если не трудно до киньте пожалуйста ссылку где конкретно почитать т.к. не нашел .
Mak
13-02-2008, 07:56
Есть необходимость сделать дома бесперебойный интернет. Как я понимаю надо просто сделать определенные настройки в роутере, и подключить провайдера в один из разъемов LAN - и интернет появится.

Упорно читал форум несколько недель. Прочитал массу информации, понял не много. Думаю у большинства людей здесь уровень подготовки гораздо выше.
Из текста многих веток форума можно понять, что настройки для подключения дополнительного провайдера работают в случае если ip адрес статический. Но и встречаются ветки форума где написано, что и для динамического адреса все можно.
У меня конечно же все адреса динамические. Внешние динамические ip адреса. Это почти в 100% случаев так, насколько я понимаю. Видел только одного провайдера который не давал внешнего ip - это AKADO.
А статический адрес мне не нужен. Я поставил программку с сайта no-ip.com и теперь хожу домой с работы по РДП используя свое доменное имя а не ip адрес какойто.
Последовательность действий по настройке доп. провадера проста: я перетыкаю своего единственного пока провайдера в разъем LAN1 и пользуюсь всевозможными инструкциями выложенными на форуме, даю команды с роутера:
#Чтобы сделать например 1 порт независимым нужно дать команды
robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
vconfig add eth0 2
#запустить интерфейс
ifconfig vlan2 192.168.2.1 broadcast 192.168.2.255 netmask 255.255.255.0 up
- интернет не появился. пинг с роутера не идет никуда.
Что за ip здесь указан не понятно.
Пробую указать свой(с помошью команды ifconfig -a подсмотрел пораметры какие были на порту vlan1(т.е. WAN как я понимаю)) и подставляю их сюда, вводя команду заново:
ifconfig vlan2 74.41.103.130 broadcast 74.41.111.255 netmask 255.255.240.0 up
все равно пинг с роутера не идет.
Делаю:
#Не пойми зачем это?
iptables -t nat -A POSTROUTING -o vlan2 -s ! 10.61.63.173 -j MASQUERADE
- не пингуется..

Почему не работает?
Думаю, что у меня вполне среднестатистические данные по провайдерам.
И кроме того множество людей, думаю, хотели бы использовать роутер в режиме "резервный канал" или "балансировка нагрузки". Так почему бы не создать подробный FAQ на эту тему?
Mak
13-02-2008, 12:00
Забыл указать модель роутера и прошивку: WL500gp-1.9.2.7-8

Проблема в общем то в том что вся информация разрознена, не подробноя на форуме. Довольно странно что в таком большом FAQ-е как "настройка с нуля" ничего почти не написано про подключение и использование нескольких wan-ов. Можно иногда встретить ссылки на OpenWrt с красивыми картинками и буквами не по русски.
Но я к сожалению только русский язык знаю. И то плохо.
lexass
13-02-2008, 12:35
Как я понимаю надо просто сделать определенные настройки в роутере, и подключить провайдера в один из разъемов LAN - и интернет появится.

1. ничего не понял
2. провод от прова в WAN локальные компы в LAN
3. если ничего не понятно на форуме, рекомендую начать с прочтения бумажного мануала к железке. настройки на радной паршивке в вебМорде такие же что и в WL500gp-1.9.2.7-8 (в основном)

ЗЫ
далее конкретные вопросы в студию ПЛЗ;)
Mak
13-02-2008, 12:59
1. ничего не понял
2. провод от прова в WAN локальные компы в LAN
3. если ничего не понятно на форуме, рекомендую начать с прочтения бумажного мануала к железке. настройки на радной паршивке в вебМорде такие же что и в WL500gp-1.9.2.7-8 (в основном)

ЗЫ
далее конкретные вопросы в студию ПЛЗ;)

Вы не поняли:
Цель - провод от провайдера в LAN!
На форуме многое понятно. Не понятно как сделать чтобы роутер брал интернет нескольких провайдеров и раздавал его компьютерам локальной сети. Можете сказать что именно я не понятно написал?
usmailer™
13-02-2008, 17:44
Вы не поняли:
Цель - провод от провайдера в LAN!
На форуме многое понятно. Не понятно как сделать чтобы роутер брал интернет нескольких провайдеров и раздавал его компьютерам локальной сети. Можете сказать что именно я не понятно написал?

http://wl500g.info/showthread.php?t=10678

сообщение номер 4 (четыре)
Mak
13-02-2008, 19:08
http://wl500g.info/showthread.php?t=10678

сообщение номер 4 (четыре)

Шутите чтоли?
"Настройку с нуля я читал" и написал в своем первом сообщении об этом.
Далее в сообщении номер 4 (четыре) идут ссылки на какойто мануал на английском. Если бы я знал английский, то дефицита информации наверное у меня не было бы.
Вы бы подсказали чтоли, что я не так делаю. Вместо того чтобы мне не понятные ссылки давать.. И раздувать ветку странными советами.
Кстати говоря некоторые ветки форума страдают пустословием иногда..
Задача бесеперебойного интенента для меня решается проще - покупкой предназначеной для этого железки. Но мне важно самому во всем разобраться. Кроме того думаю я не один такой. Начинающие товарищи меня поддержат: на форуме слишком размыто написано про создание multi-wan роутера из asus 500gP
usmailer™
14-02-2008, 08:04
Шутите чтоли?
"Настройку с нуля я читал" и написал в своем первом сообщении об этом.
Далее в сообщении номер 4 (четыре) идут ссылки на какойто мануал на английском. Если бы я знал английский, то дефицита информации наверное у меня не было бы.
Вы бы подсказали чтоли, что я не так делаю. Вместо того чтобы мне не понятные ссылки давать.. И раздувать ветку странными советами.
Кстати говоря некоторые ветки форума страдают пустословием иногда..
Задача бесеперебойного интенента для меня решается проще - покупкой предназначеной для этого железки. Но мне важно самому во всем разобраться. Кроме того думаю я не один такой. Начинающие товарищи меня поддержат: на форуме слишком размыто написано про создание multi-wan роутера из asus 500gP

multi-wan описан тут http://wl500g.info/showthread.php?t=6208
это вы видели как я понял...
там есть начальная информация, которая достаточно удобовариваема...
поймите.. за вас никто ничего делать не будет...
надо и самому все же думать и пробовать... а по результатам вам уже можно чем то помочь...
rtzra
14-02-2008, 10:07
2 Mak: посмотрите http://brj.pp.ru/wiki/hardware/network/router/asus-wl500gp#sozdaem_dopolnitelnyj_wlan

Я описал свои настройки, все замечательно работает.
Evfro
24-03-2008, 16:35
WL 500gP, прошивка 1.9.2.7-8 Олега.

Поясню, что именно требуется.

На основном WAN стандартно настроен доступ в интернет (PPPoE).
Порт №1 роутера настроен под второй WAN для доступа к локальной сети другого провайдера (IP и DNS - автоматические). Соответственно, для этого сделано следующее:

[настройка порта]
nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram commit
reboot

[поднятие интерфейса]
ifconfig vlan2 up
vconfig add eth0 2

[автоматическое получение IP]
udhcpc -i vlan2 -p /var/run/udhcpc2.pid -s /tmp/udhcpc -b

[добавление нужных маршрутов для доступа к локалке]
route add -net <subnet> netmask <mask> gw <gateway> dev vlan2
...

[настройка IPTABLES]
iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY
iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY
iptables -t nat -A POSTROUTING -o vlan2 ! -s <Automatic IP> -j MASQUERADE (чтобы можно было по Wi FI ловить и инет и локальную сеть)

где
<Automatic IP> = `ifconfig vlan2 | grep 'inet addr' | tr ':' ' ' | awk '{print $3}'` (IP адресс, выданный по DHCP)

Вопрос заключается в следующем: как настроить доступ строго определенным компьютерам из локальной сети на втором WAN к интернету основного WAN?

Пока что ситуация следующая: с самого роутера локальная сеть прекрасно видна, однако из локальной сети выданный на vlan2 адрес <Automatic IP> даже не пингуется. Соответственно не вижу возможным настроить доступ из локалки в инет.
Spacesoft
25-03-2008, 06:12
Скорее всего текущие правила фаервола мешают, их можно посмотреть cat /tmp/filter_rules
Добавлять правила лучше в данном случае через iptables -I , a не iptables -A .
Evfro
25-03-2008, 16:29
Спасибо за идею. Попробую разобраться в IPTABLES.

Навскидку попробовал поместить правила для INPUT и FORWARD строчкой выше правил DROP all -- anywhere, но ситуация не изменилась: я вижу и инет и локалку, а вот из локалки пропинговать даже IP, присвоенный по DHCP vlan2 'у, не удается...

Может быть с маскарадингом что-то не так?
строчка
MASQUERADE all -- ! <vlan2 IP> anywhere в построутинге присутствует

Буду благодарен за любые другие идеи...
pamperello
02-05-2008, 13:25
Cобсна имеется 2 питерских провайдера матрас и даймонд. Имеется роутер wl-500gp. Задача: организовать инет через даймонд и локальную сеть через матрикс.
Настройки провайдеров:
matrix: (настройки выдаваемые провайдером, подключение внешней сети черев PPTP, vpn)
ip: 10.50.35.35
netmask: 255.255.240.0
gw: 10.50.32.2
dns: 80.70.224.2
dns2: 80.70.224.4
routing: внутренняя сеть:
10.0.0.0 netmask 255.0.0.0 gw 10.50.32.2
80.70.225.96 netmask 255.255.255.224 gw 10.50.32.2
80.70.228.0 netmask 255.255.254.0 gw 10.50.32.2
80.70.232.0 netmask 255.255.248.0 gw 10.50.32.2
диапазон адресов: 10.1.x.x-10.7.x.x 10.20.x.x 10.50.x.x

diamond: (настройки выдаваемые провайдером, подключение внешней сети через РРPoE)
ip: 10.10.19.62
netmask: 255.255.0.0
gw: 10.10.0.1 (но работает и при автополучении)
routing: 10.0.0.0 netmask 255.0.0.0 gw 10.10.0.1
диапазон адресов 10.8.х.х 10.10.х.х

Что уже сделано:
Даймонд висит на wlan.
поднят vlan2 для matrix:
в /usr/local/sbin/post-boot
robocfg vlan 2 ports "4 5t" vlan 0 ports "1 2 3 5t"
vconfig add eth0 2
#мак
ifconfig vlan2 hw ether xx:xx:xx:xx:xx:xx
ifconfig vlan2 10.50.35.35 netmask 255.255.240.0

Что непонятно:
1. где(в каком файле) и каким образом прописать dns для матрикса
2. роутинг для одновременной работы обоих провайдеров
pamperello
07-05-2008, 13:28
значт поковырялся:
post-boot:
vconfig add eth0 2
#мак
ifconfig vlan2 hw ether 00:d0:b7:ba:4f:0f
ifconfig vlan2 10.50.35.35 netmask 255.255.240.0
iptables -A OUTPUT -s 10.50.32.2/255.255.255.255 -o vlan2 -j ACCEPT
iptables -A OUTPUT -o vlan2 -j DROP
ifconfig vlan2 up


post-firewall:
/sbin/route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.50.32.2 dev vlan2
/sbin/route add -net 80.70.225.96 netmask 225.225.225.224 gw 10.50.32.2 dev vlan2
/sbin/route add -net 80.70.228.0 netmask 225.225.254.0 gw 10.50.32.2 dev vlan2
/sbin/route add -net 80.70.232.0 netmask 225.225.248.0 gw 10.50.32.2 dev vlan2
kill -HUP 'pidof dnsmasq'

/usr/local/etc/dnsmasq.conf
server=80.70.224.2
server=80.70.224.4

пытаюсь открыть локальный матрасовский сайт kino.local - обращается к нему по ip, но сайт не грузит.
tracert kino.local:
трассировка маршрута к kino.local [80.70.233.68]
1 <1 мс 1 мс <1 мс wl-001e8c0232c6 [192.168.1.1]
2 wl-001e8c0232c6 [192.168.1.1] сообщает: данный узел недоступен
pamperello
07-05-2008, 13:29
log:

Jan 1 00:00:03 syslogd started: BusyBox v1.1.3
Jan 1 00:00:03 kernel: CPU revision is: 00029006
Jan 1 00:00:03 kernel: Primary instruction cache 16kb, linesize 16 bytes (2 ways)
Jan 1 00:00:03 kernel: Primary data cache 16kb, linesize 16 bytes (2 ways)
Jan 1 00:00:03 kernel: Linux version 2.4.20 (root@localhost) (gcc version 3.2.3 with Broadcom modifications) #72 Fri Feb 8 22:09:34 MSK 2008
Jan 1 00:00:03 kernel: Setting the PFC to its default value
Jan 1 00:00:03 kernel: Determined physical RAM map:
Jan 1 00:00:03 kernel: memory: 02000000 @ 00000000 (usable)
Jan 1 00:00:03 kernel: On node 0 totalpages: 8192
Jan 1 00:00:03 kernel: zone(0): 8192 pages.
Jan 1 00:00:03 kernel: zone(1): 0 pages.
Jan 1 00:00:03 kernel: zone(2): 0 pages.
Jan 1 00:00:03 kernel: Kernel command line: root=/dev/mtdblock2 noinitrd init=/linuxrc console=ttyS0,115200
Jan 1 00:00:03 kernel: CPU: BCM4704 rev 9 pkg 0 at 264 MHz
Jan 1 00:00:03 kernel: Calibrating delay loop... 263.78 BogoMIPS
Jan 1 00:00:03 kernel: Memory: 30100k/32768k available (1854k kernel code, 2668k reserved, 136k data, 72k init, 0k highmem)
Jan 1 00:00:03 kernel: Dentry cache hash table entries: 4096 (order: 3, 32768 bytes)
Jan 1 00:00:03 kernel: Inode cache hash table entries: 2048 (order: 2, 16384 bytes)
Jan 1 00:00:03 kernel: Mount-cache hash table entries: 512 (order: 0, 4096 bytes)
Jan 1 00:00:03 kernel: Buffer-cache hash table entries: 1024 (order: 0, 4096 bytes)
Jan 1 00:00:03 kernel: Page-cache hash table entries: 8192 (order: 3, 32768 bytes)
Jan 1 00:00:03 kernel: Checking for 'wait' instruction... unavailable.
Jan 1 00:00:03 kernel: POSIX conformance testing by UNIFIX
Jan 1 00:00:03 kernel: PCI: Initializing host
Jan 1 00:00:03 kernel: PCI: Fixing up bus 0
Jan 1 00:00:03 kernel: PCI: Fixing up bridge
Jan 1 00:00:03 kernel: PCI: Fixing up bus 1
Jan 1 00:00:03 kernel: Linux NET4.0 for Linux 2.4
Jan 1 00:00:03 kernel: Based upon Swansea University Computer Society NET3.039
Jan 1 00:00:03 kernel: Initializing RT netlink socket
Jan 1 00:00:03 kernel: Starting kswapd
Jan 1 00:00:03 kernel: Journalled Block Device driver loaded
Jan 1 00:00:03 kernel: devfs: v1.12c (20020818) Richard Gooch (rgooch@atnf.csiro.au)
Jan 1 00:00:03 kernel: devfs: boot_options: 0x1
Jan 1 00:00:03 kernel: NTFS driver v1.1.22 [Flags: R/O]
Jan 1 00:00:03 kernel: pty: 256 Unix98 ptys configured
Jan 1 00:00:03 kernel: Serial driver version 5.05c (2001-07-08) with MANY_PORTS SHARE_IRQ SERIAL_PCI enabled
Jan 1 00:00:03 kernel: ttyS00 at 0xb8000300 (irq = 3) is a 16550A
Jan 1 00:00:03 kernel: ttyS01 at 0xb8000400 (irq = 3) is a 16550A
Jan 1 00:00:03 kernel: HDLC line discipline: version $Revision$, maxframe=4096
Jan 1 00:00:03 kernel: N_HDLC line discipline registered.
Jan 1 00:00:03 kernel: loop: loaded (max 8 devices)
Jan 1 00:00:03 kernel: PPP generic driver version 2.4.2
Jan 1 00:00:03 kernel: PPP Deflate Compression module registered
Jan 1 00:00:03 kernel: PPP BSD Compression module registered
Jan 1 00:00:03 kernel: MPPE/MPPC encryption/compression module registered
Jan 1 00:00:03 kernel: PPPoL2TP kernel driver, V0.13 (oleg@cs.msu.su)
Jan 1 00:00:03 kernel: Amd/Fujitsu Extended Query Table v1.3 at 0x0040
Jan 1 00:00:03 kernel: Flash Id: Vendor: 0x0001 Device: 0x007e
Jan 1 00:00:03 kernel: number of CFI chips: 1
Jan 1 00:00:03 kernel: Flash device: 0x800000 at 0x1c000000
Jan 1 00:00:03 kernel: Physically mapped flash: squashfs filesystem found at block 909
Jan 1 00:00:03 kernel: Creating 5 MTD partitions on "Physically mapped flash":
Jan 1 00:00:03 kernel: 0x00000000-0x00040000 : "boot"
Jan 1 00:00:03 kernel: 0x00040000-0x007f0000 : "linux"
Jan 1 00:00:03 kernel: 0x000e3674-0x007f0000 : "rootfs"
Jan 1 00:00:03 kernel: 0x007f0000-0x00800000 : "nvram"
Jan 1 00:00:03 kernel: 0x003e0000-0x007f0000 : "flashfs"
Jan 1 00:00:03 kernel: sflash: found no supported devices
Jan 1 00:00:03 kernel: NET4: Linux TCP/IP 1.0 for NET4.0
Jan 1 00:00:03 kernel: IP Protocols: ICMP, UDP, TCP, IGMP
Jan 1 00:00:03 kernel: IP: routing cache hash table of 512 buckets, 4Kbytes
Jan 1 00:00:03 kernel: TCP: Hash tables configured (established 2048 bind 4096)
Jan 1 00:00:03 kernel: Linux IP multicast router 0.06 plus PIM-SM
Jan 1 00:00:03 kernel: ip_conntrack version 2.1 (256 buckets, 2048 max) - 352 bytes per conntrack
Jan 1 00:00:03 kernel: ip_conntrack_pptp version 1.9 loaded
Jan 1 00:00:03 kernel: ip_nat_pptp version 1.5 loaded
Jan 1 00:00:03 kernel: ip_tables: (C) 2000-2002 Netfilter core team
Jan 1 00:00:03 kernel: ipt_time loading
Jan 1 00:00:03 kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.
Jan 1 00:00:03 kernel: IPv6 v0.8 for NET4.0
Jan 1 00:00:03 kernel: IPv6 over IPv4 tunneling driver
Jan 1 00:00:03 kernel: NET4: Ethernet Bridge 008 for NET4.0
Jan 1 00:00:03 kernel: 802.1Q VLAN Support v1.7 Ben Greear <greearb@candelatech.com>
Jan 1 00:00:03 kernel: All bugs added by David S. Miller <davem@redhat.com>
Jan 1 00:00:03 kernel: FAT: bogus logical sector size 23296
Jan 1 00:00:03 kernel: FAT: bogus logical sector size 23296
Jan 1 00:00:03 kernel: NTFS: Unable to set blocksize 512.
Jan 1 00:00:03 kernel: VFS: Mounted root (squashfs filesystem) readonly.
Jan 1 00:00:03 kernel: Mounted devfs on /dev
Jan 1 00:00:03 kernel: Freeing unused kernel memory: 72k freed
Jan 1 00:00:03 kernel: Algorithmics/MIPS FPU Emulator v1.5
Jan 1 00:00:03 kernel: eth0: Broadcom BCM47xx 10/100 Mbps Ethernet Controller 4.108.9.0
Jan 1 00:00:03 kernel: PCI: Enabling device 01:02.0 (0004 -> 0006)
Jan 1 00:00:03 kernel: 1 Wireless Controller 4.108.9.0
Jan 1 00:00:03 kernel: device eth0 entered promiscuous mode
Jan 1 00:00:03 kernel: device vlan0 entered promiscuous mode
Jan 1 00:00:03 kernel: device eth1 entered promiscuous mode
Jan 1 00:00:03 kernel: br0: port 2(eth1) entering learning state
Jan 1 00:00:03 kernel: br0: port 1(vlan0) entering learning state
Jan 1 00:00:03 kernel: br0: port 2(eth1) entering forwarding state
Jan 1 00:00:03 kernel: br0: topology change detected, propagating
Jan 1 00:00:03 kernel: br0: port 1(vlan0) entering forwarding state
Jan 1 00:00:03 kernel: br0: topology change detected, propagating
pamperello
07-05-2008, 13:30
Jan 1 00:00:03 dnsmasq[74]: started, version 2.22 cachesize 150
Jan 1 00:00:03 dnsmasq[74]: DHCP, IP range 192.168.1.2 -- 192.168.1.254, lease time 24h
Jan 1 00:00:03 dnsmasq[74]: DHCP, /tmp/dnsmasq.log will be written every 8h
Jan 1 00:00:03 dnsmasq[74]: using nameserver 80.70.224.4#53
Jan 1 00:00:03 dnsmasq[74]: using nameserver 80.70.224.2#53
Jan 1 00:00:03 dnsmasq[74]: read /etc/hosts - 5 addresses
Jan 1 00:00:03 dnsmasq[74]: reading /tmp/resolv.conf
Jan 1 00:00:03 dnsmasq[74]: using nameserver 80.70.224.4#53
Jan 1 00:00:03 dnsmasq[74]: using nameserver 80.70.224.2#53
Jan 1 00:00:04 kernel: usb.c: registered new driver usbdevfs
Jan 1 00:00:04 kernel: usb.c: registered new driver hub
Jan 1 00:00:04 kernel: usb-uhci.c: $Revision: 1.275 $ time 00:12:11 Jan 17 2008
Jan 1 00:00:04 kernel: usb-uhci.c: High bandwidth mode enabled
Jan 1 00:00:04 kernel: PCI: Enabling device 01:03.0 (0000 -> 0001)
Jan 1 00:00:04 kernel: ECHI PCI device 30381106 found.
Jan 1 00:00:04 kernel: UCHI reg 0x41 = 10
Jan 1 00:00:04 kernel: UCHI reg 0x41 changed to = 0
Jan 1 00:00:04 kernel: usb-uhci.c: USB UHCI at I/O 0x100, IRQ 12
Jan 1 00:00:04 kernel: usb-uhci.c: Detected 2 ports
Jan 1 00:00:04 kernel: usb.c: new USB bus registered, assigned bus number 1
Jan 1 00:00:04 kernel: hub.c: USB hub found
Jan 1 00:00:04 kernel: hub.c: 2 ports detected
Jan 1 00:00:04 kernel: PCI: Enabling device 01:03.1 (0000 -> 0001)
Jan 1 00:00:04 kernel: ECHI PCI device 30381106 found.
Jan 1 00:00:04 kernel: UCHI reg 0x41 = 10
Jan 1 00:00:04 kernel: UCHI reg 0x41 changed to = 0
Jan 1 00:00:04 kernel: usb-uhci.c: USB UHCI at I/O 0x120, IRQ 12
Jan 1 00:00:04 kernel: usb-uhci.c: Detected 2 ports
Jan 1 00:00:04 kernel: usb.c: new USB bus registered, assigned bus number 2
Jan 1 00:00:04 kernel: hub.c: USB hub found
Jan 1 00:00:04 kernel: hub.c: 2 ports detected
Jan 1 00:00:04 kernel: usb-uhci.c: v1.275:USB Universal Host Controller Interface driver
Jan 1 00:00:05 kernel: PCI: Enabling device 01:03.2 (0000 -> 0002)
Jan 1 00:00:05 kernel: ehci_hcd 01:03.2: PCI device 1106:3104
Jan 1 00:00:05 kernel: ehci_hcd 01:03.2: irq 12, pci mem c00f6000
Jan 1 00:00:05 kernel: usb.c: new USB bus registered, assigned bus number 3
Jan 1 00:00:05 kernel: ECHI PCI device 31041106 found.
Jan 1 00:00:05 kernel: ECHI reg 0x49 = 80010f20
Jan 1 00:00:05 kernel: ECHI reg 0x49 changed to = 80010f00
Jan 1 00:00:05 kernel: ECHI reg 0x4b = 80010f09
Jan 1 00:00:05 kernel: ECHI reg 0x4b changed to = 80010f29
Jan 1 00:00:05 kernel: PCI: 01:03.2 PCI cache line size set incorrectly (0 bytes) by BIOS/FW, correcting to 32
Jan 1 00:00:05 kernel: ehci_hcd 01:03.2: USB 2.0 enabled, EHCI 1.00, driver 2003-Dec-29/2.4
Jan 1 00:00:05 kernel: hub.c: USB hub found
Jan 1 00:00:05 kernel: hub.c: 4 ports detected
Jan 1 00:00:05 kernel: usb.c: registered new driver usblp
Jan 1 00:00:05 kernel: printer.c: v0.13: USB Printer Device Class driver
Jan 1 00:00:05 kernel: hub.c: connect-debounce failed, port 1 disabled
Jan 1 00:00:06 kernel: hub.c: new USB device 01:03.2-1, assigned address 2
Jan 1 00:00:06 kernel: usb.c: USB device 2 (vend/prod 0x718/0x82) is not claimed by any active driver.
Jan 1 00:00:06 kernel: usb.c: registered new driver audio
Jan 1 00:00:06 kernel: audio.c: v1.0.0:USB Audio Class driver
Jan 1 00:00:06 kernel: Linux video capture interface: v1.00
Jan 1 00:00:07 kernel: SCSI subsystem driver Revision: 1.00
Jan 1 00:00:07 kernel: Initializing USB Mass Storage driver...
Jan 1 00:00:07 kernel: usb.c: registered new driver usb-storage
Jan 1 00:00:07 kernel: scsi0 : SCSI emulation for USB Mass Storage devices
Jan 1 00:00:07 kernel: Vendor: Imation Model: Flash Drive Rev: 1.00
Jan 1 00:00:07 kernel: Type: Direct-Access ANSI SCSI revision: 02
Jan 1 00:00:07 kernel: Attached scsi removable disk sda at scsi0, channel 0, id 0, lun 0
Jan 1 00:00:07 kernel: SCSI device sda: 499712 512-byte hdwr sectors (256 MB)
Jan 1 00:00:07 kernel: sda: Write Protect is off
Jan 1 00:00:07 kernel: Partition check:
Jan 1 00:00:07 kernel: p1
Jan 1 00:00:07 kernel: USB Mass Storage support registered.
Jan 1 00:00:07 kernel: vlan1: Setting MAC address to 00 d0 b7 ba 4f 0f.
Jan 1 00:00:08 pppd[108]: Plugin rp-pppoe.so loaded.
Jan 1 00:00:08 pppd[108]: RP-PPPoE plugin version 3.3 compiled against pppd 2.4.2
Jan 1 00:00:08 pppd[109]: pppd 2.4.2 started by admin, uid 0
Jan 1 00:00:08 pppd[109]: PPP session is 1054
Jan 1 00:00:08 pppd[109]: Using interface ppp0
Jan 1 00:00:08 pppd[109]: Connect: ppp0 <--> vlan1
Jan 1 00:00:08 pppd[109]: CHAP authentication succeeded
Jan 1 00:00:08 pppd[109]: peer from calling number 00:E0:81:5C:F8:93 authorized
Jan 1 00:00:08 pppd[109]: local IP address 10.11.19.62
Jan 1 00:00:08 pppd[109]: remote IP address 10.11.0.1
Jan 1 00:00:08 pppd[109]: primary DNS address 195.64.141.1
Jan 1 00:00:08 pppd[109]: secondary DNS address 195.64.141.1
Jan 1 00:00:08 dnsmasq[74]: read /etc/hosts - 5 addresses
Jan 1 00:00:08 dnsmasq[74]: reading /tmp/resolv.conf
Jan 1 00:00:08 dnsmasq[74]: using nameserver 195.64.141.1#53
Jan 1 00:00:08 dnsmasq[74]: using nameserver 195.64.141.1#53
Jan 1 00:00:08 dnsmasq[74]: using nameserver 80.70.224.4#53
Jan 1 00:00:08 dnsmasq[74]: using nameserver 80.70.224.2#53
Jan 1 00:00:09 PPPoE: connect to ISP
Jan 1 00:00:09 kernel: vlan2: Setting MAC address to 00 d0 b7 ba 4f 0f.
Jan 1 00:00:09 dropbear[137]: Running in background
Jan 1 00:00:11 dnsmasq[74]: nameserver 80.70.224.2 refused to do a recursive query
May 7 12:25:16 kernel: kjournald starting. Commit interval 5 seconds
May 7 12:25:16 kernel: EXT3 FS 2.4-0.9.19, 19 August 2002 on sd(8,1), internal journal
May 7 12:25:16 kernel: EXT3-fs: recovery complete.
May 7 12:25:16 kernel: EXT3-fs: mounted filesystem with ordered data mode.
May 7 12:25:16 USB storage: ext3 fs at /dev/discs/disc0/part1 mounted to /tmp/mnt/disc0_1
May 7 12:25:25 ntp client: Synchronizing time with time.nist.gov ...
pamperello
07-05-2008, 13:42
повторная трассировка выдает это:
C:\Documents and Settings\lol-lamer.IMBA>tracert kino.local

Трассировка маршрута к kino.local [80.70.233.68]
с максимальным числом прыжков 30:

1 1 ms <1 мс 1 ms WL-001E8C0232C6 [192.168.1.1]
2 2 ms <1 мс 1 ms 10.11.0.1
3 1 ms 2 ms <1 мс 195.64.141.1
4 1 ms 1 ms 1 ms 85.114.15.61
5 11 ms 11 ms 11 ms 85.114.28.38
6 24 ms 27 ms 24 ms 193.232.244.167
7 32 ms 36 ms 36 ms cat4500-239-253.mns.ru [80.70.239.253]
8 23 ms 28 ms 26 ms coresw.mns.ru [80.70.239.2]
9 24 ms 23 ms 23 ms kino.local [80.70.233.68]

локальные сайты матрикса грузятся только те которые имеют выход в интернет, т.е. роутер обращается к внутренней сети матрикса через интернет... как это исправить?
pamperello
07-05-2008, 16:06
ну хоть что я не так делаю? куча народу подымало vlan2 и все молчат как партизаны... :mad:

выкладываю тут еще настройки /usr/local/sbin/options.ppp1
noauth refuse-eap
user
password
connect true
sync pty '/user/sbin/pptp vpn-gw1.mns.ru --nobuffer -nolaunchpppd --nobuffer --sync'
lock
nomppe-stateful mtu1400
idle 1800 demand
maxfail 0
persist
ipcp-accept-remote ipcp-accept-local noipdefault
ktune
default-asyncmap nopcomp noaccomp
novj nobsdcomp nodeflate
lcp-echo-interval 10
lcp-echo-failure 6
unit 0
nomppe nomppc
nodefaultroute

подымается сие в post-boot... хз что еще сделать можно, я уже моск сломал окончательно на этом роутере.
pamperello
07-05-2008, 16:37
да, чуть не забыл - ifconfig -a выдает следующее:


br0 Link encap:Ethernet HWaddr 00:1E:8C:02:32:C6
inet addr:192.168.1.1 Bcast:192.168.255.255 Mask:255.255.0.0
inet6 addr: fe80::21e:8cff:fe02:32c6/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13913 errors:0 dropped:0 overruns:0 frame:0
TX packets:9111 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1353533 (1.2 MiB) TX bytes:6637290 (6.3 MiB)

eth0 Link encap:Ethernet HWaddr 00:1E:8C:02:32:C6
inet6 addr: fe80::21e:8cff:fe02:32c6/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:166559 errors:9 dropped:0 overruns:3 frame:3
TX packets:17140 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:95931155 (91.4 MiB) TX bytes:7846857 (7.4 MiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 00:1E:8C:02:32:C6
inet6 addr: fe80::21e:8cff:fe02:32c6/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:38392
TX packets:0 errors:115000 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:12 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:2482 errors:0 dropped:0 overruns:0 frame:0
TX packets:2482 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:210610 (205.6 KiB) TX bytes:210610 (205.6 KiB)

ppp0 Link encap:Point-Point Protocol
inet addr:10.11.19.62 P-t-P:10.11.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1412 Metric:1
RX packets:7034 errors:0 dropped:0 overruns:0 frame:0
TX packets:7705 errors:0 dropped:4 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:5682569 (5.4 MiB) TX bytes:962715 (940.1 KiB)

ppp1 Link encap:Point-Point Protocol
inet addr:10.64.64.65 P-t-P:10.112.112.113 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

vlan0 Link encap:Ethernet HWaddr 00:1E:8C:02:32:C6
inet6 addr: fe80::21e:8cff:fe02:32c6/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:128663 errors:0 dropped:0 overruns:0 frame:0
TX packets:9113 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:80804086 (77.0 MiB) TX bytes:6673890 (6.3 MiB)

vlan1 Link encap:Ethernet HWaddr 00:D0:B7:BA:4F:0F
inet addr:10.10.19.62 Bcast:10.10.255.255 Mask:255.255.0.0
inet6 addr: fe80::2d0:b7ff:feba:4f0f/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:37895 errors:0 dropped:0 overruns:0 frame:0
TX packets:8023 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:12128957 (11.5 MiB) TX bytes:1172667 (1.1 MiB)

vlan2 Link encap:Ethernet HWaddr 00:D0:B7:BA:4F:0F
inet addr:10.50.35.35 Bcast:10.255.255.255 Mask:255.255.240.0
inet6 addr: fe80::2d0:b7ff:feba:4f0f/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:82 (82.0 B)
nnmkayf
20-05-2008, 15:45
Есть ли возможность на этом роутере объединить два канала интернет в один виртуальный?
Конкретно есть подключение через Стрим и через Корбину.
Суть того чего я хочу:
Чтобы при аплоаде и дауноладе пакеты шли сразу через два интерфейса.
Если какой-нибудь из линков лег, весь трафик шел через оставшийся на плаву.
p.s. Ясен пень, если подключение инициировано со стороны инета, траффик буде литься только через тот интерфейс - куда присосались.
AndreyPopov
20-05-2008, 16:29
Есть ли возможность на этом роутере объединить два канала интернет в один виртуальный?
Конкретно есть подключение через Стрим и через Корбину.
Суть того чего я хочу:
Чтобы при аплоаде и дауноладе пакеты шли сразу через два интерфейса.
Если какой-нибудь из линков лег, весь трафик шел через оставшийся на плаву.
p.s. Ясен пень, если подключение инициировано со стороны инета, траффик буде литься только через тот интерфейс - куда присосались.

тема: инструкция по настройке WL-500g deluxe/premium с нуля
пункт 13) Настройка нескольких WAN. Нужно тем у кого несколько провайдеров


функция backup connection к примеру реализован вот в этой прошивке, на основе прошивки Олега:
http://koppel.cz/cdmawifi/download/169/
т.е. реально сделать и для двух WAN.
nnmkayf
20-05-2008, 20:45
Большое спасибо за ответ. Cудя по названию - меню Backup Connection реализует функционал только "Если какой-нибудь из линков лег, весь трафик шел через оставшийся на плаву."
Главную задачу - распаралеливание траффика на оба аплинка на не реализует...
Или я не прав в данном суждении?
AndreyPopov
20-05-2008, 21:29
Большое спасибо за ответ. Cудя по названию - меню Backup Connection реализует функционал только "Если какой-нибудь из линков лег, весь трафик шел через оставшийся на плаву."
Главную задачу - распаралеливание траффика на оба аплинка на не реализует...
Или я не прав в данном суждении?

по поводу распределения трафика: обычно принцип работы таких фич строится по принципу - если загружен один канал, то нагружаем другой.

хотя в некоторых моделях это сразу заложено. к примеру у меня есть Compex NetPassage 28G

там такая функция присутсвует.
http://www.compex.com.sg/prodimages/UM-NP28Gusb-v1.2c.pdf
стр. 60

вопрос уже может заключаться в другом - справиться ли сам WL-500g с такой нагрузкой - два PPTP соединения и еще балансировка трафика?
ZooL
11-06-2008, 22:40
Вечер добрый..
Может вопрос немного не в тему, но самая близкая эта тема, к моему вопросу....
Вопрос:
Как заставить роутер запомнить и поднимать настройки vlan1:1...
У меня около 10-ти внешних IP,
Через PyTTy ...
ifconfig vlan1:1 91.90.*.**1 netmask 255.255.255.0 up
ifconfig vlan1:2 91.90.*.**2 netmask 255.255.255.0 up
ifconfig vlan1:3 91.90.*.**3 netmask 255.255.255.0 up
ifconfig vlan1:4 91.90.*.**4 netmask 255.255.255.0 up
ifconfig vlan1:5 91.90.*.**5 netmask 255.255.255.0 up
ifconfig vlan1:6 91.90.*.**6 netmask 255.255.255.0 up
ifconfig vlan1:7 91.90.*.**7 netmask 255.255.255.0 up
ifconfig vlan1:8 91.90.*.**8 netmask 255.255.255.0 up
ifconfig vlan1:9 91.90.*.**9 netmask 255.255.255.0 up

После ребура все заново, уже подустал ;)
ЗЫ. flashfs save flashfs commit flashfs enable reboot <--
заданные параметры не сохраняются :(
Думаю что нужен скрипт, но как его написать, ума не приложу.
Зарание 10x
jjoss
12-07-2008, 10:27
Вечер добрый..
Может вопрос немного не в тему, но самая близкая эта тема, к моему вопросу....
Вопрос:
Как заставить роутер запомнить и поднимать настройки vlan1:1...
У меня около 10-ти внешних IP,
Через PyTTy ...
ifconfig vlan1:1 91.90.*.**1 netmask 255.255.255.0 up
ifconfig vlan1:2 91.90.*.**2 netmask 255.255.255.0 up
ifconfig vlan1:3 91.90.*.**3 netmask 255.255.255.0 up
ifconfig vlan1:4 91.90.*.**4 netmask 255.255.255.0 up
ifconfig vlan1:5 91.90.*.**5 netmask 255.255.255.0 up
ifconfig vlan1:6 91.90.*.**6 netmask 255.255.255.0 up
ifconfig vlan1:7 91.90.*.**7 netmask 255.255.255.0 up
ifconfig vlan1:8 91.90.*.**8 netmask 255.255.255.0 up
ifconfig vlan1:9 91.90.*.**9 netmask 255.255.255.0 up

После ребура все заново, уже подустал ;)
ЗЫ. flashfs save flashfs commit flashfs enable reboot <--
заданные параметры не сохраняются :(
Думаю что нужен скрипт, но как его написать, ума не приложу.
Зарание 10x

Пропиши это все в файле /usr/local/sbin/post-boot
Еще иногда нужна команда
nvram commit
reboot
OperVil
17-07-2008, 20:26
Только что сидел над подобной проблемой и решил её. Я так понял, что подмена айпи адреса на интерфейс WAN1(vlan1) идёт автоматом. Значит нужно правильно прописать форвардинг.
В моём случае нужно было дать доступ в интернет WAN1(vlan1) айпишнику x.x.x.x, который находится в одной подсети со мной на интерфейсе WAN2(vlan2)

Добавляем в post-boot эту строку:

iptables -t filter -I FORWARD 2 -s x.x.x.x -i vlan2 -j ACCEPTЭтим правилом мы вставляем в цепочку форвардинга во вторую ячейку(до дропа) и резрешаем форвардить пакеты с интерфейса vlan2 с сорс айпи x.x.x.x

Вот теперь не могу сделать что бы с LAN было видно WAN2
SlayerS
19-07-2008, 12:38
http://wl500g.info/showpost.php?p=27649&postcount=20

Все сделал как здесь работают 2 провайдера. Но как мне сделать портфорвардинг на vlan2?
random13
06-08-2008, 12:22
хочу на wl-500gp реализовать следующее:

wan1 - инет l2tp
wan2 - инет(стримовский модем который сам будет держать соединение)


соответственно эти оба инета раздаются, ну или второй как резервный, не знаю как возможно
AndreyPopov
07-08-2008, 09:37
что значит можно я имею ввиду такую общую связку можно ли создать?

можно.

пути решения:
темы Инструкция по настройке с нуля п.13
темы со словами multiwan и load balancing
Andyz
18-08-2008, 13:05
Читаю, в FAQ на DELUXE указано, что можно организовать второй WAN.

Можно ли на моделях Premium, Иил придется покупать TP-LINK + точка доступа? (дорого и без софтовых наворотов и USB)
usmailer™
19-08-2008, 06:36
Читаю, в FAQ на DELUXE указано, что можно организовать второй WAN.

Можно ли на моделях Premium, Иил придется покупать TP-LINK + точка доступа? (дорого и без софтовых наворотов и USB)


можно и в делюксе и в премиумах.. и в инструкции "с нуля" все это описано
http://www.wl500g.info/showpost.php?p=20276&postcount=3
agent
19-08-2008, 19:34
можно в WL500GP V1 и в WL500W

а вот в WL500GP V2 - не уверен что можно.
dk866
26-08-2008, 21:53
можно в WL500GP V1 и в WL500W

а вот в WL500GP V2 - не уверен что можно.

wl500gpv2 - пробовал, можно ж)

ЗЫ автору темы стоит почитать http://wl500g.info/showthread.php?t=6208 - оттуда можно многое натырить...
Andyz
31-08-2008, 23:31
Спасибо, закрыто, уже с трудом нашел в продаже V1.
Andyz
03-09-2008, 15:08
Поскольку началось педантичное зафлуживание любого вопроса в "песочнице", решил вынести отдельным топиком (не бодаться же с ветряной мельницей)

Прошу разбирающихся людей пояснить, возможно ли в принципе простыми средствами создать WAN2 ?
Этот вопрос, похоже, до сих пор никак не освещен, хотя разговоров про WAN2 много.

В FAQ сказано что можно, но не сказано как. Пробую, как сделан WAN1 у Асуса - не работает.

Имеем - предпоследнюю прошивку Олега (1.9.2.7-9).
Имеем FAQ где ничего не сказано про маршрутизацию(WAN2), зато сказано как создать из порта новый "интерфейс".
http://wl500g.info/showpost.php?p=29772&postcount=6
Имеем топик Multiwan, где обсуждают очень мощный, но сложный, опасный в неподготовленных руках и не нужный для такой примитивной задачи скрипт (к тому же по описанию очень медленный). http://wl500g.info/showthread.php?t=6208

ЗАДАЧА:
Дано:
1)192.168.0.0/16 - Это основная сеть со шлюзом по умолчанию и Интернетом. *(имеется несколько инородных хостов 10.0.0.0/8)
2)10.10.0.0/16 - это сегмент другой домовой сети 10.0.0.0/8. *(В ней так же есть несколько "чужих" хостов - сегменты других сетей на 192.168.0.0/16)
IP всети (1) 192.168.12.34, IP В сети (2) 10.10.12.34
IP: STATIC; Привязка по MAC: ЕСТЬ; ppp: НЕТ; DHCP: НЕТ; load balance НЕТ.
Т.е. две типичные домовые сети.

Задача:
К роутеру, настроенному под сеть (1) WAN1 прикрутить сеть (2) WAN2 на те же правила, создаваемые в Веб-интерфейсе БЕЗ вмешательства в NVRAM. Т.е. скриптами post-boot, post-firewall, или в этом духе.

Что сделано:

robocfg vlan 2 ports "4 5t" vlan 0 ports "1 2 3 5t"
vconfig add eth0 2 #согласно FAQ OpenWRT (http://wiki.openwrt.org/OpenWrtDocs/NetworkInterfaces)
ifconfig vlan2 hw ether 00:11:22:33:44:55 #MAC для WAN2
ifconfig vlan2 [МОЙ IP 10.10.12.34] broadcast 10.10.255.255 netmask 255.255.0.0 up
Вроде интерфейс создан, robocfg show на втыкание кабеля реагирует, ifconfig -a имя и MAC показывает.

Далее попытка сделать пути:


ip route add 10.10.0.0/16 via [IP vlan2 10.10.12.34] dev vlan2# подсеть на WAN2
ip route add 10.10.0.1/32 via [IP vlan2 10.10.12.34] dev vlan2 #шлюз за WAN2
ip route add 10.0.0.0/8 via 10.10.0.1 dev vlan2 #вся сеть подсети на WAN2
ip route add 10.100.0.0/16 via 192.168.0.1 dev vlan1 #то, что не должно убегать на WAN2
ip route add 10.110.0.0/16 via 192.168.0.1 dev vlan1
...


Результат:
Пока не созданы правила iptables с роутера шлюз 10.10.0.1 пингуется, с ББ на LAN - не пингуется. (Это не означает что все сделано правильно, я себе не доверяю, в сетевые фичи Линукса лезу впервые в жизни)

Создаю правила по образцу Асуса и кое-чего, что нарыл в поиске. Все же показалось, что у Асуса наиболее корректный вариант фильтрации:


iptables -t nat -A PREROUTING -d 10.10.12.34 -j VSERVER #я правильно понял, это отправляет все пакеты с WAN2 на общие правила, задаваемые Веб-интерфейсом?
iptables -t nat -A POSTROUTING -s ! 10.10.12.34 -o vlan2 -j MASQUERADE # Это создает аналог SNAT для моего софта в LAN

iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY # это объект фильтрации типа пакетов, создаваемый ASUS ?
iptables -A FORWARD -i ! br0 -o vlan2 -j DROP #Запрещаем все что не из LAN. Т.е. исключаем мост WAN1-WAN2 ?
iptables -A OUTPUT -s 1.1.1.1 -o vlan2 -j ACCEPT # ЧТО ЭТО!? Содрал из iptables-save у Asus-а
iptables -A OUTPUT -s 10.10.0.1 -o vlan2 -j ACCEPT # ЧТО ЭТО!? Разрешение всем обработанным пакетам идти на шлюз в сети WAN2? Содрал там же.
iptables -A OUTPUT -o vlan2 -2 DROP # видимо обычная затычка для всего неизвестного и непонятного.
kill -HUP `pidof dnsmasq` #как я понял, перезапуск внутреннего DNS за новым маскарадом.


В общем, не работает. :confused:
Пинги из под admin теперь блокируются по правилам iptables. И все. :(

К сож скрипт Multiwan мне с 0 опытом не переварить, чтобы адаптировать - без чужой помощи не справиться. :(
Andyz
03-09-2008, 19:17
P.S. Задача именно не разрушать родной веб-интерфейс, чтобы при желании легко было пробросить новые порты, заблокировать ненужные хосты.

Кроме того, читал две инетерсные вещи, пишут. что на статике вместо Маскарада быстрее будет работать -j SNAT --to-source, но плохо представляю как создавать правило, ведь надо будет дополнять цепочку DNAT? Кроме того пишут о некой таблице RAW, которая сильно ускоряет обслуживание WEB-Серверов и eMule...
EugeenB
04-09-2008, 10:27
P.S. Задача именно не разрушать родной веб-интерфейс, чтобы при желании легко было пробросить новые порты, заблокировать ненужные хосты.Начав настраивать второй WAN, Вы УЖЕ разрушили связь между ВЕБ и сетевой конфигурацией, так как ВЕБинтерфейс не планировался на его поддержку. ВЕБинтерфейс создан для начальной ТИПИЧНОЙ настроки роутера (в его стандартной конфигурации) неподготовленным пользователем. Он не может соответствовать изменившейся конфигурации роутера, такой, как второй WAN.



ip route add 10.10.0.0/16 via [IP vlan2 10.10.12.34] dev vlan2# подсеть на WAN2
ip route add 10.10.0.1/32 via [IP vlan2 10.10.12.34] dev vlan2 #шлюз за WAN2
ip route add 10.0.0.0/8 via 10.10.0.1 dev vlan2 #вся сеть подсети на WAN2
ip route add 10.100.0.0/16 via 192.168.0.1 dev vlan1 #то, что не должно убегать на WAN2
ip route add 10.110.0.0/16 via 192.168.0.1 dev vlan1 А покажите, пожалуйста, вывод команды route -n после этих модификаций.

А уж вот тут:


iptables -A FORWARD -i ! br0 -o vlan2 -j DROP #Запрещаем все что не из LAN. Т.е. исключаем мост WAN1-WAN2 ?
iptables -A OUTPUT -s 1.1.1.1 -o vlan2 -j ACCEPT # ЧТО ЭТО!? Содрал из iptables-save у Asus-а
iptables -A OUTPUT -s 10.10.0.1 -o vlan2 -j ACCEPT # ЧТО ЭТО!? Разрешение всем обработанным пакетам идти на шлюз в сети WAN2? Содрал там же.
iptables -A OUTPUT -o vlan2 -2 DROP # видимо обычная затычка для всего неизвестного и непонятного.
kill -HUP `pidof dnsmasq` #как я понял, перезапуск внутреннего DNS за новым маскарадом.полный бред, разрушающий работу сети. По этому у Вас ...

В общем, не работает. ... разумеется. Для осознания - читайте пожалуйста документацию по iptables.
Andyz
04-09-2008, 10:40
в route была ошибка.
Добрый линуксоид в чате вчера помог руководством в отладке...и таблица была исправлена мгновенно.
заменил.

Ну я не понимаю, это форум взаимопомощи, или клуб стеба над чайниками?

Где бред, в какой строке?
Ну неужели сложно ответить нормально, что там лишнее, чего не хватает, что исправить, что удалить?
Может Асус неправильные правила создает, их тоже надо потереть?
Вы вообще видели, какие цепочки Асус создает? Я ориентировался на них, и тут уж читай-не читай man, а результат зависит от веб-интерфейса.
Вот, например, что означает у асуса правило с 1.1.1.1 ? ГДЕ это в man-е написано?

Поясню, я исправил таблицу и роутер заработал... Ну элементарно не уловил сначала , как в линуксе 'ip route' работает.
ГДЕ БРЕД!? ЧТО НЕ ВЕРНО? ОБЪЯСНИТЕ! Как исправить, чтобы быстро маршрутизировал?

В общем, теперь это выглядит так:




ip route add 10.10.0.0/16 dev vlan2 protocol kernel scope link
ip route add 10.10.0.1 dev vlan2 scope link
ip route add 10.0.0.0/8 via 10.10.0.1
ip route add 10.100.0.0/16 via 192.168.0.1
ip route add 10.110.0.0/16 via 192.168.0.1
ip route add 10.110.0.10 via 10.23.0.1
...и др. перенаправления...




Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.110.0.10 10.10.0.1 255.255.255.255 UGH 0 0 0 vlan2
192.168.12.34 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
10.10.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan2
<lan>.240 0.0.0.0 255.255.255.240 U 0 0 0 br0
192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0 vlan1
10.100.0.0 192.168.0.1 255.255.0.0 UG 0 0 0 vlan1
10.110.0.0 192.168.0.1 255.255.0.0 UG 0 0 0 vlan1
10.0.0.0 10.10.0.1 255.0.0.0 UG 0 0 0 vlan2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 vlan1


В Windows я привык как-то задавать метрику, чтобы однозначно определять приоритет маршрутов. Но в саттьях не встретил, чтобы этим польовались. Надо это делать, или пусть ядро само решает по маске и флагам?

И правила:


iptables -t nat -A PREROUTING -d 10.10.12.34 -j VSERVER
iptables -t nat -A POSTROUTING -s ! 10.10.12.34 -o vlan2 -j SNAT --to-source 10.10.12.34 #либо -j MASQUERADE, что пости то же самое.
iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY #Повторяю, понятия не имею что это, по инструкции не въехал, стандартного таргета такого нет, где как его Асус объявляет - не ясно.
iptables -A FORWARD -i ! br0 -o vlan2 -j DROP #Все это и далее СОДРАНО С АСУСА, его собственных правил для vlan1
iptables -A OUTPUT -s 1.1.1.1 -o vlan2 -j ACCEPT
iptables -A OUTPUT -s 10.10.0.1 -o vlan2 -j ACCEPT
iptables -A OUTPUT -o vlan2 -j DROP
#Заодно заменил автоправило Асуса на SNAT, в статьях пишут, так быстрее работает. Не знаю как это сделать аккуратнее, чтобы с номером не промазать в случае чего.
iptables -t nat -R POSTROUTING 1 -s ! 192.168.12.34 -o vlan1 -j SNAT --to-source 192.168.12.34


Тепреь работает. Медленно, правда, как-то не сразу связь устанавливает иногда.
Либо где-то логическая ошибка, либо проц не тянет - не пойму. Чистая многопоточная(очень много) скачка с 2 сетей одновременно на 300МГц 6.5-7.6 Мбайт/с
EugeenB
04-09-2008, 13:18
Во-первых, таблица роутинга у Вас - правильная.

Добрый линуксоид в чате вчера помог руководством в отладке...и таблица была исправлена мгновенно.
заменил.
Ну я не понимаю, это форум взаимопомощи, или клуб стеба над чайниками?
Пусть я буду злым линуксоидом, но "это форум взаимопомощи", а не служба техподдержки пользователей ASUS в нестандартных ситуациях. Поэтому и помощь заключается в подсказке: что надо изучить, чтоб Вам можно было настроить самому, как Вам хочеться.
А настраивать ваше устройства вместо Вас, мало кто заинтересован.


Где бред, в какой строке?
Вот в этой, например
iptables -A OUTPUT -s 1.1.1.1 -o vlan2 -j ACCEPT- Вы разрешаете программам роутера (ВЕБ, ФТП, ТЕЛНЕТ, и др) отсылать пакеты по vlan2 в том случае, если WAN2 будет иметь IPадрес = 1.1.1.1. А он у Вас когда-нибудь будет иметь такой адрес?

iptables -A OUTPUT -s 10.10.0.1 -o vlan2 -j ACCEPT- Вы разрешаете программам роутера (ВЕБ, ФТП, ТЕЛНЕТ, и др) отсылать пакеты по vlan2 в том случае, если WAN2 будет иметь IPадрес = 10.10.0.1. А он у Вас когда-нибудь будет иметь такой адрес? И как тогда это согласовывается с предидущим правилом?

А правило
iptables -A FORWARD -i ! br0 -o vlan2 -j DROP- либо не полное, либо Вы написали не всё.


Ну неужели сложно ответить нормально,Конечно сложно! Видны только Ваши команды, но не видно, как они повлияли в результате на весь файвол в целом.

что там лишнее, чего не хватает, что исправить, что удалить?Я и пишу Вам: не хватает знания и Вашего понимания работы iptables. Читайте документацию.

Может Асус неправильные правила создает, их тоже надо потереть?
Вы вообще видели, какие цепочки Асус создает? Я ориентировался на них, и тут уж читай-не читай man, а результат зависит от веб-интерфейса.
Вот, например, что означает у асуса правило с 1.1.1.1 ? ГДЕ это в man-е написано?В описании критериев к правилам iptables
Andyz
04-09-2008, 18:06
Поэтому и помощь заключается в подсказке: что надо изучить, чтоб Вам можно было настроить самому
Так елы-палы, прочитал оценил то что было прописано, сделал по написанному, что выглядело логично(по кр. мере не противоречило). Спросил почему ПО НАПИСАННОМУ не работает. А в итоге получил стеб. :-(

Вы разрешаете программам роутера (ВЕБ, ФТП, ТЕЛНЕТ, и др) отсылать пакеты по vlan2 в том случае, если WAN2 будет иметь IPадрес = 1.1.1.1. А он у Вас когда-нибудь будет иметь такой адрес?
ДА-ДА -и ДА!
ТОЧНО. Я сейчас нашел. Это барахло от выполнения практических упражнений осталось, блин... Я забыл про него, каюсь, решил что это Асус побаловался.
Короче, оно бесполезное и на практике никакого эффекта не имеет.



iptables -A FORWARD -i ! br0 -o vlan2 -j DROP
- либо не полное, либо Вы написали не всё.
Вот. Увидел живой пример, автогенерящийся Асусом "-A FORWARD -i ! br0 -o vlan1 -j DROP"
Я это воспринмаю, как "дропать все пакеты идущие на WAN не из LAN". Так, или нет?
После этого АСУС объявляет только ограничение на частоту соединений: "-A FORWARD -i ! br0 -m state --state NEW -j SECURITY", я не трогал.
Вообще, не из-за этого SECURITY ли у меня тормозят соединеня (это галка DoS protection" ?)

Конечно сложно! Видны только Ваши команды, но не видно, как они повлияли в результате на весь файвол в целом.
ВОТ! Я готов рассказывать! Что выложить?

Я и пишу Вам: не хватает знания и Вашего понимания работы iptables. Читайте документацию.
Прочитал, статья и мануал открыты под рукой. Все равно не хватает. Нао пару роутеров собрать и настроить, чтобы хватало, или учителя, который будет стоять рядом и поправлять. Нет ни того ни другого.


З.Ы.
route теперь правильные?
Асус создает такую странную штуку:

"-A POSTROUTING -s [LAN]/255.255.255.240 -d [LAN]/255.255.255.240 -o br0 -j MASQUERADE"
Я не понял, это зачем? "Источник LAN обращается к LAN на интерфейсе LAN, преобразовать исходящий адрес пакета из LAN в LAN динамически" ???? У меня голова кипит. Это надо, или удалить нафиг из того тчо он насоздавал?
EugeenB
05-09-2008, 06:56
route теперь правильные?Да.

Асус создает такую странную штуку:
Я не понял, это зачем? "Источник LAN обращается к LAN на интерфейсе LAN, преобразовать исходящий адрес пакета из LAN в LAN динамически" ???? У меня голова кипит. Это надо, или удалить нафиг из того тчо он насоздавал?Это не Асус создаёт, это...
Это барахло от выполнения практических упражнений осталось, блин... Я забыл про него, каюсь, решил что это Асус побаловался.
Короче, оно бесполезное и на практике никакого эффекта не имеет.
Andyz
05-09-2008, 20:01
Да.
Это не Асус создаёт, это...

не. Точно говорю. Вот это создает Асус. (с предпоследней Олеговской)
После обнаружения того обрезка првоерил все конфиги - нигде этого нет.

Если конечно роуты правильные. Больше некому кроме асуса.

Попробуйте посмотреть на своем -save, если включить в веб-интерфейсе ip/static/no ppp, dhcp ит.п.

А вообще, что это может быть? Если в обрезках хоть какая-то логика просматривалась, даже бессмысленная, то этого правила я вообще не понимаю. Может это какая-то хитрая задумка с NATом?

Ну хотя-бы тот факт, что я через маскарад в принципе решил не делать, все через SNAT, как в FAQ пишут... жалко еще в этой сборке отсутствует RAW... а тут какой-то маскарад мудреный.
EugeenB
05-09-2008, 23:06
не. Точно говорю. Вот это создает Асус. (с предпоследней Олеговской)
После обнаружения того обрезка првоерил все конфиги - нигде этого нет.
Если конечно роуты правильные. Больше некому кроме асуса.
Попробуйте посмотреть на своем -save, если включить в веб-интерфейсе ip/static/no ppp, dhcp ит.п.Проверил на своём - такого правила нет.
Попробуйте перезагрузит роутер, сбросить в факориДефаулт и настроить только через ВЕБинтерфейс. В этом случае правило появилось?
Andyz
05-09-2008, 23:16
Проверил на своём - такого правила нет.
Попробуйте перезагрузит роутер, сбросить в факориДефаулт и настроить только через ВЕБинтерфейс. В этом случае правило появилось?

ОК. завтра проверю, для чистоты эксперимента... сегодня уже не охота с бэкапами и записками, где чего кликать, возиться. Это очень странно, чесслово.

А вообще, ip route (его то я руками добивал) на такой фокус способен при некорректном задании правил? до меня потихоньку доперло, что dev + src, это же тоже nat...или нет? (src я не использовал, но мало ли еще есть свойства)
Andyz
07-09-2008, 14:56
В общем, я не нашел времени все по нулям перешивать, но отрубил post-boot и post-firewall, само собой и второй WAN.
Все равно создается эта штука.
Буквально выглядит:

*nat
:VSERVER - [0:0]
-A PREROUTING -d 192.168.12.34 -j VSERVER
-A PREROUTING -i br0 -p tcp -m tcp --dport [ICQ_server_port] -j autofw --related-proto tcp --related-dport [ICQ_direct_ports] --related-to [ICQ_direct_ports]
-A POSTROUTING -s ! 192.168.12.34 -o vlan1 -j MASQUERADE
-A POSTROUTING -s [LAN]/255.255.255.240 -d [LAN]/255.255.255.240 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport [FTP_data] -j DNAT --to-destination....
...

Не понимаю, что это может быть и какой смысл несет.
AndreyPopov
07-09-2008, 15:11
В общем, я не нашел времени все по нулям перешивать, но отрубил post-boot и post-firewall, само собой и второй WAN.
Все равно создается эта штука.
Буквально выглядит:


Но понимаю, что это может быть и какой смысл несет.

создание виртуального сервера переадресовка портов. это у вас в разделе NAT висит или если вы оставили включенной функцию UPnP то одно из приложений могло себе настроить порты.
Andyz
07-09-2008, 23:14
создание виртуального сервера переадресовка портов. это у вас в разделе NAT висит или если вы оставили включенной функцию UPnP то одно из приложений могло себе настроить порты.

UPnP отключен. не существует в принципе, везде заткнут, сервисы Windows остановлены, фича обнаружения деинсталирована. Как сказал, для эксперимента отключил WAN2(переназначение vlan2), вместе с путями и правилами.

Проброс сделан руками с WAN(WAN1) на фиксированный IP в LAN через веб-интерфейс. Существует одно правило Port-trigger для ICQ (выше процитировал).
AndreyPopov
07-09-2008, 23:37
UPnP отключен. не существует в принципе, везде заткнут, сервисы Windows остановлены, фича обнаружения деинсталирована. Как сказал, для эксперимента отключил WAN2(переназначение vlan2), вместе с путями и правилами.

Проброс сделан руками с WAN(WAN1) на фиксированный IP в LAN через веб-интерфейс. Существует одно правило Port-trigger для ICQ (выше процитировал).

а если удалить это правило? может в Web интерфейсе это одна строчка, а для прописывания этой строчки и строится целая конструкция с виртуальным сервером.

FTP у вас кстати включен?
Andyz
08-09-2008, 01:52
Отрубил, сначала строчку, потом галку фичи. Не изменилось.
FTP выключен, он практически неуправляемый, потому такой мне не нужен, от калечной Самбы проку больше.
aik
05-10-2008, 09:08
Роюсь по форуму. Для создания нового порта WAN предлагается делать либо так:

nvram set vlan0ports="2 3 5*"
nvram set vlan2ports="4 5"
nvram set vlan2hwname=et0
nvram commit
либо так:


robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
vconfig add eth0 2
ifconfig vlan2 172.30.1.2 broadcast 172.30.1.255 netmask 255.255.255.0 up

Отсюда вопросы.
1. Какая сущность именно из переменных nvram запускает robocfg?
2. В примерах vlan2hwname именуется как "et0". Не "vlan2", к примеру. Это "et0" будет потом видно в ifconfig?
3. Как в первом способе задается IP адрес?
Спасибо!
AndreyPopov
05-10-2008, 12:58
Роюсь по форуму. Для создания нового порта WAN предлагается делать либо так:

nvram set vlan0ports="2 3 5*"
nvram set vlan2ports="4 5"
nvram set vlan2hwname=et0
nvram commit
либо так:


robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
vconfig add eth0 2
ifconfig vlan2 172.30.1.2 broadcast 172.30.1.255 netmask 255.255.255.0 up

Отсюда вопросы.
1. Какая сущность именно из переменных nvram запускает robocfg?
2. В примерах vlan2hwname именуется как "et0". Не "vlan2", к примеру. Это "et0" будет потом видно в ifconfig?
3. Как в первом способе задается IP адрес?
Спасибо!

инструкция по настройке с нуля - пункт 13)
aik
05-10-2008, 13:20
инструкция по настройке с нуля - пункт 13)

Извиняюсь, конечно, но сам то читал этот 13-й пункт? ;)
Второй способ и есть cut-n-paste оттуда, только никто им почему то не пользуется, а пользуются выставлением переменных.
AndreyPopov
05-10-2008, 13:47
Извиняюсь, конечно, но сам то читал этот 13-й пункт? ;)
Второй способ и есть cut-n-paste оттуда, только никто им почему то не пользуется, а пользуются выставлением переменных.

кто вам сказал, что им никто не пользуется?


вы же делайте различие, кто какой прошивкой пользуется!
если вы пользуетесь прошивкой Олега, то и пользоваться лучше его рекомендациями.
только помните, что данные команды по настройке лучше вставлять в файл post-firewall.
aik
05-10-2008, 13:51
кто вам сказал, что им никто не пользуется?


Вышло непонимание. Мне НЕ нужен конкретный рецепт как добавить очередной WAN, я и сам нашел (что следует из начального поста). Я хочу разобраться в системе вообще, и думаю, что ответы на мои конкретные 3 вопроса мне бы очень помогли. Собственно, этих ответов я и жду из форума, а не отсылку в faq от тех, кто НЕ читает оригинальных постов и НЕ видит, что faq я УЖЕ осилил. Как то так.
Более того, в FAQ #13 Олег приводит примером список команд, но в других постах - через NVRAM. Но нигде не задается в чем разница и как оно работает вообще.

Кстати, у себя не могу способ с nvram заставить работать никак. Фирмварь WL500gp-1.9.2.7-10.trx.
Делал так:


nvram set vlan0ports="2 3 4 5t"
nvram set vlan1ports="0 5t"
nvram set vlan1hwname=et0
nvram set vlan2ports="1 5t"
nvram set vlan2hwname=et0
nvram commit


После перезагрузки переменные есть, а vlan2 - нету. Как это все таки работает то...
Power
06-10-2008, 00:35
Насколько я понял, разница в том, что nvram set ... работает вплоть до сброса настроек (т.е. почти вечно), а robocfg + vconfig - только до перезагрузки. ifconfig (назначение адреса и поднятие интерфейса) нужен в обоих случаях, т.к. тоже работает до перезагрузки.
При использовании nvram set ... конфигурация проходит при загрузке автоматически, и появляется интерфейс vlanN (где N = 0, 1, 2, ...).
Тот et0, который указывается в vlanNhwname - это имя устройства (свича), для которого конфигурируется vlan. Это константа, т.к. свич один.

Да, и нужно указывать
nvram set vlan0ports="2 3 4 5*"
nvram set vlan1ports="0 5"
nvram set vlan2ports="1 5"
(т.е. звёздочка только для vlan0, для остальных - без неё, и уж точно никаких t).
Satoorn
30-10-2008, 18:12
У меня такая же система, только IP из локалки прова выдаётся динамически. Локалку хочу повесить на vlan2, на wan висит модем ADSL другого прова.
Как настроить чтобы на vlan2 выдавался динамический IP.
Power
30-10-2008, 18:19
Как настроить чтобы на vlan2 выдавался динамический IP.
Поиск по форуму по слову "udhcpc".
ace
03-11-2008, 18:22
Есть ли поддержка VLAN в коммутаторе WL-500gP V2? В руках сей девайс не держал. Смущает, что там SoC.

Или посоветуйте, пожалуйста, другую модель, имеющуюся в продаже, способную решить следующую несложную задачу:

- 2 WAN порта: первый - интернет (PPPoE), второй городская локалка (адрес по DHCP + маршруты оттуда же);
- раздать все это в Wi-Fi.

Других задач типа принтеров, USB HDD, BitTorrent и т.д. не нужно. Знакомым просто коробочку на стену повесить и настроить один раз. :-)
DfDf
03-11-2008, 23:27
В прошивке Олега точно есть. Поиск по сайту - vlan, multiwan
tyrty_a
20-11-2008, 18:07
У меня несколько другая проблема.

Поднимаю vlan2 на роутере WL500gPv2:

robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
vconfig add eth0 2
ifconfig vlan2 up
udhcpc -i vlan2 -p /var/run/udhcpc2.pid -s /tmp/udhcpc -b
route add -net 10.48.0.0/12 dev vlan2
route add -net 78.29.0.0/24 dev vlan2
iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY
iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY
iptables -t nat -A POSTROUTING -o vlan2 ! -s `ifconfig vlan2 | grep 'inet addr' | tr ':' ' ' | awk '{print $3}'` -j MASQUERADE

После этого не могу поднять PPPoE сессию на WAN.

vlan2 получает IP 10.50.*.* от одного провайдера
PPPoE должен получить 10.81.6.158 от другого провайдера.

Когда vlan2 не поднят, PPPoE поднимается без проблем.

В чем может быть дело?

P.S. Как можно убить vlan2 без перезагрузки роутера?
rbn_termit
09-12-2008, 12:25
Имеется: два прова, соединяющиеся с инетом посредством L2TP и PPPoE и 500gP v2.
Первый настроен через веб интерфейс. Со вторым имеются вопросы.
Сейчас все так:
[admin@WL-500G root]$ robocfg show
Switch: enabled
Port 0: DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 1: 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 2: 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 3: 100FD enabled stp: none vlan: 2 mac: 00:00:00:00:00:00
Port 4: 100FD enabled stp: none vlan: 1 mac: 00:00:00:00:00:00
Port 5: 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
VLANs: BCM5325/535x enabled mac_check mac_hash
0: vlan0: 0 1 2 5t
1: vlan1: 4 5t
2: vlan2: 3 5t
Port4 это LAN1, в который воткнут второй пров.
Усе правильно?
В каком файле и что надо прописать, чтобы поднимался этот влан после загрузки? Где вообще прописывать опции для поднятия PPPoE коннекта?
И самое желаемое, чтобы при дауне первого прова, нажимать кнопочку ezsetup, и весь трафик шел через второго. Такое реально?
gaaronk
11-12-2008, 06:16
nvram set vlan0ports="0 1 2 5*"
nvram set vlan2ports="3 5"
nvram set vlan2hwname=et0
nvram commit

и после ребута будет vlan2

опции для pppoe где тебе удобнее, либо в своейм файлике, либо в nvram.
пр кнопку ezsetup - реально.
rbn_termit
11-12-2008, 06:26
В /usr/local/sbin/post-boot дописал:
ifconfig vlan2 up
nvram set wan2_ifname=vlan2
nvram set wan2_protocol=pppoe
nvram set wan2_pppoe_username=xz
nvram set wan2_pppoe_password=xzxzxz
nvram set wan2_pppoe_type=dhcp

Так? У провайдера не получается внутренний IP от свитча на чердаке, т.е. при подключении кабеля в винде IP вида 169.*.*.* (т.е. не получается). А после соединения по PPPoE получается нормальный внешний ИП. Правильные настройки? А можно ли посмотреть логи подключения? А то похоже не соединяется - ifconfig выдает
vlan2 Link encap:Ethernet HWaddr 00:1F:C6:61:88:65
inet6 addr: fe80::21f:c6ff:fe61:8865/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:82 (82.0 B)

И как сделать переключение кнопкой EzSetup? Или хотя бы команду, чтобы весь трафик перенаправлялся на второго прова.
gaaronk
11-12-2008, 11:26
nvram set wan2_ifname=vlan2
nvram set wan2_protocol=pppoe
nvram set wan2_pppoe_username=xz
nvram set wan2_pppoe_password=xzxzxz
nvram set wan2_pppoe_type=dhcp

это ничего не даст. в стандартной прошивке нет механизмов для поднятия второго WAN, нужно делать самому, писать свои скрипты и тд.

С командой перенаправления трафика не все так просто. Надо не только поменять рутинг, но и поднять NAT, поправить файрволл и тд и тп
Nikolai_s
14-12-2008, 09:00
Поиск по форуму ничего толкового не дал. Может не так искал...

Если что ткните носом - дальше сам постараюсь додумать.

А сама задача в следующем:

Предыстория: Был один провайдер - GoldenTelecom. У него есть доступ в интернет по VPN (динамический IP) и локалка (статический IP - 10.16.х.х). Были прописаны нужные маршруты - все работало (локалка и инет), соединение подымал роутер и раздавал все во внутрь (192.168..х.х). Спасибо Олегу :) !. Трафик раздавался по витой паре - стационарный комп и WI-FI - ноут и КПК.

Задача: Сейчас появилось желание подключить еще одного Интернет провайдера ADSL (тарифы в четыре раза дешевле), но локалку от голдена терять не охота. Самый недорогой тариф с локалкой от голдена включает в себя 100 мб. и-нет трафика, без ограничения по скорости. И из принципа терять эти 100 метров неохота.

Вопрос: Возможно ли сделать доступ в интернет с двух сетевых интерфейсов (WAN) - VPN у Голдена и ADSL (через сетевой модем), не теряя при этом локалку Голдена. и соответственно раздача их на домашнюю сеть (192.168.х.х).

Какая нужна доп информация для решения?

Заранее большой человеческий Спасиб!

PS: С NIX-ами до этого не встречался, но не пугаюсь!
mumytroll
17-12-2008, 21:46
Давным давно проложили мы с комрадом сеть между квартирами и играемся периодически в игры. Потом в наш район пришла корбина и мы к ней подключились, оба . Но старую витую пару оставили( на рисунке красным). Проблема в том что пока связь между нашими подсетями есть второй роутер отваливается от инета, как только вытаскиваешь кабель из хаба, второй роутер вцепляется в инет и работает.
Прошивки официальные 2.0.1.5, пробовали ставить прошивки от Олега, та же история. Подскажите в чем может быть трабла.

Схема сети :)

http://s45.radikal.ru/i110/0812/08/f46d1e2901b2t.jpg (http://radikal.ru/F/s45.radikal.ru/i110/0812/08/f46d1e2901b2.jpg.html)

На роутерах DHCP выключен.
Power
17-12-2008, 22:37
Если у вас там правда хабы - смените на свичи или просто воткните провода прямо в роутеры, портов-то хватает.
И, как мне кажется, лучше сменить адресацию на роутерах, чтобы они "знали", что находятся в одной подсети (т.е. lan mask поставить 255.255.255.0).
DfDf
17-12-2008, 23:19
Сегментируйте сеть нормально, т.е. 1 квартира+1 асус - одна сеть, 2-я квартира+2 асус - 2-я есть, связка асус-асус - 3я сеть, при этом порты связки суньте в отдельный vlan. пропишите на этом vlan'е ip-шки и настройте роутинг. вкраце так ;-)

Это, типа по науке.

В принципе, на первый взгляд, совет Power тоже должен сработать. Интересная картинка, кстати ;-) Единственно, при таком раскладе только на честность, что каждый ходит в инет через свой роутер ;-))) или резать трафик по mac+ip но не спасает до конца ;-)

еще, правда есть вопрос, насколько br0 разведен с vlan1 и ... иначе может получится что у вас MANы путаются, т.к. начинают видеть друг друга и через внешку и через вашу связку, в рез-те чего второй роутер как раз и не может поднять l2tp/pptp.
mumytroll
18-12-2008, 08:43
Изначально хабов не было. Роутеры были связаны напрямую, глюк был. Хабы добавили на всякий случай, мало ли нет гальванической развязки.
Далее изначально маска на роутерах была 255.255.255.0, проблемы были те же. Это у меня была идея поставить такую маску, что бы роутеры друг друга не видели.



В принципе, на первый взгляд, совет Power тоже должен сработать. Интересная картинка, кстати ;-) Единственно, при таком раскладе только на честность, что каждый ходит в инет через свой роутер ;-))) или резать трафик по mac+ip но не спасает до конца ;-)

Мы с комрадом дружим уже лет так 25 :)



еще, правда есть вопрос, насколько br0 разведен с vlan1 и ... иначе может получится что у вас MANы путаются, т.к. начинают видеть друг друга и через внешку и через вашу связку, в рез-те чего второй роутер как раз и не может поднять l2tp/pptp.
А можно вот это поподробнее расписать, или как это правильно на роутерах настроить.
Less
18-12-2008, 09:56
А что если роутерам вообще назначить разные подсети:
Р1 - 192.168.10.0
Р2 - 192.168.20.0

А компам третью дать для игр (добавить второй IP адрес в настройках компов):
ПК1 - 192.168.25.2/29
ПК2 - 192.168.25.3/29
...

Как результат настройки роутеров остаются уникальны для каждого у каждой квартиры свой gw через которий компы и ходят в сеть.

Или же вариант нарезки vlan'ов но как по мне это сложнее на порядок!
mumytroll
18-12-2008, 10:04
А что если роутерам вообще назначить разные подсети:
Р1 - 192.168.10.0
Р2 - 192.168.20.0

Роутеры сейчас и так в разных подсетях. У них маска 255.255.255.240



А компам третью дать для игр (добавить второй IP адрес в настройках компов):
ПК1 - 192.168.25.2/29
ПК2 - 192.168.25.3/29
...
Как результат настройки роутеров остаются уникальны для каждого у каждой квартиры свой gw через которий компы и ходят в сеть.


Попробую конечно, но чую ничего не даст, пробовали вырубать вообще компы, потом смотрели логи роутера. Отваливается.
DafT
18-12-2008, 13:24
попробуйте командой tcpdump послушать что творят между собой ваши 2 роутера, мб вылезет подсказка какая.
Power
18-12-2008, 14:53
А какая адресация в самой корбине (ip, dns, шлюзы)? Может, с этим что-то конфликтует?

Да и вообще, не мешало бы вышеупомянутые логи выложить. И таблицы маршрутизации с роутеров.
AndreyPopov
18-12-2008, 16:06
Роутеры сейчас и так в разных подсетях. У них маска 255.255.255.240


это вряд ли можно назвать разными подсетями! тем более у вас на компах прописана маска 255.255.255.0 !!

а коммутация внутри ваших роутеров на LAN портах происходит именно по MAC адресам.

так что действительно лучше на компах картам прописать по два IP адреса из разный сетей.

и еще проверьте, чтобы у вас ВЕЗДЕ был выключен STP протокол (Spanning Tree Protocol).
mumytroll
18-12-2008, 21:34
Таблицы маршрутизации с роутеров
Роутер 1
Destination Gateway Genmask Flags Metric Ref Use Iface
83.102.254.235 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.234 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.250 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
85.21.192.3 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.200 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.239 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.238 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.254 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.204 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
213.234.192.8 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.192 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.193 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.240 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.231 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.247 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.245 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
83.102.254.244 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN
192.168.0.0 * 255.255.255.240 U 0 0 0 LAN
83.102.255.0 10.120.128.1 255.255.255.0 UG 1 0 0 WAN
10.120.128.0 * 255.255.192.0 U 0 0 0 WAN
10.0.0.0 10.120.128.1 255.0.0.0 UG 0 0 0 WAN
10.0.0.0 10.120.128.1 255.0.0.0 UG 1 0 0 WAN
default 83.102.254.240 0.0.0.0 UG 0 0 0 WAN
default 10.120.128.1 0.0.0.0 UG 1 0 0 WAN

Роутер 2
Destination Gateway Genmask Flags Metric Ref Use Iface
83.102.254.235 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
83.102.254.234 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
85.21.192.3 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
83.102.254.239 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
83.102.254.238 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
83.102.254.254 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
83.102.254.204 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
83.102.254.205 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
213.234.192.8 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
83.102.254.193 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
83.102.254.240 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
83.102.254.231 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
83.102.254.245 10.120.128.1 255.255.255.255 UGH 1 0 0 WAN vlan1
192.168.0.0 * 255.255.255.0 U 0 0 0 LAN br0
10.120.128.0 * 255.255.192.0 U 0 0 0 WAN vlan1
10.0.0.0 10.120.128.1 255.0.0.0 UG 0 0 0 WAN vlan1
default 83.102.254.240 0.0.0.0 UG 0 0 0 WAN ppp0
default 10.120.128.1 0.0.0.0 UG 1 0 0 WAN vlan1



и еще проверьте, чтобы у вас ВЕЗДЕ был выключен STP протокол (Spanning Tree Protocol).
А как это проверить?


попробуйте командой tcpdump послушать что творят между собой ваши 2 роутера, мб вылезет подсказка какая.
Пока с этим не получилось, я так понимаю ее надо залить на роутер. На выходных попробую
AndreyPopov
18-12-2008, 22:03
1. инструкция по настройке с нуля пункт 5) про STP

2. и видите как криво у вас прописана маршрутизация:
192.168.0.0 * 255.255.255.240 U 0 0 0 LAN
и
192.168.0.0 * 255.255.255.0 U 0 0 0 LAN br0

получается, что на первом роутере разрешены адреса:
от 192.168.0.1 до 192.168.0.14
а на втором:
от 192.168.0.1 до 192.168.0.254


самый лучший вариант для вас, это действительно как предложено:
роутер 1: 192.168.1.1/255.255.255.255.0 и компьютеры в ней с адресами
192.168.1.х/255.255.255.255.0 и Default gateway 192.168.1.1
роутер 2: 192.168.2.1/255.255.255.255.0 и компьютеры в ней с адресами
192.168.2.х/255.255.255.255.0 и Default gateway 192.168.2.1

и для объединения в общую сеть:
компьютеры адресами 192.168.3.х/255.255.255.255.0 и БЕЗ Default gateway
DfDf
18-12-2008, 22:55
Мы с комрадом дружим уже лет так 25 :)


а чего тогда морочиться? оставьте один роутер на корбину, возьмите за ваши деньги (2 подключения) тариф потолще, второй роутер используйте как точку доступа+свич.

Самое простое решение для тех, кто не силен в маршрутизации/линуксе и vlan'ах:) на случай умирания будет второй роутер запасным, а вместо него и хаб сгодится на время ;-)

единственный минус такого решения - это если вы постоянно грузите роутер под завязку торрентами... тогда нагрузка на один будет конечно напряжна...
lll123lll
19-12-2008, 04:02
поставить прошивки от Олега
для корбины она лучше т.к. быстрей PPTP и udpxy встроен для того чтоб TV нормально смотреть через WiFi
роутер 1: 192.168.1.1/255.255.255.255.0 и компьютеры в ней с адресами
192.168.1.х/255.255.255.255.0 и Default gateway 192.168.1.1
роутер 2: 192.168.2.1/255.255.255.255.0 и компьютеры в ней с адресами
192.168.2.х/255.255.255.255.0 и Default gateway 192.168.2.1
DHCP можно включить, но раздавать адреса начиная с 192.168.x.3 оставив для роутеров 192.168.x.2

для развязки двух сетей настроить 1-й порт роутера как второй wan
порт на 500gP 192.168.x.2 (далее x заменять на 2 для 1-го и 1 для второго не перепутайте)
для этого выполнив команды по формированию post-boot (!!!прошивка Олега!!!)
подключившись через telnet

создаем папку и файлы скриптов в ней

mkdir -p /usr/local/sbin
echo "#!/bin/sh" > /usr/local/sbin/post-boot
echo "#!/bin/sh" > /usr/local/sbin/post-firewall
chmod +x /usr/local/sbin/post*
открываем файл в редакторе vi

vi /usr/local/sbin/post-boot
нажимаем i - команда на ввод текста
переводим на новую строку и копируем туда
настраиваем порт LAN1 на 1-м роутере как vlan2 с адресом 192.168.2.2


robocfg vlan 0 ports "2 3 4 5t" vlan 2 ports "1 5t"
vconfig add eth0 2
ifconfig vlan2 192.168.2.2 netmask 255.255.255.0 up

нажимаем Esc для выхода из режима ввода текста
вводим :wq Enter чтобы сохранить и выйти

настраиваем маскардинг маршрутизацию и фильтрацию

vi /usr/local/sbin/post-firewall
нажимаем i - команда на ввод текста
переводим на новую строку и копируем туда(можно без комментариев #)


#разрешаем вирт сервера через vlan2
iptables -t nat -A PREROUTING -d 192.168.2.2 -j VSERVER
#маскируем доступ через через vlan2
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 192.168.1.0/24 --to-source 192.168.2.2
#отрезаем vlan2 от wan оставляя доступ только из локалки
iptables -t filter -A FORWARD -i ! br0 -o vlan2 -j DROP
#выставляем маршрут vlan2 поверх vlan1 на случай потери ppp0
#т.е. если вы отключите у себя инет он будет работать как резервный
#давая доступ подсети к инету через второй роутер
route del default dev vlan2
route add default gw 192.168.2.1 dev vlan2 metric 1

нажимаем Esc для выхода из режима ввода текста
вводим :wq Enter чтобы сохранить и выйти

сохранить изменения

flashfs save
flashfs commit
flashfs enable
перезагружаемся

reboot

подключаем LAN1 настроенного таким образом роутера в сеть второго (на втором настраиваем только адрес роутера 192.168.2.1 и подсети 192.168.2.x)
и видим его как второго провайдера
т.е. мы видим его сеть , а он видит только те порты\компы , которые мы опубликуем через NAT Setting - Virtual Server
правда эти компы будут опубликованы и для инета
если захочется публиковать только для vlan2 то надо добавить в post-firewall команды

iptables -i vlan2 -I INPUT -p tcp --dport 41 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 192.168.2.2/255.255.255.255 --dport 41 -j DNAT --to 192.168.1.55:31
где 192.168.1.55 адрес компа внутренней сети 41 номер внешнего порта 31 номер внутреннего порта

не забывайте сохранить изменения и перезагрузить

flashfs save && flashfs commit && flashfs enable && reboot

это вариант жесткой развязки
недостаток в том , что скорость маршрутизации будет небольшая около 3Мбайт/c

сбросить настройки можно просто стерев содержимое файлов выполнив например из System Setup - System Command

echo "#!/bin/sh" > /usr/local/sbin/post-boot
echo "#!/bin/sh" > /usr/local/sbin/post-firewall
mumytroll
19-12-2008, 08:28
Спасибо огромное за помощь, на выходных будем настраивать :)
TDA
05-02-2009, 05:39
Два провайдера, комп с двумя сетевыми под Вин ХП где оба провайдера были успешно настроены.

Задача настроить так же на роутере.

"Отделил" один из портов, настроил на нём свой мак и получение данных по DHCP, переписал роуты с компа.
А что дальше настраивать?
Supermax
09-03-2009, 15:07
Уважаемые ГУРУ и все остальные читатели форума!!! Расскажу Вам одну мистическую историю (не обессудьте за вводную часть).
И так, два года назад решил приобрести роутер полазил по форумам и купил WL-500g Premium (сразу прошился на Олеговскую прошивку, все настройки на картинке внизу). Проработал он у меня безпроблемно больше года, пока летом не прошла сильная гроза и не вырубила интернет (провайдер "Инфолайн") на 10 дней. С этого все и началось, звоню в техподдержку провайдера и ругаюсь, когда включите интернет, они отвечают, что у Вас все работает, я перегружаю роутер ничего не происходит коннекта нет, пытаюсь вручную подключиться из Веб-интерфейса, тот же самый результат. Я выдергиваю шнур и подключаюсь напрямую к ноуту, подключение сразу произошло!!! Вставляю снова в роутер опять не коннекта, изменяю в IP Config настройки
Get IP automatically? вместо Yes ставлю No
IP Address: пишу адрес в ручную 0.0.0.0
Subnet Mask: 0.0.0.0
Default Gateway:
перегружаю
Ура коннект появился!!!
Но теперь когда происходит потеря интернета (выключают свет дома, сбой у провайдера) приходилось проделавать все эти "танцы с бубном", до тех пор пока через полгода, опять была сильная гроза и снова вырубило интернет на несколько дней.
Опять звонок в техподдержку, когда сделаете линию?, ответ все работает!!! Я подключаю провод к ноуту 1 минута и соединение с интернет произошло!!! Я подключаю провод обратно к роутеру, но соединения как не было, так нету!!! Я проделал все "танцы с бубном" перезагружался, вытаскивал провод отключал питание, сбивал настройки и ставил их обратно, но все без результата!!! Я решил перепрошиться обратно на заводскую прошивку, пытался настроить инет с нею снова результат "ноль". Перепрошился на последнию Олеговскую прошивку, опять ничего не вышло!!! Не вдаваясь особенно в матчасть этого роутера, я подумал, что порт после грозы сгорел и решил приобрести WL-500W .
Купил сразу прошился на Олеговскую прошивку, подключился СРАЗУ ВСЕ ЗАРАБОТАЛО!!! Это подвердило мое мнение, что порт сгорел (но если бы я знал как я ошибался и что будет дальше)!!! Ну что, не устали тогда продолжаю опус обещаю МИСТИКУ.....

Не знаю, что стало происходить у провайдера, но как только отключают свет в доме, поломки на линии и т. д. роутер автоматически не хочет подключаться, опять "танцы с бубном". И вот две недели назад снова поломка на линии, приходят мастера делают линию, я подключаю роутер коннекта нет, подключаю ноут сразу есть контакт. Я узнаю у мастеров что случилось, они говорят, что мой порт сгорел (мой провод подключен к обыкновенному 16-ти портовому свичу, который находится в подъезде)и сейчас все в порядке. Но роутер как я не пытался так и не смог подключить к инету. Все думаю и этот роутер сгорел, вернее WAN порт. И тут я начинаю усиленно изучать матчасть штудирую этот сайт и нахожу выход. Руководствуясь Олеговским постом:

Пример 3: Если Вы хотите использовать роутер для подключения ко второму провайдеру, а ТВ приставки у Вас нет, то используйте такой конфиг:

Код:
nvram set boardflags=0x110
nvram set vlan0ports="1 2 3 5*"
nvram set vlan1ports="0 5"
nvram set vlan0hwname=et0
nvram set vlan1hwname=et0
nvram set wan_ifnames=vlan1
nvram set wan_ifname=vlan1
nvram set lan_ifnames="vlan0 eth2"
nvram commit
reboot

В результате основной провайдер - LAN1 (vlan1), второй WAN (eth1), компьютеры подключаете к LAN2-4.

Переназначаю порты и вот чудо, роутер, сразу подключается к инету!!!
Прошла неделя, опять сбой линии у провайдера, роутер не подключается, я иду в подъезд к свичу (мастера Инфолайна мне сделали дубликат ключа) перегружаю его, возвращаюсь домой - роутер не коннектится, подключаю провод к ноуту - есть контакт!!!
И тут я задумался, в чем дело?! Я сбрасываю настройки портов (спасибо Олегу)

Как вернуть настройки назад: либо сбросить в дефолт, либо выполнить

Код:
nvram set boardflags=0x10
nvram set wan_ifnames=eth1
nvram set wan_ifname=eth1
nvram set lan_ifnames="eth0 eth2"
nvram commit
reboot

Подключаю провод в WAN коннекта нет, перегружаю - нет. Снова переназначаю порты WAN на LAN1 коннекта нет!!!

Снова сбрасываю порты в дефолт и теперь назначаю WAN уже LAN2 порт и вот чудо ЕСТЬ ИНТЕРНЕТ!!!

Проверяю портLAN1 по локальной сети - отлично работает!!! Пробую снова прошить в WAN коннекта - нет!!!

Вот и думай теперь мистика или нет?! У кого какие соображение по этому поводу будут?!
Прикладываю свои настройки и лог файлы (на первом логе видна потеря инета и попытки
ручного подключения, на втором переназначение портов и успешное подключение к инету)
Power
09-03-2009, 18:52
Первое, что вам надо сделать, так это выставить Idle Disconnect Time in seconds(option) в 0.
Второе (не обязательно, но может понадобиться) - прописать MAC-адрес с компа в поле MAC Address в секции Special Requirement from ISP.
lagshmi
09-03-2009, 19:32
Прикладываю свои настройки и лог файлы (на первом логе видна потеря инета и попытки ручного подключения, на втором переназначение портов и успешное подключение к инету)

Не мистика. L1 - L2(ethernet, ppp) - L3 (ip)- L4(udp/tcp...)
так вот pppoe не нужно знать адрес ип он наботает на уровень ниже.
http://www.akadia.com/img/pppoe_architecture.gif
Supermax
10-03-2009, 09:16
Первое, что вам надо сделать, так это выставить Idle Disconnect Time in seconds(option) в 0.
Второе (не обязательно, но может понадобиться) - прописать MAC-адрес с компа в поле MAC Address в секции Special Requirement from ISP.

Я пробывал выставлять Disconnect Time in seconds в 0, но раньше стояло по умолчанию 1800 и работало почти 1 год без проблем.
Также раньше был прописан MAC-адрес ноута с которого я изначально подключался, но потом провайдер отменил привязку по MAC -адресам и я же не стал прописывать его в роутер. Опять же, и без прописанного MAC -адреса роут работал достаточно долгое время без сбоев.
Service2
28-03-2009, 18:09
Добрый вечер. Прошу помощи с настройкой 2х провайдеров, есть несколько вопросов.
Сейчас подключен к провайдеру Triolan.
Локалка выдает все автоматом.
WAN Interface
WAN Type: . . . . . . . . . . :Automatic IP
IP Address: . . . . . . . . . . :10.28.10.116
Subnet Mask: . . . . . . . . . :255.255.248.0
Gateway: . . . . . . . . . . . . :10.28.15.254
DNS Servers:. . . . . . . . . . :80.73.1.1 80.73.8.1
1. Я так понял что это PPPoE? , поправьте если ошибаюсь.
LAN Interface
IP Address: . . . . . . . . . . . :192.168.1.1
Subnet Mask:. . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . :192.168.1.1
....
DHCP Server раздает в LAN Interface адреса 192.168.1.2 - 192.168.1.254.
Use DHCP routes? . . . . . . . . . . . . :Yes - поставил навсякий случай, маршрутов прописывать никаких ненужно видимо провайдер на свитче все прописывает.
Идентификация по MAC и IP.


Есть одна проблема, я подключен на пакет 1/1 Мбит\с анлим, причем и инет и локалка делят это 1мбит между собой, мало того что я немогу нормально в DC++ качать - скрость 128кб\с, так и инет тормозит жутко (DC++ все тянет на себя).
Остался у меня кабель от предыдущего провайдера (Sloboda), инет там 64кбит\с, им я пользоваться не собираюсь, но локалка работает на 100Мбит\с, в DC++ можно на нормальной скорости качать. Хочу подключить только локалку на 2й WAN. Приведу настройки 2го провайдера Sloboda:
WAN Connection Type:. . . . . : PPTP
IP Address:. . . . . . . . . . . . . :10.5.16.119
Subnet Mask: . . . . . . . . . . . :255.255.248.0
Default Gateway:. . . . . . . . . :10.5.23.254
DNS Server1:. . . . . . . . . . . :80.73.0.1
DNS Server2:. . . . . . . . . . . . :80.73.1.1

Маршруты котрые нужно было прописывать:
route -p add 80.73.0.0 mask 255.255.240.0 ваш_шлюз
route -p add 10.0.0.0 mask 255.0.0.0 ваш_шлюз
route -p add 194.143.148.0 mask 255.255.254.0 ваш_шлюз
route -p add 91.193.172.0 mask 255.255.252.0 ваш_шлюз
route -p add 93.95.184.0 mask 255.255.248.0 ваш_шлюз
route -p add 193.138.144.0 mask 255.255.252.0 ваш_шлюз
route -p add 239.0.0.0 mask 255.0.0.0 ваш_IP_адрес

2. Нужны ли они для работы локалки, внутрисетевые ресурсы провайдера который довльно крупный + внутригородские сети?

3. Я так понимаю кабель с инетом(Triolan) желательно оставить в WAN, а локалку(Sloboda) воткнуть в vlan2 ?

Пока что разобрался и сделал вот это:

nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0
nvram commit
reboot

Далее
chmod +x /usr/local/sbin/post-boot (делаем его запускаемым)
редактирую файл /usr/local/sbin/post-boot в нем пишу :

ifconfig vlan2 hw ether 00:80:48:EB:A9:FB (прописываем желаемый мак-адрес для vlan2)
ifconfig vlan2 10.5.16.119 netmask 255.255.248.0 up (пишем IP и маску второго провайдера для vlan2)
но есть такой вариант
ifconfig vlan2 10.5.16.119 broadcast ???????? netmask 255.255.248.0 up
4. вот тут уже непонятно что писать после broadcast ? и какой вариант предпочтительнее?

5. далее некоторые пишут
route add -net 172.16.0.0 netmask 255.255.0.0 gw 192.168.1.1 (прописываем первый маршрут)
route add -net 87.236.24.0 netmask 255.255.252.0 gw 192.168.1.1 (второй маршрут)
мне нужно писать какие-нибудь маршруты?

chmod +x /usr/local/sbin/post-firewall (делаем его запускаемым)
6. что писать в /usr/local/sbin/post-firewall абсолютно немогу понять?
у кого-то написано так:
iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY (что сие значит не очень понял)
iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY (это тоже непонятно)
iptables -t nat -A POSTROUTING -o vlan2 ! -s 10.5.16.119 -j MASQUERADE (здесь прописываем тот IP который стоит на втором WAN)
Если здесь довольно все сложно то можно и не разбираться , если все заработает.

7. Как пробросить порт например 16812 для 192.168.1.2
нашел такую команду у когото
iptables -I INPUT -p tcp --dport 65534 -j ACCEPT
что тут поменять под мои нужды?
Service2
30-03-2009, 22:23
Впорос №2 после broadcast написал шлюз 2го провайдера.
Вопрос №5 понял что в /usr/local/sbin/post-boot прописываем все маршруты, может еще какие-то нужны?
Впорос №7 понял что через WEBморду порты пробрасываются для для обоих WAN интерфейсов, вопрос снят.
Остальные вопросы актуальны, шарящие люди хелп?

P.S. предлагаю объединить темы: собственно эту и остальные
http://wl500g.info/showthread.php?t=4567&page=2
http://wl500g.info/showthread.php?p=63922#post63922
http://wl500g.info/showthread.php?t=16731&highlight=%EB%EE%EA%E0%EB%EA%F3+%F7%E5%F0%E5%E7+%E 8%ED%F2%E5%F0%F4%E5%E9%F1
Power
02-04-2009, 22:59
Добрый вечер. Прошу помощи с настройкой 2х провайдеров, есть несколько вопросов.


1. Я так понял что это PPPoE? , поправьте если ошибаюсь.
Automatic IP - это DHCP, PPPoE тут ни при чём.


2. Нужны ли они для работы локалки, внутрисетевые ресурсы провайдера который довльно крупный + внутригородские сети?
Вопрос непонятен, переформулируйте как-то по-другому...


3. Я так понимаю кабель с инетом(Triolan) желательно оставить в WAN, а локалку(Sloboda) воткнуть в vlan2 ?
Да.


ifconfig vlan2 10.5.16.119 netmask 255.255.248.0 up (пишем IP и маску второго провайдера для vlan2)
но есть такой вариант
ifconfig vlan2 10.5.16.119 broadcast ???????? netmask 255.255.248.0 up
4. вот тут уже непонятно что писать после broadcast ? и какой вариант предпочтительнее?
В вашем случае правильно будет
ifconfig vlan2 10.5.16.119 broadcast 10.5.23.255 netmask 255.255.248.0 up


5. далее некоторые пишут
route add -net 172.16.0.0 netmask 255.255.0.0 gw 192.168.1.1 (прописываем первый маршрут)
route add -net 87.236.24.0 netmask 255.255.252.0 gw 192.168.1.1 (второй маршрут)
мне нужно писать какие-нибудь маршруты?
Конкретно эти два маршрута непонятно откуда взялись, а вам нужны те, что провайдер выдал. Собственно, на скриншоте вроде всё правильно. Правда, подсети 80.73.0.0/255.255.240.0 и 10.0.0.0/255.0.0.0 у вас есть в обоих провайдерах, это надо как-то разрулить.


6. что писать в /usr/local/sbin/post-firewall абсолютно немогу понять?
у кого-то написано так:
iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY (что сие значит не очень понял)
iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY (это тоже непонятно)
iptables -t nat -A POSTROUTING -o vlan2 ! -s 10.5.16.119 -j MASQUERADE (здесь прописываем тот IP который стоит на втором WAN)
Если здесь довольно все сложно то можно и не разбираться , если все заработает.
Первые 2 строчки - защита от DoS (это не обязательно в общем случае).
Третья - правильная.
Я бы советовал ещё добавить


iptables -A FORWARD -i ! br0 -o ! br0 -j DROP #чтобы роутером не пользовались как халявной проксей
iptables -t nat -A PREROUTING -d 10.5.16.119 -j VSERVER #чтобы проброс портов из веб-морды работал для второй сети
Service2
03-04-2009, 09:59
Огромное человеческое спасибо что ответили :)
[QUOTE=Power;139745]
В вашем случае правильно будет
ifconfig vlan2 10.5.16.119 broadcast 10.5.23.255 netmask 255.255.248.0 up
/QUOTE]
Вы написали 10.5.23.255, но ведь шлюз 10.5.23.254 или я чтото путаю.
[QUOTE=Power;139745]
Конкретно эти два маршрута непонятно откуда взялись, а вам нужны те, что провайдер выдал. Собственно, на скриншоте вроде всё правильно. Правда, подсети 80.73.0.0/255.255.240.0 и 10.0.0.0/255.0.0.0 у вас есть в обоих провайдерах, это надо как-то разрулить.
/QUOTE]
Конкретно тех два где-то на форуме скопировал, я понял что писать нужно свои. А вот насчет подсетей есть нюанс, дело в том что это по сути один и тот же провайдер, просто протянули сеть на оптоволокне назвались по новому и соотвествсенно новый сетвеой кабель мне в квартиру затянули, типа ребрендинг такой ;). Восновном сервера одни и те же у обих провайдеров поэтому подсети 80.73.0.0/255.255.240.0 и 10.0.0.0/255.0.0.0 есть в обоих провайдерах. Помогите разрулить этот момент, там наверное чтото с метрикой нужно делать?
В этом вопросе я чайник.

Пока что закоментировал некоторые строчки post-firewall, но основные оставил.
После перзагрузки роутера работает только инет, локальные ресурсы и ДС++ неработают. Похоже что проблема с подсетями 80.73.0.0/255.255.240.0 и 10.0.0.0/255.0.0.0. Может результаты выполнения каких команд нужно привести?
Power
03-04-2009, 18:20
Вы написали 10.5.23.255, но ведь шлюз 10.5.23.254 или я чтото путаю.


Вам нужно именно так, как я написал. Адреса broadcast (широковещательный) и gateway (шлюз) - это разные вещи и их лучше не путать.




Конкретно тех два где-то на форуме скопировал, я понял что писать нужно свои. А вот насчет подсетей есть нюанс, дело в том что это по сути один и тот же провайдер, просто протянули сеть на оптоволокне назвались по новому и соотвествсенно новый сетвеой кабель мне в квартиру затянули, типа ребрендинг такой ;). Восновном сервера одни и те же у обих провайдеров поэтому подсети 80.73.0.0/255.255.240.0 и 10.0.0.0/255.0.0.0 есть в обоих провайдерах. Помогите разрулить этот момент, там наверное чтото с метрикой нужно делать?
В этом вопросе я чайник.

Пока что закоментировал некоторые строчки post-firewall, но основные оставил.
После перзагрузки роутера работает только инет, локальные ресурсы и ДС++ неработают. Похоже что проблема с подсетями 80.73.0.0/255.255.240.0 и 10.0.0.0/255.0.0.0. Может результаты выполнения каких команд нужно привести?

Ну тут вам нужно определиться, через какого провайдера вы хотите в эти сети ходить. Потому что ходить через обоих - себе проблем больше. Но для начала сойдёт и так, как вы на этом скрине (http://wl500g.info/attachment.php?attachmentid=4589&stc=1&d=1238614941) прописали.
Service2
03-04-2009, 20:28
Я определися изначально, на локальные сайты (80.73.0.0/255.255.240.0 и 10.0.0.0/255.0.0.0 )хочу ходить через vlan2 2 го провайдера. Можно ли что-то сделать?


Но для начала сойдёт и так, как вы на этом скрине (http://wl500g.info/attachment.php?attachmentid=4589&stc=1&d=1238614941) прописали.
Как же оно сойдет, локальные сайты в такой конфигурации не грузятся вообще?
Power
03-04-2009, 20:46
Как же оно сойдет, локальные сайты в такой конфигурации не грузятся вообще?

А вы поправили команду "ifconfig vlan2 10.5.16.119 broadcast 10.5.23.255 netmask 255.255.248.0 up" ?
Покажите вывод команд на роутере (лучше текстом, а не скриншотами, и вставить в тег CODE)


ifconfig -a
route -n
iptables-save
Service2
03-04-2009, 21:17
[admin@router root]$ ifconfig -a
br0 Link encap:Ethernet HWaddr 00:1F:C6:62:29:DC
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ff:fe62:29dc/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:982579 errors:0 dropped:0 overruns:0 frame:0
TX packets:613093 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1208976461 (1.1 GiB) TX bytes:69902180 (66.6 MiB)

eth0 Link encap:Ethernet HWaddr 00:1F:C6:62:29:DC
inet6 addr: fe80::21f:c6ff:fe62:29dc/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3108413 errors:0 dropped:0 overruns:0 frame:0
TX packets:1592379 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1563366501 (1.4 GiB) TX bytes:1296540614 (1.2 GiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 00:1F:C6:62:29:DC
inet6 addr: fe80::21f:c6ff:fe62:29dc/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1392 errors:0 dropped:0 overruns:0 frame:130178
TX packets:10569 errors:50 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:141525 (138.2 KiB) TX bytes:5047297 (4.8 MiB)
Interrupt:12 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:49670 errors:0 dropped:0 overruns:0 frame:0
TX packets:49670 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4238963 (4.0 MiB) TX bytes:4238963 (4.0 MiB)

sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

vlan0 Link encap:Ethernet HWaddr 00:1F:C6:62:29:DC
inet6 addr: fe80::21f:c6ff:fe62:29dc/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:980222 errors:0 dropped:0 overruns:0 frame:0
TX packets:612209 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1212644715 (1.1 GiB) TX bytes:70948468 (67.6 MiB)

vlan1 Link encap:Ethernet HWaddr 00:0A:5E:60:D2:44
inet addr:10.28.10.116 Bcast:10.28.15.255 Mask:255.255.248.0
inet6 addr: fe80::20a:5eff:fe60:d244/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1420091 errors:0 dropped:0 overruns:0 frame:0
TX packets:964444 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:114161689 (108.8 MiB) TX bytes:1223929130 (1.1 GiB)

vlan2 Link encap:Ethernet HWaddr 00:80:48:EB:A9:FB
inet addr:10.5.16.119 Bcast:10.5.23.255 Mask:255.255.248.0
inet6 addr: fe80::280:48ff:feeb:a9fb/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:708094 errors:0 dropped:0 overruns:0 frame:0
TX packets:15724 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:180608267 (172.2 MiB) TX bytes:1662868 (1.5 MiB)

[admin@router root]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.28.15.254 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
194.143.148.0 10.5.23.254 255.255.254.0 UG 0 0 0 vlan2
91.193.172.0 10.5.23.254 255.255.252.0 UG 0 0 0 vlan2
193.138.144.0 10.5.23.254 255.255.252.0 UG 0 0 0 vlan2
10.5.16.0 0.0.0.0 255.255.248.0 U 0 0 0 vlan2
93.95.184.0 10.5.23.254 255.255.248.0 UG 0 0 0 vlan2
10.28.8.0 0.0.0.0 255.255.248.0 U 0 0 0 vlan1
80.73.0.0 10.5.23.254 255.255.240.0 UG 0 0 0 vlan2
192.168.0.0 10.5.23.254 255.255.0.0 UG 0 0 0 vlan2
10.0.0.0 10.5.23.254 255.0.0.0 UG 0 0 0 vlan2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.28.15.254 0.0.0.0 UG 0 0 0 vlan1
[admin@router root]$ iptables-save
# Generated by iptables-save v1.2.7a on Fri Apr 3 22:15:40 2009
*nat
:PREROUTING ACCEPT [95106:9749274]
:POSTROUTING ACCEPT [1511:100930]
:OUTPUT ACCEPT [897:55962]
:VSERVER - [0:0]
-A PREROUTING -d 10.28.10.116 -j VSERVER
-A POSTROUTING -s ! 10.28.10.116 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p udp -m udp --dport 11182 -j DNAT --to-destination 192.168.1.3:11182
-A VSERVER -p udp -m udp --dport 4247 -j DNAT --to-destination 192.168.1.2:4247
-A VSERVER -p tcp -m tcp --dport 2143 -j DNAT --to-destination 192.168.1.3:2143
-A VSERVER -p udp -m udp --dport 2144 -j DNAT --to-destination 192.168.1.3:2144
-A VSERVER -p tcp -m tcp --dport 4247 -j DNAT --to-destination 192.168.1.2:4247
-A VSERVER -p tcp -m tcp --dport 2065 -j DNAT --to-destination 192.168.1.3:2065
-A VSERVER -p tcp -m tcp --dport 11182 -j DNAT --to-destination 192.168.1.3:11182
-A VSERVER -p tcp -m tcp --dport 1065 -j DNAT --to-destination 192.168.1.3:1065
-A VSERVER -p udp -m udp --dport 1066 -j DNAT --to-destination 192.168.1.3:1066
-A VSERVER -p udp -m udp --dport 5120 -j DNAT --to-destination 192.168.1.189:5120
-A VSERVER -p tcp -m tcp --dport 1043 -j DNAT --to-destination 192.168.1.3:1043
-A VSERVER -p udp -m udp --dport 1044 -j DNAT --to-destination 192.168.1.3:1044
-A VSERVER -p tcp -m tcp --dport 1031 -j DNAT --to-destination 192.168.1.3:1031
-A VSERVER -p udp -m udp --dport 1032 -j DNAT --to-destination 192.168.1.3:1032
-A VSERVER -p udp -m udp --dport 3074 -j DNAT --to-destination 192.168.1.189:3074
-A VSERVER -p tcp -m tcp --dport 16812 -j DNAT --to-destination 192.168.1.2:16812
-A VSERVER -p udp -m udp --dport 16812 -j DNAT --to-destination 192.168.1.2:16812
-A VSERVER -p tcp -m tcp --dport 32490 -j DNAT --to-destination 192.168.1.2:32490
-A VSERVER -p udp -m udp --dport 32490 -j DNAT --to-destination 192.168.1.2:32490
-A VSERVER -p tcp -m tcp --dport 4313 -j DNAT --to-destination 192.168.1.2:4313
COMMIT
# Completed on Fri Apr 3 22:15:40 2009
# Generated by iptables-save v1.2.7a on Fri Apr 3 22:15:40 2009
*mangle
:PREROUTING ACCEPT [1993856:1309694068]
:INPUT ACCEPT [344919:36907574]
:FORWARD ACCEPT [1569952:1261240484]
:OUTPUT ACCEPT [71672:12218469]
:POSTROUTING ACCEPT [1662617:1281276385]
COMMIT
# Completed on Fri Apr 3 22:15:40 2009
# Generated by iptables-save v1.2.7a on Fri Apr 3 22:15:40 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [3545:373536]
:OUTPUT ACCEPT [14908:2537999]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p 41 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -d 192.168.1.2 -p tcp -m tcp --dport 4313 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Fri Apr 3 22:15:40 2009
Power
03-04-2009, 22:56
Service2,
Суть в том, что у вас не выполнился post-firewall. Возможно, он не исполняемый или нет строчки #!/bin/sh в начале. Покажите, что выдадут команды


ls -l /usr/local/sbin/post-firewall
cat /usr/local/sbin/post-firewall
/usr/local/sbin/post-firewall
Service2
03-04-2009, 23:30
Это уже исправленный вариант, прорблема была с #!/bin/sh - этой строки небыло. Я не придал этому значения, а его изначально небыло post-firewall , который я редактировал MC.


[admin@router root]$ ls -l /usr/local/sbin/post-firewall
-rwxr-xr-x 1 admin root 533 Apr 4 00:15 /usr/local/sbin/post-firewall
[admin@router root]$ cat /usr/local/sbin/post-firewall
#!/bin/sh
# iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY #(что сие значит не очень понял)
# iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY #(это тоже непонятно)
iptables -t nat -A POSTROUTING -o vlan2 ! -s 10.5.16.119 -j MASQUERADE #(здесь прописываем тот IP который стоит на втором WAN)
# iptables -A FORWARD -i ! br0 -o ! br0 -j DROP #чтобы роутером не пользовались как халявной проксей
iptables -t nat -A PREROUTING -d 10.5.16.119 -j VSERVER #чтобы проброс портов из веб-морды работал для второй сети[admin@router root]$ /usr/local/sbin/post-firewall

Еще раз благодарю за помощь и зато что уделили время.

З.Ы. #!/bin/sh - что оно значит?
Power
04-04-2009, 08:31
З.Ы. #!/bin/sh - что оно значит?

Это указание, что для выполнения файла нужно использовать интерпретатор /bin/sh
Так что, теперь всё работает?
Service2
04-04-2009, 21:20
Да, все забегало :)
eward
08-04-2009, 22:35
Приветствую, уважаемые!

Измучался сам и измучал свой роутер.
Настраивал подобным образом, как и у Service2
Интерфейс vlan2 поднял, маршруты прописались, все отображается по командам ifconfig -a; route -n; iptables-save, но вот добиться совместной нормальной работы двух провайдеров никак не могу.

Что требовалось изначально: от одного провайдера (Корбина) требуется интернет и локальные ресурсы (dc++, радио, тв), а от другого (Коламбия) только локальная сеть (dc++, ftp, немного http).

Что есть для начала:

1-Корбина в интерфейсе WAN, настройки роутер получает автоматом.
У роутера ip 192.168.1.1, провайдер присвоил ip 10.147.80.32 c маской 255.255.248.0, шлюз 10.147.80.32.
ДНС точно не знаю, т.к. все динамически раздается.
В сеть роутер раздает адреса с 192.168.1.2 по 192.168.1.6

2-Коламбия в интерфейсе LAN1.
Провайдером присвоен ip 10.12.2.137, шлюз 10.12.0.1
ДНС: 83.167.65.2 и 83.167.66.166
Какие маршруты прописываются:
83.167.65.2
83.167.66.166
83.167.65.0
10.0.0.0
83.167.66.9

Что сделал:
1. В /tmp/local/sbin/post-boot добавил следующие строки:


#!/bin/sh
robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
vconfig add eth0 2
ifconfig hw ether 00:00:00:00:00:00
ifconfig vlan2 10.12.2.137 broadcast 10.12.255.255 netmask 255.255.0.0 up
route add -net 83.167.65.2 netmask 255.255.255.255 gw 10.12.0.1 dev vlan2
route add -net 83.167.66.166 netmask 255.255.255.255 gw 10.12.0.1 dev vlan2
route add -net 83.167.65.0 netmask 255.255.255.0 gw 10.12.0.1 dev vlan2
route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.12.0.1 dev vlan2
route add -net 192.168.0.0 netmask 255.255.0.0 gw 10.12.0.1 dev vlan2
route add -net 83.167.65.9 netmask 255.255.255.255 gw 10.12.0.1 dev vlan2
route add -net 83.167.65.74 netmask 255.255.255.255 gw 10.12.0.1 dev vlan2

2. В /tmp/local/sbin/post-firewall тоже добавил строки:


#!/bin/sh
iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY
iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY
iptables -t nat -A POSTROUTING -o vlan2 ! -s 10.12.2.137 -j MASQUERADE
iptables -A FORWARD -i ! br0 -o ! br0 -j DROP
iptables -t nat -A PREROUTING -d 10.12.2.137 -j VSERVER

Вот что показывает ifconfig -a


[admin@WL-Router root]$ ifconfig -a
br0 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21e:8cff:fed0:7245/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:65 errors:0 dropped:0 overruns:0 frame:0
TX packets:45 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3022 (2.9 KiB) TX bytes:2507 (2.4 KiB)

eth0 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet6 addr: fe80::21e:8cff:fed0:7245/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:916 errors:0 dropped:0 overruns:0 frame:0
TX packets:127 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:82954 (81.0 KiB) TX bytes:10455 (10.2 KiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet6 addr: fe80::21e:8cff:fed0:7245/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:23
TX packets:0 errors:4 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:12 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:62 errors:0 dropped:0 overruns:0 frame:0
TX packets:62 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:5528 (5.3 KiB) TX bytes:5528 (5.3 KiB)

ppp0 Link encap:Point-Point Protocol
inet addr:93.81.102.242 P-t-P:85.21.140.196 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1400 Metric:1
RX packets:11 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:689 (689.0 B) TX bytes:814 (814.0 B)

sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

vlan0 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet6 addr: fe80::21e:8cff:fed0:7245/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:64 errors:0 dropped:0 overruns:0 frame:0
TX packets:47 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3220 (3.1 KiB) TX bytes:2843 (2.7 KiB)

vlan1 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:10.147.80.32 Bcast:10.147.87.255 Mask:255.255.248.0
inet6 addr: fe80::21b:38ff:fe32:adb0/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:213 errors:0 dropped:0 overruns:0 frame:0
TX packets:77 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:19510 (19.0 KiB) TX bytes:7382 (7.2 KiB)

vlan2 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:10.12.2.137 Bcast:10.12.255.255 Mask:255.255.0.0
inet6 addr: fe80::21e:8cff:fed0:7245/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:632 errors:0 dropped:0 overruns:0 frame:0
TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:43258 (42.2 KiB) TX bytes:82 (82.0 B)

Вот, route -n


[admin@WL-Router root]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
85.21.140.196 10.147.80.1 255.255.255.255 UGH 1 0 0 vlan1
85.21.192.3 10.147.80.1 255.255.255.255 UGH 1 0 0 vlan1
83.167.65.2 10.12.0.1 255.255.255.255 UGH 0 0 0 vlan2
213.234.192.8 10.147.80.1 255.255.255.255 UGH 1 0 0 vlan1
83.167.65.9 10.12.0.1 255.255.255.255 UGH 0 0 0 vlan2
83.167.66.166 10.12.0.1 255.255.255.255 UGH 0 0 0 vlan2
83.167.65.0 10.12.0.1 255.255.255.0 UG 0 0 0 vlan2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
10.147.80.0 0.0.0.0 255.255.248.0 U 0 0 0 vlan1
192.168.0.0 10.12.0.1 255.255.0.0 UG 0 0 0 vlan2
10.12.0.0 0.0.0.0 255.255.0.0 U 0 0 0 vlan2
10.0.0.0 10.12.0.1 255.0.0.0 UG 0 0 0 vlan2
10.0.0.0 10.147.80.1 255.0.0.0 UG 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 85.21.140.196 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 10.147.80.1 0.0.0.0 UG 1 0 0 vlan1

А вот и ip route


[admin@WL-Router root]$ ip route
85.21.140.196 via 10.147.80.1 dev vlan1 metric 1
85.21.192.3 via 10.147.80.1 dev vlan1 metric 1
83.167.65.2 via 10.12.0.1 dev vlan2
213.234.192.8 via 10.147.80.1 dev vlan1 metric 1
83.167.65.9 via 10.12.0.1 dev vlan2
83.167.66.166 via 10.12.0.1 dev vlan2
83.167.65.0/24 via 10.12.0.1 dev vlan2
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1
10.147.80.0/21 dev vlan1 proto kernel scope link src 10.147.80.32
192.168.0.0/16 via 10.12.0.1 dev vlan2
10.12.0.0/16 dev vlan2 proto kernel scope link src 10.12.2.137
10.0.0.0/8 via 10.12.0.1 dev vlan2
10.0.0.0/8 via 10.147.80.1 dev vlan1
127.0.0.0/8 dev lo scope link
default via 85.21.140.196 dev ppp0
default via 10.147.80.1 dev vlan1 metric 1


После этого пытаюсь пробиться ко второму провайдеру хоть на http, хоть на dc++ ответа от ресурсов нет, пинга тоже...
Подскажите, куда копать, где искать ошибку...или что еще нужно дописать? Мак адреса специально так сделал (00:00:00:00:00:00), в роутере все нормально.
Заранее спасибо за помощь, мудрые советы типа: "Пользуйся поиском" не нужны, пользуюсь...
eward
09-04-2009, 07:26
мысли в слух:
может нужно прописать дефолтный маршрут на vlan2?
Если так, то как правильно его записать?

route del default gw 10.12.0.1
route add default gw 192.168.1.1 metric 0
route add default gw 10.12.0.1 dev vlan2 metric 1

Все ли верно? В правильном направлении двигаюсь или нет?

Вот еще нашел рекомендации по пробросу портов с интерфейса на внутренний адрес сети:
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 10.12.0.1/24 --to-source 192.168.1.2 #пробросить порты с 10.12.0.1 на внутренний адрес 192.168.1.2
Так ли это нужно? Это же необходимо для проброса портов на одну машину моей сети, а мне же нужно чтобы на всех компьютерах были одни и те же ресурсы разных сетей...
Power
09-04-2009, 14:38
ifconfig hw ether XX:XX:XX:XX:XX:XX

Тут правильно будет


ifconfig vlan2 hw ether XX:XX:XX:XX:XX:XX

И кстати, так ли нужно менять MAC? Можно ведь и дефолтный оставить, если привязок нет.


Далее, у вас появились 2 конфликтующих маршрута:


Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.0 10.12.0.1 255.0.0.0 UG 0 0 0 vlan2
10.0.0.0 10.147.80.1 255.0.0.0 UG 0 0 0 vlan1

Один из них надо удалить или хотя бы повысить одному метрику, чтоб была определённость, какой из двух роутер будет использовать.


Ещё такой момент: у вас во втором провайдере (Коламбия) настройки случайно не по DHCP выдаются? Потому что если да, то статически прописывать опасно, можно получить конфликт адресов.


На компе у вас прописаны какие-то маршруты? Если да, их нужно удалить, оставить только те настройки, что приходят от роутера по DHCP.




может нужно прописать дефолтный маршрут на vlan2?
Если так, то как правильно его записать?

route del default gw 10.12.0.1
route add default gw 192.168.1.1 metric 0
route add default gw 10.12.0.1 dev vlan2 metric 1

Если вы это хотите на роутере делать, то не надо. Так недолго и весь трафик по этому маршруту пустить.



Вот еще нашел рекомендации по пробросу портов с интерфейса на внутренний адрес сети:
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 10.12.0.1/24 --to-source 192.168.1.2 #пробросить порты с 10.12.0.1 на внутренний адрес 192.168.1.2
Так ли это нужно? Это же необходимо для проброса портов на одну машину моей сети, а мне же нужно чтобы на всех компьютерах были одни и те же ресурсы разных сетей...
Весьма странное правило. Не рекомендую использовать.


Для большей определённости хотелось бы увидеть iptables-save и трассировку до какого-нибудь узла.
eward
09-04-2009, 15:25
to Power
спасибо за своевременную реакцию...
по вышенаписанному:

-мак-адрес, по нему-то привязка и идет у второго провайдера, у Корбины, как мне заявляли, привязки нет. Расположение кабелей от провайдеров в ван/лан1 портах так оставить и планирую.

-насчет двух 2 кофликтующих маршрутов в курсе, не знал только как победить... да и приоритеты ВЫ мои поняли. Какой из маршрутов оставить пока не решил, думаю, маршрут на Корбину нужно удалять. Получается, локальные ресурсы Корбины будут не доступны? Хотелось бы и от Корбины локальных и от Коламбии.

-по dhcp от Коламбии, все настройки в роутер забивал вручную (и днс, ip, шлюз), получается, не раздает провайдер автоматом. Хотя, не понятно откуда взялся маршрут на 83.167.66.9, его изначально не было, когда подключал только Коламбию на основной wan. Уже позже его добавил сам дополнительно в post-boot, на всякий случай.

-на машинах в сети никаких маршрутов не прописано, все маршруты прописывал через роутер.


может нужно прописать дефолтный маршрут на vlan2?
Если так, то как правильно его записать?

route del default gw 10.12.0.1
route add default gw 192.168.1.1 metric 0
route add default gw 10.12.0.1 dev vlan2 metric 1

Если вы это хотите на роутере делать, то не надо. Так недолго и весь трафик по этому маршруту пустить.


Так делать не буду, понял уже, что траффик уходит не в нужную сторону..



Вот еще нашел рекомендации по пробросу портов с интерфейса на внутренний адрес сети:
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 10.12.0.1/24 --to-source 192.168.1.2 #пробросить порты с 10.12.0.1 на внутренний адрес 192.168.1.2
Так ли это нужно? Это же необходимо для проброса портов на одну машину моей сети, а мне же нужно чтобы на всех компьютерах были одни и те же ресурсы разных сетей...

Весьма странное правило. Не рекомендую использовать.

Правило не применял, просто интересно стало, нужно оно вообще или нет..думаю, теперь не нужно.


Для большей определённости хотелось бы увидеть iptables-save и трассировку до какого-нибудь узла.

Обязательно скину вечером, т.к. сменой шлюза по умолчанию отрубил себе возможность работать с роутером по терминалу.
Power
09-04-2009, 16:07
-по dhcp от Коламбии, все настройки в роутер забивал вручную (и днс, ip, шлюз), получается, не раздает провайдер автоматом.


Тут простой критерий: если провайдер при подключении выдал вам адреса на бумажке или специально обученный человек пришёл и вбил вам эти адреса - тогда это статически. А если провайдер сказал, что всё выдаётся автоматом - тогда это DHCP.
eward
09-04-2009, 20:01
Это я прекрасно понимаю, статический, динамический...
Давно не пользовался ресурсами второго провайдера, судя по всему раздача настроек не изменилась. Хотя, обещали перевести на динамическую раздачу в будущем.

Так, теперь по поводу iptables-save:



[admin@WL-Router root]$ iptables-save
# Generated by iptables-save v1.2.7a on Thu Apr 9 22:20:31 2009
*nat
:PREROUTING ACCEPT [3639:374828]
:POSTROUTING ACCEPT [27:1640]
:OUTPUT ACCEPT [27:1640]
:VSERVER - [0:0]
-A PREROUTING -d 93.81.99.186 -j VSERVER
-A PREROUTING -d 10.147.80.32 -j VSERVER
-A PREROUTING -i br0 -p tcp -m tcp --dport 4662 -j autofw --related-proto tcp -- related-dport 4662-4662 --related-to 4662-4662
-A PREROUTING -i br0 -p udp -m udp --dport 4672 -j autofw --related-proto udp -- related-dport 4672-4672 --related-to 4672-4672
-A PREROUTING -i br0 -p tcp -m tcp --dport 16003 -j autofw --related-proto tcp - -related-dport 16003-16003 --related-to 16003-16003
-A PREROUTING -i br0 -p udp -m udp --dport 16003 -j autofw --related-proto udp - -related-dport 16003-16003 --related-to 16003-16003
-A PREROUTING -i br0 -p tcp -m tcp --dport 27005 -j autofw --related-proto tcp - -related-dport 27005-27005 --related-to 27005-27005
-A PREROUTING -i br0 -p udp -m udp --dport 27005 -j autofw --related-proto udp - -related-dport 27005-27005 --related-to 27005-27005
-A PREROUTING -i br0 -p tcp -m tcp --dport 27015 -j autofw --related-proto tcp - -related-dport 27015-27015 --related-to 27015-27015
-A PREROUTING -i br0 -p udp -m udp --dport 27015 -j autofw --related-proto udp - -related-dport 27015-27015 --related-to 27015-27015
-A PREROUTING -d 10.12.2.137 -j VSERVER
-A POSTROUTING -s ! 93.81.99.186 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.147.80.32 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A POSTROUTING -s ! 10.12.2.137 -o vlan2 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 32459 -j DNAT --to-destination 192.168.1.3:3245 9
-A VSERVER -p tcp -m tcp --dport 16003 -j DNAT --to-destination 192.168.1.5:1600 3
-A VSERVER -p udp -m udp --dport 16003 -j DNAT --to-destination 192.168.1.5:1600 3
-A VSERVER -p udp -m udp --dport 4672 -j DNAT --to-destination 192.168.1.3:4672
-A VSERVER -p tcp -m tcp --dport 4662 -j DNAT --to-destination 192.168.1.3:4662
-A VSERVER -p tcp -m tcp --dport 16005 -j DNAT --to-destination 192.168.1.3:1600 5
-A VSERVER -p udp -m udp --dport 16005 -j DNAT --to-destination 192.168.1.3:1600 5
-A VSERVER -p tcp -m tcp --dport 11005 -j DNAT --to-destination 192.168.1.3:1100 5
-A VSERVER -p udp -m udp --dport 11005 -j DNAT --to-destination 192.168.1.3:1100 5
-A VSERVER -p tcp -m tcp --dport 5050 -j DNAT --to-destination 192.168.1.6:5050
-A VSERVER -p udp -m udp --dport 5050 -j DNAT --to-destination 192.168.1.6:5050
-A VSERVER -p tcp -m tcp --dport 55555 -j DNAT --to-destination 192.168.1.6:5555 5
-A VSERVER -p udp -m udp --dport 55555 -j DNAT --to-destination 192.168.1.6:5555 5
-A VSERVER -p tcp -m tcp --dport 16007 -j DNAT --to-destination 192.168.1.6:1600 7
-A VSERVER -p udp -m udp --dport 16007 -j DNAT --to-destination 192.168.1.6:1600 7
-A VSERVER -p tcp -m tcp --dport 16006 -j DNAT --to-destination 192.168.1.6:1600 6
-A VSERVER -p udp -m udp --dport 16006 -j DNAT --to-destination 192.168.1.6:1600 6
-A VSERVER -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.6:3389
-A VSERVER -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.1.6:3389
COMMIT
# Completed on Thu Apr 9 22:20:31 2009
# Generated by iptables-save v1.2.7a on Thu Apr 9 22:20:31 2009
*mangle
:PREROUTING ACCEPT [5618:1073883]
:INPUT ACCEPT [4283:623533]
:FORWARD ACCEPT [747:360727]
:OUTPUT ACCEPT [879:173383]
:POSTROUTING ACCEPT [1633:534318]
COMMIT
# Completed on Thu Apr 9 22:20:31 2009
# Generated by iptables-save v1.2.7a on Thu Apr 9 22:20:31 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [25:1200]
:OUTPUT ACCEPT [820:169279]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -i br0 -j MACS
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p 2 -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A INPUT -i vlan2 -m state --state NEW -j SECURITY
-A FORWARD -i br0 -j MACS
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -d 224.0.0.0/240.0.0.0 -p udp -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pm tu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A FORWARD -i vlan2 -m state --state NEW -j SECURITY
-A FORWARD -i ! br0 -o ! br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequen ce --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence - -log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Thu Apr 9 22:20:31 2009
eward
09-04-2009, 20:04
А вот и трассировка до www.ru
Windows:


Трассировка маршрута к www.ru [194.87.0.50]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс WL-Router [192.168.1.1]
2 * * * Превышен интервал ожидания для запроса.
3 34 ms 34 ms 44 ms 79.104.228.101
4 34 ms 34 ms 34 ms 79.104.228.65
5 52 ms 47 ms 47 ms 194.186.57.217
6 34 ms 34 ms 34 ms gldn-m9-10G.msk.corbina.net [85.21.223.2]
7 34 ms 34 ms 34 ms m9-bb-teng2-1-2600.msk.corbina.net [85.21.223.1]

8 35 ms 35 ms 35 ms k122-bb-teng3-3.msk.corbina.net [195.14.54.232]

9 35 ms 35 ms 59 ms lublin-bb-po6.msk.corbina.net [195.14.54.96]
10 * * * Превышен интервал ожидания для запроса.
11 35 ms 35 ms 35 ms hq-bb-teng4-2.msk.corbina.net [195.14.54.253]
12 35 ms 35 ms 35 ms 81.211.83.229
13 35 ms 35 ms 34 ms cat06.Moscow.gldn.net [194.186.157.10]
14 35 ms 35 ms 35 ms Ruscomnet-gw.Moscow.gldn.net [194.186.0.38]
15 35 ms 35 ms 36 ms DEMOS-gw.ruscomnet.ru [80.249.128.166]
16 36 ms 36 ms 41 ms iki-c1-vl10.demos.net [194.87.0.111]
17 35 ms 35 ms 35 ms www.ru [194.87.0.50]

Трассировка завершена.

и от роутера:

[admin@WL-Router root]$ traceroute www.ru
traceroute to www.ru (194.87.0.50), 30 hops max, 38 byte packets
1 85.21.140.196 (85.21.140.196) 1.409 ms 1.320 ms 1.259 ms
2 79.104.228.101 (79.104.228.101) 34.143 ms 34.030 ms 79.104.228.69 (79.104.228.69) 34.342 ms
3 79.104.228.65 (79.104.228.65) 34.319 ms 34.608 ms 45.400 ms
4 194.186.57.217 (194.186.57.217) 34.141 ms 33.992 ms 34.108 ms
5 gldn-m9-10G.msk.corbina.net (85.21.223.2) 34.490 ms 34.210 ms 34.392 ms
6 m9-bb-teng2-1-2600.msk.corbina.net (85.21.223.1) 34.355 ms 34.582 ms 35.146 ms
7 k122-bb-teng4-4.msk.corbina.net (195.14.54.105) 35.246 ms k122-bb-teng3-3.msk.corbina.net (195.14.54.232) 35.147 ms ko-bb- teng10-6.msk.corbina.net (195.14.54.209) 75.178 ms
8 ko-bb-DWDM-2-Te4-6.corbina.net (78.107.184.28) 101.313 ms 35.750 ms lublin-bb-po6.msk.corbina.net (195.14.54.96) 34.800 m s
9 hq-bb-teng-4-1.msk.corbina.net (195.14.54.93) 34.862 ms !A hq-bb-teng4-5.msk.corbina.net (195.14.54.187) 35.109 ms^[[C *
10 hq-bb-teng4-2.msk.corbina.net (195.14.54.253) 34.967 ms * *
11 * * *
12 * * hq-bb-teng4-5.msk.corbina.net (195.14.54.187) 35.138 ms !A
13 * hq-bb-teng2-2.msk.corbina.net (195.14.54.110) 35.317 ms !A
[admin@WL-Router root]$
[admin@WL-Router root]$ traceroute www.ru
traceroute to www.ru (194.87.0.50), 30 hops max, 38 byte packets
1 85.21.140.196 (85.21.140.196) 1.223 ms 1.183 ms 1.264 ms
2 79.104.228.69 (79.104.228.69) 34.292 ms 79.104.228.101 (79.104.228.101) 34.237 ms 34.093 ms
3 79.104.228.65 (79.104.228.65) 34.173 ms 34.693 ms 34.322 ms
4 194.186.57.217 (194.186.57.217) 34.304 ms 34.510 ms 34.257 ms
5 gldn-m9-10G.msk.corbina.net (85.21.223.2) 35.072 ms 35.025 ms 36.029 ms
6 m9-bb-teng2-1-2600.msk.corbina.net (85.21.223.1) 34.475 ms 34.294 ms 34.290 ms
7 k122-bb-teng4-4.msk.corbina.net (195.14.54.105) 35.179 ms k122-bb-teng3-3.msk.corbina.net (195.14.54.232) 35.029 ms ko-bb- teng10-6.msk.corbina.net (195.14.54.209) 34.845 ms
8 ko-bb-DWDM-2-Te4-6.corbina.net (78.107.184.28) 35.378 ms 210.636 ms lublin-bb-po6.msk.corbina.net (195.14.54.96) 34.731 m s
9 * hq-bb-teng4-5.msk.corbina.net (195.14.54.187) 35.188 ms *
10 hq-bb-teng4-2.msk.corbina.net (195.14.54.253) 35.085 ms * *
11 * * *
12 * hq-bb-teng4-2.msk.corbina.net (195.14.54.253) 35.420 ms !A *
13 hq-bb-teng4-5.msk.corbina.net (195.14.54.187) 35.452 ms !A * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 hq-bb-teng4-5.msk.corbina.net (195.14.54.187) 35.510 ms !A * *
20 * * *
21 * * *
22 hq-bb-teng4-5.msk.corbina.net (195.14.54.187) 35.462 ms !A * *
23 * * *
24 hq-bb-teng4-8.4.msk.corbina.net (195.14.54.73) 35.228 ms !A * *
25 * * hq-bb-teng2-2.msk.corbina.net (195.14.54.110) 35.308 ms !A
26 * * *
27 * * *
28 * * *
29 * hq-bb-teng4-8.4.msk.corbina.net (195.14.54.73) 35.453 ms !A *
30 * * *
Power
09-04-2009, 20:27
А вот и трассировка до www.ru


Я на самом деле хотел увидеть трассировку до какого-нибудь внутреннего ресурса второй сети (Коламбия).

А вывод iptables-save приведите в нормальный вид, это же трудно читать. Рекомендую использовать Putty как ssh-клиент, при копипасте оттуда строки вроде получаются нормальные.

И кстати, вы изменили команду "ifconfig hw ether" на исправленную?
eward
09-04-2009, 20:53
И кстати, вы изменили команду "ifconfig hw ether" на исправленную?
Извините, сначала не понял смысла написанного, сейчас поменяю, спасибо. :) Не обратил сразу внимания.

Вот что получилось с трассировкой, выбрал два ресурса (форум и один ip из маршрутизации-это один из dns Коламбии, кажется):


[admin@WL-Router root]$ traceroute 83.167.66.166
traceroute to 83.167.66.166 (83.167.66.166), 30 hops max, 38 byte packets
1 * 10.12.0.1 (10.12.0.1) 5.824 ms 1.966 ms
2 coltel-gw-fe0-0-2.coltel.ru (83.167.65.1) 2.030 ms 3.316 ms 3.964 ms
3 ns3.coltel.ru (83.167.66.166) 2.967 ms 1.832 ms 1.357 ms



[admin@WL-Router root]$ traceroute volgoforum.ru
traceroute to volgoforum.ru (83.167.65.74), 30 hops max, 38 byte packets
1 10.12.0.1 (10.12.0.1) 1.313 ms 5.270 ms 3.692 ms
2 83.167.65.73 (83.167.65.73) 3.968 ms 2.684 ms 2.572 ms
3 83.167.65.74 (83.167.65.74) 2.598 ms 1.906 ms 2.214 ms


Сейчас попробую в нормальном виде скинуть iptables-save...

Я, кстати, пользуюсь putty, просто длинные строки получаются, там много проброшенных портом для нескольких машин в сети..
eward
09-04-2009, 21:06
Вот, собственно, результат команды iptables-save:


iptables-save
# Generated by iptables-save v1.2.7a on Fri Apr 10 00:02:47 2009
*nat
:PREROUTING ACCEPT [4664:503002]
:POSTROUTING ACCEPT [41:2546]
:OUTPUT ACCEPT [41:2546]
:VSERVER - [0:0]
-A PREROUTING -d 93.81.102.192 -j VSERVER
-A PREROUTING -d 10.147.80.32 -j VSERVER
-A PREROUTING -i br0 -p tcp -m tcp --dport 4662 -j autofw --related-proto tcp --related-dport 4662-4662 --related-to 4662-4662
-A PREROUTING -i br0 -p udp -m udp --dport 4672 -j autofw --related-proto udp --related-dport 4672-4672 --related-to 4672-4672
-A PREROUTING -i br0 -p tcp -m tcp --dport 16003 -j autofw --related-proto tcp --related-dport 16003-16003 --related-to 16003-16003
-A PREROUTING -i br0 -p udp -m udp --dport 16003 -j autofw --related-proto udp --related-dport 16003-16003 --related-to 16003-16003
-A PREROUTING -i br0 -p tcp -m tcp --dport 27005 -j autofw --related-proto tcp --related-dport 27005-27005 --related-to 27005-27005
-A PREROUTING -i br0 -p udp -m udp --dport 27005 -j autofw --related-proto udp --related-dport 27005-27005 --related-to 27005-27005
-A PREROUTING -i br0 -p tcp -m tcp --dport 27015 -j autofw --related-proto tcp --related-dport 27015-27015 --related-to 27015-27015
-A PREROUTING -i br0 -p udp -m udp --dport 27015 -j autofw --related-proto udp --related-dport 27015-27015 --related-to 27015-27015
-A PREROUTING -d 10.12.2.137 -j VSERVER
-A POSTROUTING -s ! 93.81.102.192 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.147.80.32 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A POSTROUTING -s ! 10.12.2.137 -o vlan2 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 32459 -j DNAT --to-destination 192.168.1.3:32459
-A VSERVER -p tcp -m tcp --dport 16003 -j DNAT --to-destination 192.168.1.5:16003
-A VSERVER -p udp -m udp --dport 16003 -j DNAT --to-destination 192.168.1.5:16003
-A VSERVER -p udp -m udp --dport 4672 -j DNAT --to-destination 192.168.1.3:4672
-A VSERVER -p tcp -m tcp --dport 4662 -j DNAT --to-destination 192.168.1.3:4662
-A VSERVER -p tcp -m tcp --dport 16005 -j DNAT --to-destination 192.168.1.3:16005
-A VSERVER -p udp -m udp --dport 16005 -j DNAT --to-destination 192.168.1.3:16005
-A VSERVER -p tcp -m tcp --dport 11005 -j DNAT --to-destination 192.168.1.3:11005
-A VSERVER -p udp -m udp --dport 11005 -j DNAT --to-destination 192.168.1.3:11005
-A VSERVER -p tcp -m tcp --dport 5050 -j DNAT --to-destination 192.168.1.6:5050
-A VSERVER -p udp -m udp --dport 5050 -j DNAT --to-destination 192.168.1.6:5050
-A VSERVER -p tcp -m tcp --dport 55555 -j DNAT --to-destination 192.168.1.6:55555
-A VSERVER -p udp -m udp --dport 55555 -j DNAT --to-destination 192.168.1.6:55555
-A VSERVER -p tcp -m tcp --dport 16007 -j DNAT --to-destination 192.168.1.6:16007
-A VSERVER -p udp -m udp --dport 16007 -j DNAT --to-destination 192.168.1.6:16007
-A VSERVER -p tcp -m tcp --dport 16006 -j DNAT --to-destination 192.168.1.6:16006
-A VSERVER -p udp -m udp --dport 16006 -j DNAT --to-destination 192.168.1.6:16006
-A VSERVER -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.6:3389
-A VSERVER -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.1.6:3389
COMMIT
# Completed on Fri Apr 10 00:02:47 2009
# Generated by iptables-save v1.2.7a on Fri Apr 10 00:02:47 2009
*mangle
:PREROUTING ACCEPT [6851:1188638]
:INPUT ACCEPT [5601:745818]
:FORWARD ACCEPT [578:309582]
:OUTPUT ACCEPT [1471:239586]
:POSTROUTING ACCEPT [2059:549468]
COMMIT
# Completed on Fri Apr 10 00:02:47 2009
# Generated by iptables-save v1.2.7a on Fri Apr 10 00:02:47 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [23:1160]
:OUTPUT ACCEPT [1457:239204]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -i br0 -j MACS
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p 2 -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A INPUT -i vlan2 -m state --state NEW -j SECURITY
-A FORWARD -i br0 -j MACS
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -d 224.0.0.0/240.0.0.0 -p udp -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A FORWARD -i vlan2 -m state --state NEW -j SECURITY
-A FORWARD -i ! br0 -o ! br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Fri Apr 10 00:02:47 2009
eward
09-04-2009, 21:12
А вот, на всякий случай, один из трассеров на ресурс Корбины:


traceroute 85.21.140.196
traceroute to 85.21.140.196 (85.21.140.196), 30 hops max, 38 byte packets
1 10.147.80.1 (10.147.80.1) 1.058 ms 0.968 ms 1.036 ms
2 10.45.209.181 (10.45.209.181) 0.948 ms 1.131 ms 0.942 ms
3 10.45.209.149 (10.45.209.149) 1.196 ms 1.037 ms 0.995 ms
4 10.45.209.93 (10.45.209.93) 1.236 ms 1.079 ms 1.096 ms
5 10.45.209.81 (10.45.209.81) 1.095 ms 1.110 ms 1.219 ms
6 10.45.209.77 (10.45.209.77) 2.407 ms 2.201 ms 2.697 ms
7 rep100a-rs1-vl51.vlg.corbina.net (85.21.140.226) 1.041 ms 3.187 ms 2.748 ms
8 rep100a-br-giga0-2.vlg.corbina.net (85.21.140.220) 1.101 ms * 1.118 ms
Power
09-04-2009, 22:31
Вот что получилось с трассировкой, выбрал два ресурса (форум и один ip из маршрутизации-это один из dns Коламбии, кажется):
...

Сейчас попробую в нормальном виде скинуть iptables-save...


Судя по трассировке, пакеты уходят на правильный интерфейс (кстати, для проверки можно попробовать трассировку до тех же ресурсов провести уже с компа). С iptables тоже вроде всё нормально (относительно, т.е. можно и лучше, но работать должно).
Попробуйте теперь собственно зайти на какой-нибудь ресурс второй сети.
eward
10-04-2009, 10:34
Судя по трассировке, пакеты уходят на правильный интерфейс (кстати, для проверки можно попробовать трассировку до тех же ресурсов провести уже с компа). С iptables тоже вроде всё нормально (относительно, т.е. можно и лучше, но работать должно).
Попробуйте теперь собственно зайти на какой-нибудь ресурс второй сети.


Все верно, пакеты уходят в нужном направлении, в сторону нужного провайдера!!! Чему я несказанно рад, ОЧЕНЬ ВАМ благодарен и признателен!

Вчера уже не было сил отписаться, но попробовать все таки успел, проверил доступность ресурсов второй сети.
Ресурсы доступны (http, ftp, сетевое радио тоже работает), единственно, не разобрался с dc++, работает-это хорошо, но скорость передачи маловата (из того что пробовал максимум 3 - 3,5 МБ/сек), раньше до 7-9 Мб/сек доходила. Порты пробросил на машину, чтобы в активном режиме качать. Еще как вариант, может сама по себе отдача у сида такая?

Кстати, все из-за тех пресловутых пересекающихся маршрутов 10.0.0.0
перестали быть доступными локальные ресурсы Корбины, доступ к dc++ хабам вообще отсутствует.
Из-за динамической раздачи ip у Корбины не совсем удобно делать статическую маршрутизацию. Попробую, конечно, на ip сети Корбины пробросить маршруты (для dc++ хабов).
Собственно, вопрос: что сделать, чтобы локальные ресурсы Корбины были доступны в более или менее нормальном режиме?
Думаю, можно решить все маршрутами или не тот путь решения?

Есть интересная особенность у Коламбии: у нее настроен линк с другими провайдерами (2 или 3 провайдера), они в сети второго провайдера тоже считаются локальными.
Так вот, что не понял, это особенности линка провайдеров такие или особенности не правильной работы маршрутов, или особенности конкретного залинкованного провайдера: именно ресурсы Коламбии доступны на хорошей сторости (точно не измерял пока), а с ресурсов другого залинкованного провайдера закачиваются максимум на скорости 62-64 кбайта/сек, т.е. примерно на скорости моего тарифного плана интернет у Корбины.
Мне больше кажется, что это третье.

По iptables сам тоже догадываюсь, что все не идеально...осталось куча проброшенных портов, может еще что-то...никак не могу лишнее убрать, не хватает времени. Что в моем случае посоветуете сделать с iptables?

Вот еще момент, возникла идея сделать dc++ хаб для совместной линковки пользователей Корбины и Коламбии, видел такое решение в сети второго провайдера (только залинкованный провайдер был не Корбина).
Но идея просто появилась в голове, возможно и не получит распространения.
Но все же интересно, получится или нет?


Думаю по получившемуся, нашему с ВАМИ, результату сделать небольшой топик по вопросу 2wan (подробно в пошаговых инструкциях).
Только нужно до конца добить вопрос :)
Тоже хочется кому-нибудь помочь.
balma
10-04-2009, 10:38
Суть вопроса следующая.
Имеется 2 роутера - первый WL500GP v1 второй WL500GP v2. Стоят в разных зданиях, смотрят один в нетбайнет, второй в корбину. Между собой соединены в локальную сеть, между домами прокинут UTP5. Основной канал - роутер WL500GP v1, смотрящий в нетбайнет, адрес 192.168.0.1. На нем стоит DHCP, и прописаны статические маршруты для корбиновского тв.
Запасной канал - через роутер WL500GP v2, который смотрит в корбину, адрес 192.168.0.254. DHCP на нем соответственно отключен.
Компьютер и ноуты локальной сети получают свои адреса автоматом.
Сейчас резервный канал (192.168.0.254) поднимается с помощью прописывания на клиентских компах в свойствах tcpip основного шлюза 192.168.0.1 с метрикой 1 и дополнительного шлюза 192.168.0.254 с метрикой 2. То есть, отваливается основной - весь трафик идет через резервный...
Собственно вопрос, что нужно сделать на роутере с основным каналом, когда у него отваливается wan, чтоб весь трафик направлялся на шлюз 192.168.0.254 и возвращался бы автоматически при восстановлении связи, чтоб руками не надо было бы прописывать ничего на своих компах. По веткам форума поискал - ничего похожего на мою ситуацию нет. Один только ответ у всего, что нашел, - на роутере поднимается второй WAN порт и тд и тп. Как вы понимаете это мне не подходит. Помогите пожалуйста. Если знаете ответ - очень прошу описать подробно, с необходимыми командами. Дело в том что Linux для меня еще темный лес, все что делал с роутерами - ставил прошивки от Олега, и настраивал с помощью web интерфейса, читая данный форум. Но попытаюсь вникнуть. Заранее спасибо за помощь! :o
Power
10-04-2009, 13:34
Кстати, все из-за тех пресловутых пересекающихся маршрутов 10.0.0.0
перестали быть доступными локальные ресурсы Корбины, доступ к dc++ хабам вообще отсутствует.
Из-за динамической раздачи ip у Корбины не совсем удобно делать статическую маршрутизацию. Попробую, конечно, на ip сети Корбины пробросить маршруты (для dc++ хабов).
Собственно, вопрос: что сделать, чтобы локальные ресурсы Корбины были доступны в более или менее нормальном режиме?
Думаю, можно решить все маршрутами или не тот путь решения?


Тут сложно. Проще всего, наверное, добавить выборочные маршруты ло ресурсов Корбины (маршруты с маской менее широкой, чем 255.0.0.0). Динамический айпи не проблема, можно использовать 0.0.0.0 в качестве адреса шлюза, например:


Enable static routes? Yes

Static Route List
Network/Host IP Netmask Gateway Metric Interface
10.1.2.0 255.255.255.0 0.0.0.0 0 MAN
10.1.3.15 255.255.255.255 0.0.0.0 0 MAN

Только, боюсь, P2P (DC++, etc.) будет использовать сложно. Если в списке пиров окажется кто-то из того самого диапазона 10.0.0.0/8, но без маршрута на Корбину, то подключение на этот адрес пойдёт через второго провайдера, т.е. совсем не туда (даже если там окажется комп с таким адресом, понятно, что соединение от вас для него окажется неожиданным).



Вчера уже не было сил отписаться, но попробовать все таки успел, проверил доступность ресурсов второй сети.
Ресурсы доступны (http, ftp, сетевое радио тоже работает), единственно, не разобрался с dc++, работает-это хорошо, но скорость передачи маловата (из того что пробовал максимум 3 - 3,5 МБ/сек), раньше до 7-9 Мб/сек доходила. Порты пробросил на машину, чтобы в активном режиме качать. Еще как вариант, может сама по себе отдача у сида такая?
Если пакеты уходят в правильном направлении (traceroute с компа до сида), то дальше что-то сделать сложно.


Есть интересная особенность у Коламбии: у нее настроен линк с другими провайдерами (2 или 3 провайдера), они в сети второго провайдера тоже считаются локальными.
Так вот, что не понял, это особенности линка провайдеров такие или особенности не правильной работы маршрутов, или особенности конкретного залинкованного провайдера: именно ресурсы Коламбии доступны на хорошей сторости (точно не измерял пока), а с ресурсов другого залинкованного провайдера закачиваются максимум на скорости 62-64 кбайта/сек, т.е. примерно на скорости моего тарифного плана интернет у Корбины.
Мне больше кажется, что это третье.
Опять же, если пакеты действительно идут через Коламбию, то на остальное особо не повлиять.



По iptables сам тоже догадываюсь, что все не идеально...осталось куча проброшенных портов, может еще что-то...никак не могу лишнее убрать, не хватает времени. Что в моем случае посоветуете сделать с iptables?
По-хорошему, надо переписать все правила вручную с нуля, а то у вас некоторые идут не в самом лучшем порядке, а некоторые вообще лишние. Хуже всего, что это всё индивидуально и зависит от настроек, внесённых через веб-морду.



Вот еще момент, возникла идея сделать dc++ хаб для совместной линковки пользователей Корбины и Коламбии, видел такое решение в сети второго провайдера (только залинкованный провайдер был не Корбина).
Но идея просто появилась в голове, возможно и не получит распространения.
Но все же интересно, получится или нет?
Можно сделать Очень Сложную Систему, но толку будет мало. Общим будет только чат. Ведь пользователи между собой соединяются напрямую и если они у разных провайдеров, то соединиться не смогут.
Power
10-04-2009, 13:38
Один только ответ у всего, что нашел, - на роутере поднимается второй WAN порт и тд и тп. Как вы понимаете это мне не подходит.

А почему не подходит? Ко второму WAN'у присоединяется тот второй роутер и поехали...
Сhemist
10-04-2009, 14:21
А почему не подходит? Ко второму WAN'у присоединяется тот второй роутер и поехали...

Стоят в разных зданиях Вроде это камень преткновения.
balma
10-04-2009, 14:44
А почему не подходит? Ко второму WAN'у присоединяется тот второй роутер и поехали...

Тогда надо второй шнурок между зданиями кидать? Это точно не подходит. А если по одному шнурку, то как же маршрутизацию прописывать, за тем, вторым, роутером часть той же локалки остается... им как DHCP первого шлюза сможет раздать айпи например? что будет, если шлюз или порт шлюза временно глюканет?
Поэтому я и думаю, что вариант с 2 WAN портами не годится в моей ситуации.:mad:
Chemist совершенно прав.
Power
10-04-2009, 15:15
Тогда надо второй шнурок между зданиями кидать? Это точно не подходит. А если по одному шнурку, то как же маршрутизацию прописывать, за тем, вторым, роутером часть той же локалки остается... им как DHCP первого шлюза сможет раздать айпи например? что будет, если шлюз или порт шлюза временно глюканет?
Поэтому я и думаю, что вариант с 2 WAN портами не годится в моей ситуации.:mad:
Chemist совершенно прав.

Да, я понял. Сначала не учёл, что второй роутер тоже локалку обслуживает.
balma
11-04-2009, 14:48
вот схему нарисовал, чтоб нагляднее было. Что то молчат наши гуру... Неужели невыполнимая задача? Может какие статические роуты на первом шлюзе прописать с высокой метрикой? или что то в этом духе?
eward
12-04-2009, 07:49
Тут сложно. Проще всего, наверное, добавить выборочные маршруты ло ресурсов Корбины (маршруты с маской менее широкой, чем 255.0.0.0). Динамический айпи не проблема, можно использовать 0.0.0.0 в качестве адреса шлюза, например:

Кстати, локальные ресурсы Корбины (dc++ хабы), оказывается, доступны, в т.ч. доступны и остальное: радио, тв, и др. сервисы. Не пришлось настраивать отдельные маршруты. Как оказалось, временно убрали пиринг между районами города, поэтому было не доступно большинство хабов.


Только, боюсь, P2P (DC++, etc.) будет использовать сложно. Если в списке пиров окажется кто-то из того самого диапазона 10.0.0.0/8, но без маршрута на Корбину, то подключение на этот адрес пойдёт через второго провайдера, т.е. совсем не туда (даже если там окажется комп с таким адресом, понятно, что соединение от вас для него окажется неожиданным).
Пока не было замечено проблем по этому поводу, у второго провайдера нет пока таких адресов диапазона 10.147.0.0, а как появятся, посмотрим, что из этого будет :) Да и маршрут настроен изначально на адреса этой сети через нужный интерфейс - wan.


По-хорошему, надо переписать все правила вручную с нуля, а то у вас некоторые идут не в самом лучшем порядке, а некоторые вообще лишние. Хуже всего, что это всё индивидуально и зависит от настроек, внесённых через веб-морду.
По iptables ничего кардинального не принимал, чуть позже постараюся пересмотреть все правила, которые есть. Убрал только лишние пробросы портов.


Можно сделать Очень Сложную Систему, но толку будет мало. Общим будет только чат. Ведь пользователи между собой соединяются напрямую и если они у разных провайдеров, то соединиться не смогут.
Представил общую картину после ВАШИХ слов, понял, не нужно сие мне :) Да и нагрузка большая будет, а у меня не было задачи организовывать выделенный сервер для этого, так что, обойдутся!

ЕЩЕ РАЗ, большое спасибо за помощь!
Буду тестить роутер в таком режиме дальше, на своем городском форуме инструкцию по настройке для особо страждущих разместил, потом адаптирую для текущего форума.
asdd
12-04-2009, 20:34
вот схему нарисовал, чтоб нагляднее было. Что то молчат наши гуру... Неужели невыполнимая задача? Может какие статические роуты на первом шлюзе прописать с высокой метрикой? или что то в этом духе?

К обоим роутерам нужен 2-й WAN.

1-й роут: WAN1 - провайдер1, WAN2 - роутер2
2-й роут: WAN1 - провайдер2, WAN2 - роутер1.

Чего тут непонятного? UTP5 это ж Ethernet? Вот 2 WANами они смотрят друг на друга и для каждого это будет резервным каналом.

Да и по-моему DCHP должен на каждом роуте включен.
balma
13-04-2009, 06:40
Да и по-моему DCHP должен на каждом роуте включен.

Спасибо за ответ. Честно говоря, не думал о такой возможности, не догадался. Неясно только, ведь сеть между домами общая должна быть. Компы смогут видеть друг друга и папки расшареные? два DHCP не подерутся между собой? или же получится две отдельные сетки с необходимостью "туннелирования"? :confused:
asdd
13-04-2009, 10:14
Спасибо за ответ. Честно говоря, не думал о такой возможности, не догадался. Неясно только, ведь сеть между домами общая должна быть. Компы смогут видеть друг друга и папки расшареные? два DHCP не подерутся между собой? или же получится две отдельные сетки с необходимостью "туннелирования"? :confused:

Сеть между домами общей при моей схеме не получится... "Туннелирование"? Не знаю может быть...
Все, что стоит за роутерами - это две локальные сети. DHCP выдают ИП во внутренние сети и друг друга не видят.
balma
13-04-2009, 11:12
Сеть между домами общей при моей схеме не получится... "Туннелирование"? Не знаю может быть...
Все, что стоит за роутерами - это две локальные сети. DHCP выдают ИП во внутренние сети и друг друга не видят.

Жаль, что вероятнее всего не подойдет это решение. Если еще каким то образом сделать "туннель" между локалками, теперешняя скорость обмена данными между компами локалки резко упадет. Где-то на этом форуме прочитал, будто скорость обмена между 2 WAN портами роутера равна около всего 4 мегабит в секунду. А тут еще "туннель", айпителевидение корбиновское, онлайн игры, перекачка видео. Сейчас у меня гигабитная сеть между нашими компами, очевидно данные роутеры просто не смогут в полной мере справится с задачей. Значит либо оставаться на той схеме что у меня сейчас (вручную на компах прописывать 2 шлюза с разной метрикой), либо прокладывать второй кабель для вторых WAN портов роутеров.
Ну а если просто какие то маршруты прописать на основном роутере?
asdd
13-04-2009, 11:23
Жаль, что вероятнее всего не подойдет это решение. Если еще каким то образом сделать "туннель" между локалками, теперешняя скорость обмена данными между компами локалки резко упадет. Где-то на этом форуме прочитал, будто скорость обмена между 2 WAN портами роутера равна около всего 4 мегабит в секунду. А тут еще "туннель", айпителевидение корбиновское, онлайн игры, перекачка видео. Сейчас у меня гигабитная сеть между нашими компами, очевидно данные роутеры просто не смогут в полной мере справится с задачей. Значит либо оставаться на той схеме что у меня сейчас (вручную на компах прописывать 2 шлюза с разной метрикой), либо прокладывать второй кабель для вторых WAN портов роутеров.
Ну а если просто какие то маршруты прописать на основном роутере?

Подождите, за роутерами что за устройства стоят? Свич, хаб???????
balma
13-04-2009, 18:53
Подождите, за роутерами что за устройства стоят? Свич, хаб???????

свичи, точнее один свич управляемый алиед телесин на первом. иногда на втором роутере ставим второй свич на 5 портов.
Krevetka
13-04-2009, 19:31
извиняюсь, если не прав, но второй кабель можно и не прокидывать ^^ сделайте из одного кабеля два, ведь сеть 100Мбит использует только 2 пары, а в кабеле их 4, переобожмите и всё.
http://www.overclockers.ru/articles/lan/index.shtml?page2#140
balma
14-04-2009, 06:16
извиняюсь, если не прав, но второй кабель можно и не прокидывать ^^ сделайте из одного кабеля два, ведь сеть 100Мбит использует только 2 пары, а в кабеле их 4, переобожмите и всё.
http://www.overclockers.ru/articles/lan/index.shtml?page2#140

да, наверное можно, если сеть на 100 мегабит. Но я имею локалку на 1 гигабит, и слазить бы не хотелось. Тоже хорошая идея ваша! надо будет на заметку взять. Спасибо. :)
asdd
14-04-2009, 15:35
свичи, точнее один свич управляемый алиед телесин на первом. иногда на втором роутере ставим второй свич на 5 портов.

Свичи? Тогда я так понимаю, что сеть работоспособна проблема только в прописывании метрики на компьютерах? Тогда попробую дать совет - ничего не трогайте, это не самая большая беда.:) Проблем, с которыми вы столкнетесь, намного больше чем кажется и эти изменения этого вряд ли стоят. Но Вас это явно не пугает:D
balma
14-04-2009, 16:08
Проблем, с которыми вы столкнетесь, намного больше чем кажется и эти изменения этого вряд ли стоят. Но Вас это явно не пугает:D

Вот как раз и пугает :). Для уверенности я и поднял вопрос. Я в принципе догадывался, что моя теперешняя схема, с прописанными вручную шлюзами на компах, при данном раскладе наиболее подходящая. Теперь убеждаюсь. Спасибо за ответы!