Bekijk de volledige versie : 2 провайдера с резервированием канала
Задача - организовать на WL-550gE 2 WAN-порта.
Проблема, с которой столкнулся - отсутствует (?) функционал advanced routing'а в прошивке. Т.е. не получается выполнять команды типа ip rule add ... А без этого получается, что ответ на пакет, пришедший через один WAN-порт уходит через другой WAN-порт. В частности, при этом не вяжутся TCP-сессии (SYN & ACK приходят/уходят через разные порты).
Как сие решить?
Задача - организовать на WL-550gE 2 WAN-порта.
Проблема, с которой столкнулся - отсутствует (?) функционал advanced routing'а в прошивке. Т.е. не получается выполнять команды типа ip rule add ... А без этого получается, что ответ на пакет, пришедший через один WAN-порт уходит через другой WAN-порт. В частности, при этом не вяжутся TCP-сессии (SYN & ACK приходят/уходят через разные порты).
Как сие решить?
перекомпилировать прошивку с поддержкой ip advanced routing
перекомпилировать прошивку с поддержкой ip advanced routing
Да ну? :)
зы. возможно, стоить включить эту опцию в стандартный вариант прошивки?
У кого стоит среда, пригодная для рекомпиляции прошивки - сделайте доброе дело, плиз - рекомпилируйте последнюю прошивку от Олега с advanced routing.
ну да. я себе так и сделал для премиума. у меня три wan - для мирового траффика, для ua-ix и резерв.
ну да. я себе так и сделал для премиума. у меня три wan - для мирового траффика, для ua-ix и резерв.
Если не сложно, выложи ip routing / ip rules / iptables для твоей конфигурации, да и саму прошивку тоже :)
зы. я пока OpenWrt юзаю (кстати, веб-интерфейс там очень и очень уже), но, как я понимаю, это не имеет значения.
Нда, который день чувствую себя идиотом.
Поставил прошивку Олега с включенным advanced routing'ом (за что ему спасибо).
Выполняю команды:
robocfg vlan 0 ports "2 3 4 5t" vlan 1 ports "0 5t" vlan 2 ports "1 5t"
vconfig add eth0 2
ifconfig 10.0.2.10 broadcast 10.0.2.255 netmask 255.255.255.0 up
получаю следующее - с роутера пингуется как 10.0.2.10, так и gateway во вторую сеть - 10.0.2.1.
А вот с компьютера - второй гейтвей уже не пингуется... как так получается?
Делаю дальше
iptables -R INPUT 3 -j logaccept -i vlan2 -m state --state NEW
iptables -I FORWARD 2 -j logaccept -i vlan2 -o br0
iptables -I FORWARD 3 -j logaccept -i br0 -o vlan2
результат тот же :(
решил сделать tcpdump, результат вот:
Это вот с роутера пигную:
IP 10.0.2.10 > 10.0.2.1: icmp 84: echo request seq 0
IP 10.0.2.1 > 10.0.2.10: icmp 84: echo reply seq 0
IP 10.0.2.10 > 10.0.2.1: icmp 84: echo request seq 1
IP 10.0.2.1 > 10.0.2.10: icmp 84: echo reply seq 1
arp who-has 10.0.2.1 tell 10.0.2.10
arp reply 10.0.2.1 is-at 00:20:2b:00:20:2b
Это вот - с компьютера:
IP 10.0.0.100 > 10.0.2.1: icmp 40: echo request seq 12557
IP 10.0.0.100 > 10.0.2.1: icmp 40: echo request seq 12813
не понимаю, в чём проблема?
зы. и ещё вопрос - я не очень понимаю, а зачем это вот в nat/POSTROUTING?:
MASQUERADE all -- * br0 10.0.0.0/24 10.0.0.0/24
а маскарадинг во вторую сеть включил?
А зачем?
По-идее, вторая сеть - там свой роутер, который уже и занимается маскарадом на границе с провайдером.
Т.е. у меня такое впечатление, что просто не роутятся пакеты из 10.0.0.0/24 в 10.0.2.0/24. А вот почему - никак понять не могу :(
добавил
iptables -t nat -A POSTROUTING -j MASQUERADE -o vlan2 -s ! 10.0.2.10
пинги пошли. Тогда вопрос - маскарад ~= SNAT, т.е. замена адреса отправителя. А зачем его заменять в данном случае?
зы. у меня такое чувство, что отмечание НГ конкретно повлияло на голову... Блин, где я туплю?? :)
ага
маскарадинг это замена адреса.
вопрос в том знает ли второй роутер про то что сеть 10.0.0.0/24 надо маршрутизировать не по дефолту в сторону провайдера, а на первый роутер?
ага
маскарадинг это замена адреса.
вопрос в том знает ли второй роутер про то что сеть 10.0.0.0/24 надо маршрутизировать не по дефолту в сторону провайдера, а на первый роутер?
второй роутер совсем тяжел в настройке... :(
А касательно входящих соединений - я делаю в соотв. с
http://lartc.org/howto/lartc.rpdb.multiple-links.html#AEN298
и не работает :(
зы. что-то у меня такое чувство, что проблема во втором роутере... Буду исследовать.
Исследовал - таки да, часть проблем была на втором роутере - Network unreachable эта падла генерировала, пока не перегрузил.
Но так и осталась проблема с тем, что при работе чс default gateway != WAN-овскому не работают входящие соединения на компьютер :(
Врагу не сдаётся наш... :)
Решил пойти другим путём - маркировать пакеты и в зависимости от флага отправлять через нужную таблицу роутинга. И нихрена :(
iptables -t mangle -j MARK --set-mark 82 -d 82.144.206.10 <- wan1 IP
ip route add 82.144.206.0/25 dev vlan1 src 82.144.206.10 table 11
ip route add 10.0.0.0/24 dev br0 table 11 <- lan
ip route add 10.0.2.0/24 dev vlan2 table 11 <- wan2 subnet
ip route add 127.0.0.0/8 dev lo table 11
ip route add default via 82.144.206.1 table 11 <- wan1 GW
ip rule add fwmark 82 table 11
ip route delete default
ip route add default gw 10.0.2.1 <- wan2 GP
и шЫш - входящие соединения не работают:(
Вопрос - а откуда iptables берут адрес отправителя при процедуре маскарада? может быть они его берут исходя из значения default gateway? :( А как же тогда быть?
маскарадинг происходит уже после выбора маршрута, гейтвея и т.д. адрес отправителя должен быть адресом интерфейса, который выбран роутингом.
маскарадинг происходит уже после выбора маршрута, гейтвея и т.д. адрес отправителя должен быть адресом интерфейса, который выбран роутингом.
Ок
Но, тем не менее, почему-то перестаёт работать "виртуальный сервер" после того, как я меняю default gateway (table main) на второй канал... Почему так происходит - никак не могу понять :(
Сделал по совету Олега - WAN - дефолтный машрут, и LAN1 (vlan2) - для избранного + виртуальный сервер. Краткое резюме - вирт. сервер не работает :( (как всегда)
Далее - от рестарта и до упора - то что я делаю.
[Admin@gate-volia root]$ iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
657 37002 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
4 240 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
24 1362 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
7 819 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 8 packets, 1767 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
70 21198 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 logdrop all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 logdrop all -- * br0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 1152 packets, 827K bytes)
pkts bytes target prot opt in out source destination
Chain MACS (0 references)
pkts bytes target prot opt in out source destination
Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 logdrop all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logdrop (6 references)
pkts bytes target prot opt in out source destination
7 819 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
7 819 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
[Admin@gate-volia root]$ iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 42 packets, 4648 bytes)
pkts bytes target prot opt in out source destination
7 819 VSERVER all -- * * 0.0.0.0/0 10.0.2.10
Chain POSTROUTING (policy ACCEPT 9 packets, 582 bytes)
pkts bytes target prot opt in out source destination
7 1727 MASQUERADE all -- * vlan1 !10.0.2.10 0.0.0.0/0
0 0 MASQUERADE all -- * br0 10.0.0.0/24 10.0.0.0/24
Chain OUTPUT (policy ACCEPT 9 packets, 582 bytes)
pkts bytes target prot opt in out source destination
Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
[Admin@gate-volia root]$ robocfg vlan 0 ports "2 3 4 5t" vlan 2 ports "1 5t"
[Admin@gate-volia root]$ vconfig add eth0 2
[Admin@gate-volia root]$ ifconfig vlan2 up
[Admin@gate-volia root]$ udhcpc -i vlan2 -r 82.144.206.10 -s /bin/true -b
udhcpc (v0.9.9-pre) started
Sending discover...
Sending select for 82.144.206.10...
Lease of 82.144.206.10 obtained, lease time 3600
[Admin@gate-volia root]$ ifconfig -a
br0 Link encap:Ethernet HWaddr 00:15:F2:3B:37:04
inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::215:f2ff:fe3b:3704/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1565 errors:0 dropped:0 overruns:0 frame:0
TX packets:2393 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:105463 (102.9 KiB) TX bytes:1555945 (1.4 MiB)
vlan0 Link encap:Ethernet HWaddr 00:15:F2:3B:37:04
inet6 addr: fe80::215:f2ff:fe3b:3704/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1626 errors:0 dropped:0 overruns:0 frame:0
TX packets:2395 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:129304 (126.2 KiB) TX bytes:1565673 (1.4 MiB)
vlan1 Link encap:Ethernet HWaddr 00:15:F2:3B:37:04
inet addr:10.0.2.10 Bcast:10.0.2.255 Mask:255.255.255.0
inet6 addr: fe80::215:f2ff:fe3b:3704/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:83 errors:0 dropped:0 overruns:0 frame:0
TX packets:74 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:17195 (16.7 KiB) TX bytes:21199 (20.7 KiB)
vlan2 Link encap:Ethernet HWaddr 00:15:F2:3B:37:04
inet6 addr: fe80::215:f2ff:fe3b:3704/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2886 (2.8 KiB) TX bytes:1270 (1.2 KiB)
[Admin@gate-volia root]$ ifconfig vlan2 82.144.206.10 netmask 255.255.255.128 broadcast 82.144.206.127 up
[Admin@gate-volia root]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.2.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
82.144.206.0 0.0.0.0 255.255.255.128 U 0 0 0 vlan2
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
82.144.0.0 82.144.206.1 255.255.0.0 UG 0 0 0 vlan2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.0.2.1 0.0.0.0 UG 0 0 0 vlan1
[Admin@gate-volia root]$ iptables -t nat -I POSTROUTING 2 -o vlan2 -s ! 82.144.206.10 -j MASQUERADE
[Admin@gate-volia root]$ iptables -t nat -A VSERVER -j DNAT -p tcp --dport 25 --to 10.0.0.101:25
[Admin@gate-volia root]$ iptables -t nat -A VSERVER -j DNAT -p tcp --dport 80 --to 10.0.0.100:80
[Admin@gate-volia root]$ ip link set br0 up
[Admin@gate-volia root]$ ip addr add 10.0.0.1/24 brd + dev br0
RTNETLINK answers: File exists
[Admin@gate-volia root]$ ip rule add prio 50 table main
[Admin@gate-volia root]$ ip route del default table main
[Admin@gate-volia root]$ ip link set vlan2 up
[Admin@gate-volia root]$ ip addr flush dev vlan2
[Admin@gate-volia root]$ ip addr add 82.144.206.10/25 brd 82.144.206.127 dev vlan2
[Admin@gate-volia root]$ ip link set vlan1 up
[Admin@gate-volia root]$ ip addr flush dev vlan1
[Admin@gate-volia root]$ ip addr add 10.0.2.10/24 brd 10.0.2.255 dev vlan1
[Admin@gate-volia root]$ ip rule add prio 201 from 82.144.206.0/25 table 201
[Admin@gate-volia root]$ ip route add default via 82.144.206.1 dev vlan2 src 82.144.206.10 proto static table 201
[Admin@gate-volia root]$ ip route append prohibit default table 201 metric 1 proto static
[Admin@gate-volia root]$ ip rule add prio 202 from 10.0.2.0/24 table 202
[Admin@gate-volia root]$ ip route add default via 10.0.2.1 dev vlan1 src 10.0.2.10 proto static table 202
[Admin@gate-volia root]$ ip route append prohibit default table 202 metric 1 proto static
[Admin@gate-volia root]$ ip rule add prio 222 table 222
[Admin@gate-volia root]$ ip route add default table 222 proto static via 10.0.2.1 dev vlan1
[Admin@gate-volia root]$ ip route add 82.144.0.0/16 via 82.144.206.1
[Admin@gate-volia root]$ ip route get 82.144.25.25
82.144.25.25 via 82.144.206.1 dev vlan2 src 82.144.206.10
cache mtu 1500 advmss 1460
[Admin@gate-volia root]$
В каком месте я дурак?
Всё остальное работает?
Сейчас не хватает правила, которое собственно и разрешит виртуальные сервера для vlan2.
Что-то типа
iptables -t nat -A PREROUTING -d 1.1.1.1 -j VSERVER
1.1.1.1 нужно заменить на адрес vlan2.
Да, остальное работает. Добавил правило - не помогло :(
Если кратко, что я делаю после ребута (настройка в веб-интерфейсе - 10.0.2.10 - Static IP):
robocfg vlan 0 ports "2 3 4 5t" vlan 2 ports "1 5t"
vconfig add eth0 2
ifconfig vlan2 up
udhcpc -i vlan2 -r 82.144.206.10 -s /bin/true -b
ifconfig vlan2 82.144.206.10 netmask 255.255.255.128 broadcast 82.144.206.127 up
iptables -t nat -I POSTROUTING 2 -o vlan2 -s ! 82.144.206.10 -j MASQUERADE
iptables -t nat -A VSERVER -j DNAT -p tcp --dport 25 --to 10.0.0.101:25
iptables -t nat -A VSERVER -j DNAT -p tcp --dport 80 --to 10.0.0.100:80
iptables -t nat -R PREROUTING 1 -j VSERVER -d 82.144.206.10
ip route add 82.144.0.0/16 via 82.144.206.1
И вот так выглядит активность, когда гугль пытается зайти на 82.144.206.10:80
[Admin@gate-volia root]$ tcpdump -i vlan2 "not port 23"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan2, link-type EN10MB (Ethernet), capture size 68 bytes
00:21:20.453788 IP nf-out-f136.google.com.56396 > smart-group.biz.www: S 1169836405:1169836405(0) win 8190 <mss 1460>
00:21:21.456722 IP nf-out-f136.google.com.56396 > smart-group.biz.www: S 1169836405:1169836405(0) win 8190 <mss 1460>
00:21:23.467582 IP nf-out-f136.google.com.56396 > smart-group.biz.www: S 1169836405:1169836405(0) win 8190 <mss 1460>
00:21:27.474981 IP nf-out-f136.google.com.56396 > smart-group.biz.www: S 1169836405:1169836405(0) win 8190 <mss 1460>
00:21:35.484796 IP nf-out-f136.google.com.56396 > smart-group.biz.www: S 1169836405:1169836405(0) win 8190 <mss 1460>
00:21:51.492311 IP nf-out-f136.google.com.56396 > smart-group.biz.www: S 1169836405:1169836405(0) win 8190 <mss 1460>
00:21:59.097842 IP washer.volia.net.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 302
00:22:23.497599 IP nf-out-f136.google.com.56396 > smart-group.biz.www: S 1169836405:1169836405(0) win 8190 <mss 1460>
...
До меня (кажется) начало доходить, почему проблема получается.
Решение о том, куда роутить пакет, принимается до nat/POSTROUTING
http://iptables-tutorial.frozentux.net/images/tables_traverse.jpg
Допустим, пакет пришел с 4.4.4.4 на 82.144.206.10:80, его DNAT'нуло на 10.0.0.100:80, и генерируется ответный пакет. Роутер его видит как из br0 S:10.0.0.100, D:4.4.4.4. И не знает, что его надо отроутить назад на 82.144.206.1, и роутит по дефолту на 10.0.2.1. Потом уже срабатывает SNAT и заменяет S10.0.0.100 на S10.0.2.10. Вот и получается разрыв в цепочке.
Есть чувство, что нужно использовать CONNMARK, чтобы по первому пакету отмаркировать и все относящиеся к нему, а дальше уже по fwmark определять, куда роутить. Но оно есть начиная с 2.6 ядра. Может есть ещё какие варианты? Хелп!
Хотя нашел вот - kernel-module-ipt-conntrack_2.4.22.l2.3r63-r17_ixp4xxbe.ipk... но ставить боязно, да и не факт, что встанет.
А причём тут гугль? Он находится _вне_ сети 82.144.0.0/16.
гугль - это просто пример того, что происходит, когда приходит входящий коннект откуда-нить на 82.144.206.10. Syn приходит, а Syn-ack-ответ отсылается с другого ИП :( И, соотв, Tcp не получается.
Т.е. Вам это нужно не для локальной сети, а как второй внешний Ip?
Вы уверены, что в ответе неверный адрес? Скорее всего адрес верный, но уходит с дефолтного интерфейса. Проверьте. Если это так, то решается просто.
Т.е. Вам это нужно не для локальной сети, а как второй внешний Ip?
Вы уверены, что в ответе неверный адрес? Скорее всего адрес верный, но уходит с дефолтного интерфейса. Проверьте. Если это так, то решается просто.
А как сие посмотреть? У меня почему-то так сложилось, что нет удалённой машины для проверок... Посему проще, наверное, попробовать "решить просто" и посмотреть, сработает или нет :)
Хотя я не совсем понимаю, как может оказаться на дефолтном интерфейсе не тот адрес, что нужно - у меня ведь в nat/postrouting стоят snat'ы, которые меняют source-адреса в зависимости от того, с какого интерфейса им уходить...
iptables -t nat -A POSTROUTING -j SNAT -o vlan1 -s 10.0.0.0/255.255.255.0 --to-source 82.144.206.10
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 10.0.0.0/255.255.255.0 --to-source 10.0.2.10
Можно, конечно, попробовать сделать маркирование пакетов в mangle/FORWARD на основе того, с какого ИП:порта они пришли... Но тогда нужно будет прописывать алгоритмы работы для всех протоколов (т.е., по сути, вручную частично делать connmark) в общем случае, хотя для 25/80/443 вполне может сработать, т.к. больше с этих портов, вроде как, ничего идти не должно, кроме как smtp/http/ssl трафик...
Ну так tcpdump на что? :)
Добавить опцию -n, станут видны адреса.
Как я проверяю - удалённый сайт получет ответ со моего 17-го порта (QOTD) и рисует его на своей страничке. Если сайт мне нарисовал ответ - значит всё ок.
Как выглядит до смены default route
[Admin@gate-volia root]$ tcpdump -n -i vlan1 "not port 23"
listening on vlan1, link-type EN10MB (Ethernet), capture size 68 bytes
16:59:59.865069 IP 82.144.206.10.9251 > 72.232.51.250.80: P 1877100124:1877100680(556) ack 1705477852 win 65311
17:00:00.079639 IP 72.232.51.250.28248 > 82.144.206.10.17: S 1190268483:1190268483(0) win 16384 <mss 1460,nop,nop,sackOK,nop,wscale 0,nop,nop,[|tcp]>
17:00:00.081832 IP 82.144.206.10.17 > 72.232.51.250.28248: S 3216678882:3216678882(0) ack 1190268484 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp]>
17:00:00.222711 IP 72.232.51.250.80 > 82.144.206.10.9251: . ack 556 win 17520
17:00:00.248309 IP 72.232.51.250.28248 > 82.144.206.10.17: . ack 1 win 16384 <nop,nop,timestamp 2338245289 0>
17:00:00.249419 IP 72.232.51.250.28248 > 82.144.206.10.17: P 1:7(6) ack 1 win 16384 <nop,nop,timestamp 2338245289 0>
17:00:00.249869 IP 82.144.206.10.17 > 72.232.51.250.28248: P 1:167(166) ack 1 win 65535 <nop,nop,timestamp 770809 2338245289>
17:00:00.250064 IP 82.144.206.10.17 > 72.232.51.250.28248: F 167:167(0) ack 1 win 65535 <nop,nop,timestamp 770809 2338245289>
17:00:00.250416 IP 82.144.206.10.17 > 72.232.51.250.28248: R 168:168(0) ack 7 win 0
17:00:00.416112 IP 72.232.51.250.28248 > 82.144.206.10.17: . ack 168 win 16384 <nop,nop,timestamp 2338245290 770809>
17:00:00.417244 IP 72.232.51.250.28248 > 82.144.206.10.17: F 7:7(0) ack 168 win 16384 <nop,nop,timestamp 2338245290 770809>
17:00:00.417665 IP 82.144.206.10.17 > 72.232.51.250.28248: R 3216679050:3216679050(0) win 0
17:00:00.417997 IP 82.144.206.10.17 > 72.232.51.250.28248: R 3216679050:3216679050(0) win 0
17:00:00.428218 IP 72.232.51.250.80 > 82.144.206.10.9251: . 1:1461(1460) ack 556 win 17520
17:00:00.429309 IP 72.232.51.250.80 > 82.144.206.10.9251: . 1461:2921(1460) ack 556 win 17520
17:00:00.429326 IP 72.232.51.250.80 > 82.144.206.10.9251: P 2921:3363(442) ack 556 win 17520
17:00:00.430300 IP 82.144.206.10.9251 > 72.232.51.250.80: . ack 2921 win 65535
17:00:00.466631 IP 82.144.206.10.9252 > 209.85.135.147.80: P 2288942072:2288942832(760) ack 830544282 win 65535
17:00:00.569572 IP 82.144.206.10.9251 > 72.232.51.250.80: . ack 3363 win 65093
И после смены (по каждому интерфейсу отдельно - vlan1 - 82.144.., vlan2 - 10.0.2...)
[Admin@gate-volia root]$ tcpdump -i vlan1 -n "not port 23"
listening on vlan1, link-type EN10MB (Ethernet), capture size 68 bytes
16:54:11.671219 IP 72.232.51.250.1522 > 82.144.206.10.17: S 1724337773:1724337773(0) win 16384 <mss 1460,nop,nop,sackOK,nop,wscale 0,nop,nop,[|tcp]>
16:54:17.665383 IP 72.232.51.250.1522 > 82.144.206.10.17: S 1724337773:1724337773(0) win 16384 <mss 1460,nop,nop,sackOK,nop,wscale 0,nop,nop,[|tcp]>
16:54:29.662210 IP 72.232.51.250.1522 > 82.144.206.10.17: S 1724337773:1724337773(0) win 16384 <mss 1460,nop,nop,sackOK,nop,wscale 0,nop,nop,[|tcp]>
[Admin@gate-volia root]$ tcpdump -i vlan2 -n "not port 23"
listening on vlan2, link-type EN10MB (Ethernet), capture size 68 bytes
16:55:03.865971 IP 10.0.2.10.9239 > 72.232.51.250.80: S 2281836523:2281836523(0) win 65535 <mss 1460,nop,nop,sackOK>
16:55:04.038738 IP 72.232.51.250.80 > 10.0.2.10.9239: S 110239721:110239721(0) ack 2281836524 win 16384 <mss 1460,nop,nop,sackOK>
16:55:04.040603 IP 10.0.2.10.9239 > 72.232.51.250.80: . ack 1 win 65535
16:55:04.040790 IP 10.0.2.10.9239 > 72.232.51.250.80: P 1:557(556) ack 1 win 65535
16:55:04.418569 IP 72.232.51.250.80 > 10.0.2.10.9239: . ack 557 win 16944
16:55:34.287409 IP 72.232.51.250.80 > 10.0.2.10.9239: . 1:1413(1412) ack 557 win 16944
16:55:34.299956 IP 72.232.51.250.80 > 10.0.2.10.9239: . 1413:2825(1412) ack 557 win 16944
16:55:34.300898 IP 10.0.2.10.9239 > 72.232.51.250.80: . ack 2825 win 65535
16:55:34.476148 IP 72.232.51.250.80 > 10.0.2.10.9239: P 2825:3145(320) ack 557 win 16944
16:55:34.617525 IP 10.0.2.10.9239 > 72.232.51.250.80: . ack 3145 win 65215
ps. попробовал маркировать пакеты в mangle/FORWARD и на основе этого роутить - не помогло почему-то...
pps. может кому пригодится - сайт, через который проверяю - http://www.blackcode.com/scripts/toolbox.php - там (для себя) выбираю 17 порт и grab banner отмечаю.
Из того, что Вы написали, я вижу, что у Вас не работает маскарадинг.
Либо я Вообще не понимаю, что у Вас там за траффик.
И зачем Вы опять вернулись к идее замены дефолтного маршрута...
Вернулся по достаточно простой причине - мне нужна стабильная работа канала, а пока не настрою всё - я nvram/flash не дёргаю, чтобы reboot возвращал к начальным установкам.
В общем, сеть выглядит где-то так:
http://i.piccy.kiev.ua/i/0a/89/c66ca64e6d478440042cfe2eb042.gif
82.144.206.10 - реальный ИП, коннекты инициируются снаружи и с него форвардятся порты вовнутрь (получение адреса через DHCP, но он не может измениться)
91.х.х.х - какой-то динамический ИП, коннекты инициируются только от меня
10.0.2.0/24 - сеть на адсл-роутере
10.0.0.0/24 - локальная сеть
Задача - оставить 82.144.206.10 на обслуживание входящих соединений (сайт, почта и т.п.) + роутить через него несколько исходящих маршрутов, а всё остальное пускать через 10.0.2.10.
Для тех, кто не читал предыдущее, при выполнении следующих команд сразу после reboot'а (например, для форварда 17-го порта)
robocfg vlan 0 ports "2 3 4 5t" vlan 2 ports "1 5t"
vconfig add eth0 2
ifconfig vlan2 10.0.2.10 netmask 255.255.255.0 broadcast 10.0.2.255 up
iptables -t nat -A PREROUTING -j VSERVER -d 10.0.2.10
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -j SNAT -o vlan1 -s 10.0.0.0/24 --to-source 82.144.206.10
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 10.0.0.0/24 --to-source 10.0.2.10
iptables -t nat -A POSTROUTING -j MASQUERADE -o br0 -s 10.0.0.0/24 -d 10.0.0.0/24
iptables -t nat -A VSERVER -j DNAT -p tcp --dport 17 --to 10.0.0.100:17
iptables -t mangle -A FORWARD -j MARK --set-mark 82 -i br0 -s 10.0.0.100 -p tcp --sport 17
ip route add 82.144.206.0/25 dev vlan1 table 82
ip route add 10.0.0.0/24 dev br0 table 82
ip route add default via 82.144.206.1 prio 82 table 82
ip rule add fwmark 82 table 82 prio 82
ip route del default
ip route add default via 10.0.2.1
всё работает как и задумано, кроме форвардинга портов, вернее как, они-то форвардятся - пакет на комп приходит, от вот ответ от компа уходит через другой маршрут (и, соотв, на выходе после SNAT'а - с другим ИП-адресом), что делает невозможным TCP-соединения и т.п.
Я вижу решение проблемы через использоваие CONNMARK для маркировки входящих через 82.144.206.10 пакетов и на основе метки - исходящего роутинга. Но проблема в том, что CONNMARK отсутствует в iptables прошивки, и не факт, что это единственное (и правильное) решение - т.к. маркировка в mangle/FORWARD не помогает, что несколько странно...
Any thoughts?:confused:
Я тут так подумал, что, возможно, нужно проблему решать путём отказа от DNAT/SNAT в iptables, и использованием только iproute2 с его возможностью nat'а... И порты, на которые форвард идёт отсекать с помощью iptables...
Что скажут гуру? Завтра попробую эту идею...
Не помогло... У меня потихоньку складывается впечатление, что что-то в прошивке не так работает, как должно в соотв. с документацией, при смене default route... В частности, перестаёт работать DNAT почему-то... А почему?
Up. Так что, никто не делал аналогичную топологию сети, или чего?
Если делали и оно работало - поделитесь конфигами... Потому что у меня творческий затыГ.
Несмотря на глюк в прошивке с fwmark, я таки добился своего. К сожеланию, только настройкой роутера обойтись не удалось (надеюсь, после исправлению глюков в прошивке с fwmark + CONNMARK, всё можно будет сделать только на роутере, без добавления IP).
На внутрисетевых серверах я добавил по ещё одному IP-адресу (10.0.0.5Х) после чего добавил ip rule add from 10.0.0.5X, и всё заработало.
Винда выбирает основной IP-адрес для всех новых соединений, так что если происходит выход в инет, то он идёт с адреса 10.0.0.10Х, но если коннект приходит на второй IP-адрес, то и ответ, естественно, идёт с него, и ответ этот мы уже роутим так, как нам надо.
В командах на роутере это выглядит так вот:
robocfg vlan 0 ports "2 3 4 5t" vlan 2 ports "1 5t"
vconfig add eth0 2
ifconfig vlan2 hw ether 00:88:00:88:00:88
ifconfig vlan2 192.168.1.15 netmask 255.255.255.0 broadcast 192.168.1.255 up
iptables -t nat -A PREROUTING -j VSERVER -d 192.168.1.15
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -j SNAT -o vlan1 -s 10.0.0.0/24 --to-source 82.144.206.10
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 10.0.0.0/24 --to-source 192.168.1.15
iptables -t nat -A POSTROUTING -j MASQUERADE -o br0 -s 10.0.0.0/24 -d 10.0.0.0/24
ip route add 82.144.206.0/25 dev vlan2 table 82
ip route add 10.0.0.0/24 dev br0 table 82
ip route add default via 82.144.206.1 prio 82 table 82
ip rule add from 10.0.0.50 table 82 prio 82
ip rule add from 10.0.0.51 table 82 prio 82
ip route delete default
ip route add default via 192.168.1.1
всё это записать нужно в post-firewall
Аналогичная конфигурация с аналогичными проблемами :)
возлагал большие проблемы на перекомпиляцию прошивки, и только потом выяснил что CONNMARK не поддерживается :(
отсюда два вопроса
1) Более простое решение не появилось?
2) есть ли возможность "подменить" ядро 2.4.20 на 2.6.чтонибудь, или это в принципе невозможно?
3) Олег писал
"Скорее всего адрес верный, но уходит с дефолтного интерфейса. Проверьте. Если это так, то решается просто."
у меня именно так.
как это можно решить без CONNMARK?
Я пока о решении проще ничего не знаю :)
Настроил на двойные ИП - минусы очевидны (нужно трогать компы, вместо только роутера), но есть и сильный плюс - очень просто (без пинания роутера) таким образом на компе выбрать, какой канал использовать - биндишься к одному ИП - идёт туда, к другому - сюда :)
Так или иначе - конфигурация работает с начала года безотказно, но нужно следить, какой ИП юзает софт. Единственно что - UPnP лучше отключить, потому как иначе может случайно открыть порты не так, где нужно.
ну да. я себе так и сделал для премиума. у меня три wan - для мирового траффика, для ua-ix и резерв.
А можно ли скачать прошивку?
Ибо сборку прошивки не ослилю :(
У меня то же премиум, только 2 wan порта надо
Вот такая конфигурация сделана как на картинке:
Итерфейсы подняты ( адреса все статические , но это не важно ) :
Kernel IP routing table:
Destination Gateway Genmask Flags Metric Ref Use Iface
172.16.0.1 * 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
83.167.107.0 * 255.255.255.0 U 0 0 0 vlan2
10.9.247.0 * 255.255.255.0 U 0 0 0 vlan1
77.50.0.0 * 255.255.0.0 U 0 0 0 vlan1
10.0.0.0 * 255.0.0.0 U 0 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 172.16.0.1 0.0.0.0 UG 0 0 0 ppp0
PPP линк работает через VLAN1.
Вот iptables :
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
7 288 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 tcpmss match 1453:65535TCPMSS set 1452
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
Chain OUTPUT (policy ACCEPT 4 packets, 261 bytes)
pkts bytes target prot opt in out source destination
Chain MACS (0 references)
pkts bytes target prot opt in out source destination
Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Вот iptables -t nat:
Chain PREROUTING (policy ACCEPT 1687 packets, 374K bytes)
pkts bytes target prot opt in out source destination
78 11404 VSERVER all -- * * 0.0.0.0/0 83.167.107.Y
76 6736 VSERVER all -- * * 0.0.0.0/0 77.50.63.X
160 11868 VSERVER all -- * * 0.0.0.0/0 10.9.247.Z
0 0 NETMAP udp -- * * 0.0.0.0/0 77.50.63.X udp spt:6112 192.168.1.0/24
Chain POSTROUTING (policy ACCEPT 430 packets, 25851 bytes)
pkts bytes target prot opt in out source destination
0 0 NETMAP udp -- * * 192.168.1.0/24 0.0.0.0/0 udp dpt:6112 77.50.63.X/32
205 11035 MASQUERADE all -- * ppp0 !77.50.63.X 0.0.0.0/0
0 0 MASQUERADE all -- * vlan2 !83.167.107.Y 0.0.0.0/0
16 888 MASQUERADE all -- * vlan1 !10.9.247.Z 0.0.0.0/0
4 530 MASQUERADE all -- * br0 192.168.1.0/24 192.168.1.0/24
Chain OUTPUT (policy ACCEPT 385 packets, 23629 bytes)
pkts bytes target prot opt in out source destination
Chain VSERVER (3 references)
pkts bytes target prot opt in out source destination
93 5312 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.3:80
Как видно из цепочек , поднят виртуальный web сервер.
Проблема в том, что для интерфейса ppp0 - ( 77.50.63.X ) веб сервер работает - я могу зайти извне на 80 порт и пробрасываюсь DNAT ом на внутренний 192.168.1.3.
На втором интерфейсе ( 83.167.107.Y ) виртуальный веб сервер НЕ работает.
1) Запускаем tcpdump на интефейсе веб сервера , пытаемся зайти на 80 порт ( 83.167.107.Y ) - тишина. Пакетов нет.
Начинаю поочередно включать логгирование на цепочках, пакеты успечно доходят до цепочки :
Chain VSERVER (3 references)
pkts bytes target prot opt in out source destination
93 5312 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.3:80
то,есть DNAT работает.
Почему они не отправляются на br0 ? Непонятно.
Source у них остается прежним ( внешний адрес из интернета ) а destination изменен на 192.168.1.3.
На br0 нет ничего, просто тишина.
Я бы понимал, если бы первый входящий пакет SYN дошел бы до внутреннего сервера, и он бы ответил, но я ничего не вижу.
Теперь внимание хинт:
Меняю default route в таблице маршрутицации на VLAN2 и 83.167.107.Y,
виртуальный сервер на интерфейсе VLAN2 начинает работать, а на ppp0 - перестает.
В чем проблема, кто подскажет ?
PS - из локальной сети ( 10.0.0.0 ) то что на картинке обозначено LOCALNET портфорвардинг работает при любом дефолтном гейтвее
Скажем так частично.
У меня
vlan1 - ppp0
vlan2 - ppp1
так при запуске иногда ppp1 долго запускается,
приходится руками запускать скрипт добавления роутов + правил для iptables.
кажется я докапался в чем проблема.
оказывается, по умолчанию в ядре включен rp_filter. Это из за него пакет после DNAT дропался не попадая в роутинговые таблицы.
Лечится вот так:
echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter
где нить в post-boot
После отключения, все заработало как и ожидалось :) - SYN приходит на сервак, ACK - улетает по дефолтному маршруту, и TCP соединение НЕ устанавливается. Кроме назначения второго IP для сервера кто нить знает методы решения ?
да, настроил пока c двумя алиасами на интерфейсах на сервере, все работает. Если интересно , расскажу как
Ситуация у меня такая: есть два провайдера (Ethernet и PPPoE) и моя маленькая локалка. Возможно ли настроить роутер так, чтобы часть компьютеров из локалки ходила в интернет через одного провайдера, а оставшиеся - через другого и при этом компьютеры видели расшареные ресурсы друг друга внутри локалки? И если такое возможно, то как это воплотить?
AndreyPopov
04-06-2008, 16:49
Ситуация у меня такая: есть два провайдера (Ethernet и PPPoE) и моя маленькая локалка. Возможно ли настроить роутер так, чтобы часть компьютеров из локалки ходила в интернет через одного провайдера, а оставшиеся - через другого и при этом компьютеры видели расшареные ресурсы друг друга внутри локалки? И если такое возможно, то как это воплотить?
тема: инструкция по настройке WL-500g deluxe с нуля
и ваш конкретно вопрос рассмотрен в пункте 13) Настройка нескольких WAN
и ваш конкретно вопрос рассмотрен в пункте 13) Настройка нескольких WAN
Как я понимаю, в п.13 написано, как включить второй WAN. К сожалению, мои познания в Linux не велики и хотелось бы получить более подробные рекомендации как именно настроить роутер (в какой WAN какого провайдера лучше определить, как настроить DHCP внутри локалки или лучше забить IP ручками, как настроить получение IP на втором WAN, какие маршруты прописывать и т.д.). Я понимаю, что хочу слишком многого, но вдруг у кого-то похожая ситуация и всё уже настроено...
AndreyPopov
05-06-2008, 00:02
Как я понимаю, в п.13 написано, как включить второй WAN. К сожалению, мои познания в Linux не велики и хотелось бы получить более подробные рекомендации как именно настроить роутер (в какой WAN какого провайдера лучше определить, как настроить DHCP внутри локалки или лучше забить IP ручками, как настроить получение IP на втором WAN, какие маршруты прописывать и т.д.). Я понимаю, что хочу слишком многого, но вдруг у кого-то похожая ситуация и всё уже настроено...
вам придется разбираться самому. мы только можем помочь, если что-то не будет получаться. но берите и изучайте ВСЮ инструкцию с самого начала! вам все равно это придется сделать, прежде чем вы дойдете до п.13 :D
Требуется помощь зала. Попробую объяснить подробнее, чего хочу добиться. Есть два провайдера - Акадо (каб. модем) и Старнет (PPPoE) и две внутренние (мои домашние) сетки 172.16.0.* и 172.16.1.*. Я хочу в итоге получить, чтобы 172.16.1.* ходила в интернет через Акадо (для чего был активирован WAN2), а 172.16.0.* - через Старнет (настроен и работает на штатном WAN). Желательно, чтобы при этом внутренние сетки могли видеть расшаренные ресурсы внутри друг друга.
По результатам прочтения форума были произведены некоторые действия. А именно:
nvram set vlan0ports="2 3 4 5*"
nvram set vlan2ports="1 5"
nvram set vlan2hwname=et0
nvram commit
reboot
В /usr/loca/sbin были созданы файлы post-boot
dropbear > /dev/null 2>&1
ifconfig vlan2 hw ether 00:30:84:2D:B2:7D
ifconfig vlan2 217.10.34.ххх netmask 255.255.255.0 up
route add -net 172.16.1.0 netmask 255.255.255.0 gw 217.10.34.1
и post-firewall
iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY
iptables -A FORWARD -i vlan2 -m state --state NEW -j SECURITY
iptables -t nat -A POSTROUTING -o vlan2 ! -s 217.10.34.ххх -j MASQUERADE
kill -HUP 'pidof dnsmasq'
, а также файл dnsmasq.conf в /usr/local/etc
server=217.10.44.35
server=217.10.39.4
server=217.10.36.5
Результаты robocfg show
Switch: enabled
Port 0: 100FD enabled stp: none vlan: 1 mac: 00:00:00:00:00:00
Port 1: DOWN enabled stp: none vlan: 2 mac: 00:00:00:00:00:00
Port 2: 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 3: 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 4: 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 5: 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
VLANs: BCM5325/535x enabled mac_check mac_hash
0: vlan0: 2 3 4 5t
1: vlan1: 0 5t
2: vlan2: 1 5t
Результаты ifconfig -a
br0 Link encap:Ethernet HWaddr 00:1F:C6:3D:99:AB
inet addr:172.16.0.1 Bcast:172.16.255.255 Mask:255.255.0.0
inet6 addr: fe80::21f:c6ff:fe3d:99ab/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5528 errors:0 dropped:0 overruns:0 frame:0
TX packets:1331 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:341468 (333.4 KiB) TX bytes:501746 (489.9 KiB)
eth0 Link encap:Ethernet HWaddr 00:1F:C6:3D:99:AB
inet6 addr: fe80::21f:c6ff:fe3d:99ab/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:19005 errors:0 dropped:0 overruns:0 frame:0
TX packets:1657 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1734363 (1.6 MiB) TX bytes:536678 (524.0 KiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:1F:C6:3D:99:AB
inet6 addr: fe80::21f:c6ff:fe3d:99ab/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:115286
TX packets:715 errors:174 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:274927 (268.4 KiB)
Interrupt:12 Base address:0x2000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:1762 errors:0 dropped:0 overruns:0 frame:0
TX packets:1762 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:149530 (146.0 KiB) TX bytes:149530 (146.0 KiB)
ppp0 Link encap:Point-Point Protocol
inet addr:81.200.127.xxx P-t-P:192.168.215.xxx Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1492 Metric:1
RX packets:114 errors:0 dropped:0 overruns:0 frame:0
TX packets:104 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:58024 (56.6 KiB) TX bytes:18489 (18.0 KiB)
sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
vlan0 Link encap:Ethernet HWaddr 00:1F:C6:3D:99:AB
inet6 addr: fe80::21f:c6ff:fe3d:99ab/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5529 errors:0 dropped:0 overruns:0 frame:0
TX packets:1333 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:363630 (355.1 KiB) TX bytes:507226 (495.3 KiB)
vlan1 Link encap:Ethernet HWaddr 00:1F:C6:3D:99:AB
inet addr:10.10.215.xxx Bcast:10.10.215.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ff:fe3d:99ab/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13474 errors:0 dropped:0 overruns:0 frame:0
TX packets:321 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1028511 (1004.4 KiB) TX bytes:29234 (28.5 KiB)
Через Старнет всё ходит без проблем, а вот через Акадо настроить не могу... Подскажите чего где исправить или дописать надо? В том числе и на стороне компьютеров в локалке...
PS 217.10.34.xxx - внешний IP в Акадо
81.200.127.xxx - внешний IP в Старнете
10.10.215.xxx - локальный IP в Старнете
172.16.0.1 - IP ASUS'а в локалке
Подскажите, пожалуйста по маршрутам. Мне нужно, чтоб часть компьютеров из моей локалки (172.16.0.*) ходила в интернет через Старнет (192.168.215.ххх), а другая (172.16.1.*) через Акадо (217.10.34.ххх). А у меня на данный момент все ходят через Старнет.
Вот что говорит route -n:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.215.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
172.16.1.0 217.10.34.1 255.255.255.0 UG 0 0 0 vlan2
10.10.215.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
217.10.34.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan2
10.10.0.0 10.10.215.1 255.255.0.0 UG 1 0 0 vlan1
172.16.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.215.1 0.0.0.0 UG 0 0 0 ppp0
Чувствую, что чего-то не хватает, а вот чего - не знаю.
Шлюз в Акадо - 217.10.34.1
IP мой в Акадо - 217.10.34.ххх
AndreyPopov
06-06-2008, 15:00
Подскажите, пожалуйста по маршрутам. Мне нужно, чтоб часть компьютеров из моей локалки (172.16.0.*) ходила в интернет через Старнет (192.168.215.ххх), а другая (172.16.1.*) через Акадо (217.10.34.ххх). А у меня на данный момент все ходят через Старнет.
Вот что говорит route -n:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.215.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
172.16.1.0 217.10.34.1 255.255.255.0 UG 0 0 0 vlan2
10.10.215.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
217.10.34.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan2
10.10.0.0 10.10.215.1 255.255.0.0 UG 1 0 0 vlan1
172.16.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.215.1 0.0.0.0 UG 0 0 0 ppp0
Чувствую, что чего-то не хватает, а вот чего - не знаю.
Шлюз в Акадо - 217.10.34.1
IP мой в Акадо - 217.10.34.ххх
для вашего конкртного случая вам надо сделать ЧЕТЫРЕ vlan.
не привязываясь к тому, что у вас уже есть, должно выглядеть так:
vlan1 -> WAN1 (Старнет)
vlan2 -> LAN1 (172.16.0.x)
vlan3 -> WAN2 (Акадо)
vlan4 -> LAN2 (172.16.1.x)
для LAN1 прописать DefaultGateway IP адрес WAN1
для LAN2 прописать DefaultGateway IP адрес WAN2
MrGalaxy
06-06-2008, 19:19
Господа, подскажите чайнику.
Если я назначу один из портов lan, чтобы он стал wan, то где в настройках роутера через web-морду я должен буду прописывать его параметры?
Или это надо делать только вручную через телнет?
Если я назначу один из портов lan, чтобы он стал wan
А Вы "назначать" тоже собрались через web-интерфейс? ;)
MrGalaxy
06-06-2008, 20:12
А Вы "назначать" тоже собрались через web-интерфейс? ;)Так его же через веб-интерф. не назначишь...
для вашего конкртного случая вам надо сделать ЧЕТЫРЕ vlan.
Набрёл в сети вот на такой (http://opennet.ru/base/net/debian_multilink.txt.html) вариант настройки, правда на ББ. Можно ли его переписать под ASUS? Тогда, наверное, можно было бы обойтись WAN, WAN2 и br0, как интерфесом локалки... Только я не знаю, как скрипты в автозапуск прописать... :(
Или это надо делать только вручную через телнет?
Насколько я знаю, через web-интерфейс нет возможности настраивать дополнительные WAN.
AndreyPopov
06-06-2008, 22:14
Набрёл в сети вот на такой (http://opennet.ru/base/net/debian_multilink.txt.html) вариант настройки, правда на ББ. Можно ли его переписать под ASUS? Тогда, наверное, можно было бы обойтись WAN, WAN2 и br0, как интерфесом локалки... Только я не знаю, как скрипты в автозапуск прописать... :(
интересно, как же вы собираетесь получить НЕЗАВИСИМЫЕ интерфейсы, чтобы им присваивать адреса?
я же вам для того и советую VLAN сделать, чтобы КАЖДОМУ дать СВОЙ IP адрес и MAC адрес если надо!
а потом можете настраивать дальше iptables.
Avg0n,
для начала неплохо бы разобраться сколько на самом деле физических подключений к роутеру. Т.е. сколько реально сетевых кабелей подключено.
Вариантов ведь много может быть.
1) Оба провайдера и обе локалки подключены одним кабелем.
2) Оба провайдера подключены одним кабелем, обе локалки - другим кабелем.
3) Четыре кабеля.
4) Иные комбинации при подключении двумя и тремя кабелями.
Avg0n,
Т.е. сколько реально сетевых кабелей подключено.
Каждый провайдер своим кабелем, а локалки... Я хотел разбить всё хозяйство на две части, ручками забив им IP. А подключить к роутеру и по кабелю в оставшиеся порты и по воздуху...
Можно, как вариант, разбить 172.16.0.0 на два диапазона... Вообщем, нужно как-то разделить внутренние компы по провайдерам... Повторюсь, что сеть домашняя, присутствуют КПК и ноут, которые подключаются по воздуху...
Можно, как вариант, разбить 172.16.0.0 на два диапазона...
Т.е., если я правильно понял, есть два провайдера и своя маленькая домашняя сеть. Если не секрет - в чем смысл разбивки крошечной сети на разные диапазоны?
Сколько всего компов в домашней сети? Два? Три?
Если не секрет - в чем смысл разбивки крошечной сети на разные диапазоны?
Сколько всего компов в домашней сети? Два? Три?
Есть потребность запускать часть компьютеров через одного прова (2 штука), а остальные, в том числе и ноут с КПК (5 штука) - через другого. Думал разбивать на диапазоны, чтоб маршрутов на роутере писать поменьше пришлось... Если есть предложения по более простому решению - рад буду услышать, т.к. не силён я в сетях...
Забыл добавить, что все компьютеры должны видеть расшареные ресурсы друг друга.
AndreyPopov
07-06-2008, 11:14
Есть потребность запускать часть компьютеров через одного прова (2 штука), а остальные, в том числе и ноут с КПК (5 штука) - через другого. Думал разбивать на диапазоны, чтоб маршрутов на роутере писать поменьше пришлось... Если есть предложения по более простому решению - рад буду услышать, т.к. не силён я в сетях...
Забыл добавить, что все компьютеры должны видеть расшареные ресурсы друг друга.
для таких задач лучше было взять ДВА отдельных роутера.
а компы внутренние оставить в одной сетке, просто одним прописать Defaul Gateway IP адрес одного роутера, а вторым другого роутера.
разбивая порты роутера на VLAN's вы в общем-то как бы из него делаете "несколько" ;)
проблема в том, на сколько кпадет производительность роутера при таком раскладе. потому как маршоутизация занимает ресурсы роутера и общая скорость может значительно снизиться.
для таких задач лучше было взять ДВА отдельных роутера.
а компы внутренние оставить в одной сетке, просто одним прописать Defaul Gateway IP адрес одного роутера, а вторым другого роутера.
проблема в том, на сколько кпадет производительность роутера при таком раскладе. потому как маршоутизация занимает ресурсы роутера и общая скорость может значительно снизиться.
Один роутер прекрасно справится с этой задачей.
Локальные компы действительно лучше прописать в одной сети, но совершенно по другой причине.
Процессорное время жрут только pptp и l2tp. Да и то только на толстых каналах. От нескольких мегабит и выше.
А pppoe и, тем более, интернет без всяких VPN с обычным дефолтным шлюзом практически никакой нагрузки не дадут. Я полагаю роутер легко будет делать до 100 мбит без ощутимых последствий.
Один роутер прекрасно справится с этой задачей.
Я, надеясь на это, и купил 500gP. Теперь осталось его настроить... "Поможите, кто чем може!". :о)
MrGalaxy
10-06-2008, 09:46
Читал я этот пункт 13 в рекомендациях и не понял, как же организовать второй WAN. Там же написано не это, а то, как сделать независимую вторую LAN!
Что я не так понял?
AndreyPopov
10-06-2008, 13:04
Читал я этот пункт 13 в рекомендациях и не понял, как же организовать второй WAN. Там же написано не это, а то, как сделать независимую вторую LAN!
Что я не так понял?
а чем WAN от LAN отличается вы себе представляете?
MrGalaxy
10-06-2008, 15:17
а чем WAN от LAN отличается вы себе представляете?
Тонкостей сетевых протоколов я всё-равно не знаю, но знаю, что для выхода в Интернет без роутера надо поднять в системе 2 соединения - и LAN и WAN, одним только LAN'ом в Интернет не выйдешь.
Мне и непонятно, как можно будет порт, специфицированный как LAN, использовать в качестве WAN'а, да ещё чтобы он передавал интернет траффик через оставшиеся LAN'ы, которые уже связаны с основным WAN'ом.
ЗЫ: Для меня это - не праздное любопытство, я сам подключен к двум провайдерам: Домолинку по adsl pppoe и Корбине по vpn l2tp. На системной плате 2 сетевых адаптера, но в перспективе хочу один освободить для других нужд.
AndreyPopov
10-06-2008, 18:24
Тонкостей сетевых протоколов я всё-равно не знаю, но знаю, что для выхода в Интернет без роутера надо поднять в системе 2 соединения - и LAN и WAN, одним только LAN'ом в Интернет не выйдешь.
Мне и непонятно, как можно будет порт, специфицированный как LAN, использовать в качестве WAN'а, да ещё чтобы он передавал интернет траффик через оставшиеся LAN'ы, которые уже связаны с основным WAN'ом.
ЗЫ: Для меня это - не праздное любопытство, я сам подключен к двум провайдерам: Домолинку по adsl pppoe и Корбине по vpn l2tp. На системной плате 2 сетевых адаптера, но в перспективе хочу один освободить для других нужд.
ну так в чем различия между WAN и LAN ??????????? :D
WAN это ТАКОЙ же LAN интерфейс только подключенный в данном случае к Интернет.
вам для справки:
LAN - Local Area Network
WAN - Wide Area Network
Sagitarius
23-06-2008, 23:04
Доброе время суток!
Вроде тема подходящая, поэтому пишу сюда.
Есть два прова, хотелось бы видеть оде локалки одновременно. Всебы ничего, но у обоих сетки 10.0.0.0. Как быть, что делать?
Второй WAN сделать не проблема, но куда рутить пакеты.
Есть одно решение (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=02.2007;a=06), но возможно ли это на коробочке? Либо другие предложения.
ЗЫ. Можно конечно ограничиться десятком ресурсов во второй сети и прописать на каждый роут (при дефолтном в первой), но это костыли.
SantaMustDie
24-06-2008, 12:59
post-firewall
......
kill -HUP 'pidof dnsmasq'
^^^^^^^^^ - обьясните плиз
зачем нужно это заклинание ?
К чему килять dnsmasq ?
Sagitarius
24-06-2008, 13:36
post-firewall
......
kill -HUP 'pidof dnsmasq'
^^^^^^^^^ - обьясните плиз
зачем нужно это заклинание ?
К чему килять dnsmasq ?
После перезагрузки >>/etc/dnsmasq.conf вроде переписывается заново, поэтому после загрузки останавливаем dnsmasq пишем в post-firewall (post-mount) и запускаем заново.
ЗЫ. а также в файл dnsmasq.conf
Простите что пишу сюда, но у меня похожий тип подключения(pppoe + eth), потому и решил не создавать новую тему, а продолжить эту.
Имеется wl500g Premium. Adsl всунутый в wan(настроенный и работающий pppoe), и второй провайдер дающий инет по езернету. Маски его сетки - 82.193.96.0/19 и 172.16.140.0/22. В первый LAN порт всунут шнурок от компа к роутеру.
Задача: Все что идет в сторону 82.193.96.0/19 и 172.16.140.0/22 слать по гейту 82.193.113.1 (так как у провайдера привзяки к ип и маку) через vlan2, как я понимаю это теперь наш второй wan?
13) Настройка нескольких WAN. Нужно тем у кого несколько провайдеров или если хочется разделить порты и раздавать интернет незаисимо. В роутере используется свитч с поддержкой vlan. Порты нумеруются USB-1-2-3-4-0, где 0-WAN. Чтобы сделать например 1 порт независимым нужно дать команды
vconfig add eth0 2
после этого появится полноценный интерфейс vlan2.
Как я понимаю, в моем случае порты будут нумероваться USB-0-1-2-3-4, где 0-WAN, и команда
robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t" создаст vlan2, который будет соответсовать физическому LAN2?
Посмотреть список интерфейсов командой ifconfig -a
посмотреть конфигурацию портов свитча robocfg show
Новому интерфейсу можно назначить свой MAC адрес командой
ifconfig hw ether 00:11:32:23:32:23
запустить интерфейс:
ifconfig vlan2 882.193.113.64 netmask 255.255.255.128 up
Тут все понятно, указываем мак и ип.
и потом прописывать ему роуты а-ля
route add -net 82.193.96.0/19 gw 82.193.113.1 dev vlan2
route add -net 172.16.140.0/22 gw 82.193.113.1 dev vlan2
Я правильно понимаю?
Krevetka
29-10-2008, 08:09
из-за того что у меня стало перебоев с интернетом стало больше, решил подключить интернет-страховку от МГТС. уже есть роутер d-link dsl-504T, хочу подключить его во второй WAN и включать в розетку когда необходимо будет соединение через него.
как делать второй WAN вроде понятно:
13) Настройка нескольких WAN. Нужно тем у кого несколько провайдеров или если хочется разделить порты и раздавать интернет незаисимо. В роутере используется свитч с поддержкой vlan. Порты нумеруются USB-1-2-3-4-0, где 0-WAN. Чтобы сделать например 1 порт независимым нужно дать команды
robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
vconfig add eth0 2
после этого появится полноценный интерфейс vlan2. Посмотреть список интерфейсов командой ifconfig -a
посмотреть конфигурацию портов свитча robocfg show
Новому интерфейсу можно назначить свой MAC адрес командой
ifconfig hw ether 00:11:32:23:32:23
запустить интерфейс:
ifconfig vlan2 192.168.2.1 broadcast 192.168.2.255 netmask 255.255.255.0 up
на Deluxe скорость маршрутизации ориентировочно 3Мбайта/c при загрузке процессора 65%
а как настраивать конфигурацию второго WAN не понял.
какие могут быть сложности? и может быть есть лучше вариант без включения выключения роутера в розетку? :)
я бы еще добавил вопросик которых не нашел ни в одной ветке на форуме, как грамотно обеспечить переключение с одного прова на другой ? в смысле если один отвалился, то задействуется резервный пров, если поднялся основной, резервный отключился
Krevetka
29-10-2008, 09:30
тоже интересно. пока планирую это делать розеткой у модема))
angel_il
29-10-2008, 10:44
я бы еще добавил вопросик которых не нашел ни в одной ветке на форуме, как грамотно обеспечить переключение с одного прова на другой ? в смысле если один отвалился, то задействуется резервный пров, если поднялся основной, резервный отключился
можно нарисовать маленькую страничку со скриптом переключения провайдера, переписывая дефолт роут
lll123lll
29-10-2008, 12:46
как это сделанно у меня (корбина + стрим)
корбина настроена штатно через web интерфейс роутера
ASUS 500gP выдает подсеть 192.168.1.0\255.255.255.0
имеет адрес 192.168.1.1
модем настроен в режим роутера выдает подсеть 192.168.9.0\255.255.255.0
имеет адрес 192.168.9.1
заходим на роутер
telnet 192.168.1.1
#создаем директорию
mkdir -p /usr/local/sbin
#создаем в ней файл post-boot и post-firewall
echo "#!/bin/sh" > /usr/local/sbin/post-boot
echo "#!/bin/sh" > /usr/local/sbin/post-firewall
#делаем их исполняемыми
chmod +x /usr/local/sbin/post-boot
chmod +x /usr/local/sbin/post-firewall
#открываем в редакторе vi
#(в принципе можно загнать по одной строке командами типа echo "МояСтрока" >> /usr/local/sbin/post-boot)
vi /usr/local/sbin/post-boot
1)включаем режим ввода нажав i
2)вставляем текст
3)выходим из редактирования esc
4)сохраняем :wq enter (отказатся от сохранения :q!)
далее текст для post-boot
#поднимается второй интерфейс на LAN1
robocfg vlan 0 ports "2 3 4 5t" vlan 2 ports "1 5t"
vconfig add eth0 2
ifconfig vlan2 192.168.9.2 netmask 255.255.255.0 up
#делаем маршруты для ресурсов только через второй wan
#это DNS
route add -net 195.34.32.116 netmask 255.255.255.255 gw 192.168.9.1
route add -net 212.188.4.10 netmask 255.255.255.255 gw 192.168.9.1
#дальше по вкусу например почту pop.mail.ru
только через стрим
route add -net 194.67.23.102 netmask 255.255.255.255 gw 192.168.9.1
аналогично заполняем post-firewall
vi /usr/local/sbin/post-firewall
#настраиваю nat для второго wan из локалки
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 192.168.1.0/24 --to-source 192.168.9.2
#доступ к Wan2 только из локалки
iptables -t filter -A FORWARD -i ! br0 -o vlan2 -j DROP
#удаляем дефолтный маршрут на второй WAN чтобы он всегда был поверх остальных с метрикой 1 (в моем случае это локалка корбины)
route del default dev vlan2
#дефолтный маршрут с метрикой 1 на резервный канал
route add default gw 192.168.9.1 dev vlan2 metric 1
убеждаемся , что файлы заполнены выведя их на экран
cat /usr/local/sbin/post-boot
cat /usr/local/sbin/post-firewall
создаем файлик с адресами DNS для второго wan
тут стримовские можно указать и публичные типа 4.2.2.4
echo "server=195.34.32.116" > /tmp/local/etc/dnsmasq.conf
echo "server=212.188.4.10" >> /tmp/local/etc/dnsmasq.conf
сохраним изменения на флэш
flashfs save
flashfs commit
flashfs enable
перезагружаемся
reboot
интерфейс модема будет доступен через http://192.168.9.1
при падении корбины дефолтный маршрут
на ppp0 с метрикой 0 уходит
и все начинает заворачиваться на стрим с метрикой 1
при работающей корбине на стрим уходит только то что специально указанно в post-boot
когда корбина поднимается все опять идет через нее
проверял выдергиванием шнура и отключением инета через web роутера
замечен небольшой нонсенс
при падении локалки корбины L2TP сервер tp.corbina.net остается доступен через инет
и продолжает работать
т.е. вы продолжаете выжигать трафик корбины
только теперь используете для доступа не локалку корбины, а стримовский канал
лечится перезагрузкой
но ИМХО не настолько критично чтобы портить простоту схемы
а если скрипта опереть на syslog ?
if (pppd: Connection terminated)
{
route add default dev vlan2
}
if (PPPoE: connect to ISP)
{
route add default dev vlan2
}
angel_il
29-10-2008, 17:23
нет сислог не причем, можно на крон
это как по крону определять что базовый провайдер отвалился ?
Krevetka
30-10-2008, 09:55
ну так как настраивать второй WAN?
lll123lll
30-10-2008, 11:25
а что конкретно не понятно в том как я описал процесс настройки второго wan?
lll123lll
30-10-2008, 11:33
Wan 1 - Корбина Wan 2 - Стрим
настроенно так (http://wl500g.info/showpost.php?p=117369&postcount=5)
стрим безлимитный , но у него аплоад очень медленный
в корбине аплоад бесплатный и хотелось бы этим воспользоватся
т.е. принимать почту через стрим, а отправлять через корбину...
второй WAN настраивается через ifconfig vlan2
немного покурив PPPOE выяснил что все элементарно, скрипты обрабатывающиеся по событию это ip-up и ip-down. так что в скрипт ip-down можно запихнуть поднятие резервного канала, а в скрипте ip-up просто пристрелить резервный канал и ходить через основной
MrGalaxy
13-11-2008, 16:47
Господа специалисты!
2-й WAN мне удалось поднять с горем пополам на DD-WRT, однако осталась нерешённой следующая задача:
Постоянно воткнуты 2 внешних кабеля:
- WAN - Корбина (vpn, l2tp, dhcp, автоопределение dns и gw);
- vlan2 - модем ADSL (статические ip, 3 шт. dns, gw).
Оба эти интерфейса должны стекаться в выходную сеть LAN, в т.ч. и в wifi.
1) Допустим, переключение реализовано кнопкой EZ-SETUP. При смене DNS и прочего будет ли происходить перезапись файлов во флеш или всё пишется в ОЗУ роутера? Или вообще ничего не пишется, а конфигурация записалась раз и навсегда?
2) Возможно ли одновременное поднятие и работа обоих интерфейсов или обязательно один отключать? (При наличии двух сетевых адаптеров на материнской плате ПК одновременная работа по ним возможна, я пробовал).
3) Не будут ли статические маршруты, заданные для WAN, мешать соединению через vlan2?
4) Будут ли распростаняться правила файрволла, заданные для WAN-LAN, на vlan2-LAN? Где находится и как назван файл в прошивке Олега, где хранятся правила файрволла, заданные через WEB-морду?
5) В какой прошивке проще и корректней реализовать вышеуказанное: Олега или DD_WRT?
Господа, помогайте. Если получится, напишу подробный мануал для начинающих.
Пока у меня работает Интернет, если воткнут только один кабель, втыкаю другой - всё виснет, перезагрузка не помогает.
angel_il
13-11-2008, 18:39
у меня 2 провайдера, первый СЗТ, второй городской провайдер.
все работает.
Прошивка Олега последняя, для второго провайдера поднят vlan.
При падении первого провайдера ходим в инет через второго.
Не совсем понятно что требуется, много букв.
У меня 2 прова. WAN-PPPoE, vlan2-ADSL (используется со статическими маршрутами исключительно для доступа к мультимедиа ресурсам провайдера). Всё работает.
Я так понимаю что ето не возможно, но все же позвольте спросить. Возможно ли PPTP+РРРоЕ?
Alexander B.
10-12-2008, 20:55
Господа специалисты!
1) При дописывании файла /tmp/local/etc/dnsmasq.conf к /etc/dnsmasq.conf во время загрузки роутера будет ли идти запись во флеш или только в ОЗУ?
2) В чём отличие echo...>... от ech0...>>...?
1) Запись в флеш идет только при вызове flashfs commit. До этого момента все в оперативной памяти.
2) В первом случае содержимое файла, в который идет запись, если он существует, обнуляется, и в нем остается только строчка, указанная в этой команде. Во втором случае эта строчка добавляется в конец файла. Если файл не существовал - разницы никакой, он в любом из этих вариантов создается.
MrGalaxy
11-12-2008, 17:24
Господа специалисты!
1) При дописывании файла /tmp/local/etc/dnsmasq.conf к /etc/dnsmasq.conf во время загрузки роутера будет ли идти запись во флеш или только в ОЗУ?
2) В чём отличие echo...>... от ech0...>>...?
Alexander B.
Большое спасибо! :)
Как можно программно погасить WAN и поднять vlan2?
И сделать обратную задачу?
Хочу этот скрипт занести в ez-setup для ручного переключения между провайдерами.
Неужто никто не переключал vlan'ы вручную?
Это же удобно!
(Автомат не устраивает, т.к. один из подключённых провайдеров - "лимитный" и используется только в самом крайнем случае).
Имею 2 жилы (Corbina и Beeline) читал на форуме, что можно как то подружить их в роутере и пользоваться двумя независимыми каналами.
Задача сделать один канал на закачку, второй на отдачу (Corbina - download, Beeline - upload) благо utorent позволяет разделить эти каналы.
Теперь о главном, в линуксе я полный ноль, ну точнее подмонтировать диск и всякие базовые команды знаю, а в остальном полный ноль. Подскажите как мне это реализовать
dvlad666
22-01-2009, 08:26
А в чём, если не секрет, азница между этии двумя? Это же одна контора, не проще на один канал забить, а на втором взять тариф с каналом пошире? Всё равно оба ваших провода в один свитч воткнуты :D Зато никаких проблем с настройкой не будет, и вообще, погибче система (сгорел один роутер - за 10 мин можно воткнуть любой другой)
Хорошо, раз нет ни у кого такого редкого случая, то хоть ткните туда где написано, как настроить корбину с билайном по одному кабелю, по форуму поиск ни к чему ни привел
Дома два провайдера. К Wan подключен езернет (PPPoE).На LAN1 настроил vlan2 (подключен ADSL-модем) и прописал 5 постоянных маршрутов для доступа к серверам прова.
WAN естественно работает как положено, а вот доступ к серверам через vlan2 есть только с маршутизатора. Как правильно дать iptables чтобы на vlan2 ходило с локалки. Ничего не выходит.
WAN естественно работает как положено, а вот доступ к серверам через vlan2 есть только с маршутизатора. Как правильно дать iptables чтобы на vlan2 ходило с локалки. Ничего не выходит.
Наверное, для начала нужно правильно задавать вопрос: указать детали, рассказать, что и как сделано. В частности, привести параметры провайдеров, привести свои правила iptables, и т. д.
Наверное, для начала нужно правильно задавать вопрос: указать детали, рассказать, что и как сделано. В частности, привести параметры провайдеров, привести свои правила iptables, и т. д.
robocfg vlan 0 ports "2 3 4 5t" vlan 1 ports "0 5t" vlan 2 ports "1 5t"
vconfig add eth0 2
ifconfig vlan2 hw ether 11:22:33:44:55:66
ifconfig vlan2 172.16.15.2 broadcast 172.16.15.3 netmask 255.255.255.252 up
route add -host 83.146.*.* gw 172.16.15.1 dev vlan2
route add -host 83.146.*.* gw 172.16.15.1 dev vlan2
route add -host 83.146.*.* gw 172.16.15.1 dev vlan2
route add -host 83.146.*.* gw 172.16.15.1 dev vlan2
route add -host 83.146.*.* gw 172.16.15.1 dev vlan2
И мой вариант iptables. Точнее не мой, а взятый с другого сайта, уже не помню откуда. Эту команду я если честно совсем не понимаю, поэтому и проблема.
iptables -t nat -A POSTROUTING -s 172.16.10.0/29 -o vlan2 -j MASQUERADE
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 172.16.10.0/29 --to-source 172.16.15.2
Пробовал и так и так. Не работает.
Вот результат.
С асуса:
[rify@wl-500gp root]$ ping 83.146.*.*
PING 83.146.*.* (83.146.*.*): 56 data bytes
84 bytes from 83.146.*.*: icmp_seq=0 ttl=62 time=23.2 ms
84 bytes from 83.146.*.*: icmp_seq=1 ttl=62 time=18.2 ms
84 bytes from 83.146.*.*: icmp_seq=2 ttl=62 time=25.1 ms
С компа (с локалки):
Трассировка маршрута к ns.*.ru [83.146.*.*]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс wl-500gp.network.lan [172.16.10.1]
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
iptables -t nat -A POSTROUTING -s 172.16.10.0/29 -o vlan2 -j MASQUERADE
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 172.16.10.0/29 --to-source 172.16.15.2
Одной строчки (даже на выбор) недостаточно чтобы понять, как проходят цепочки пакеты. Приведите вывод iptablse-save
# Generated by iptables-save v1.2.7a on Wed Mar 4 00:16:23 2009
*nat
:PREROUTING ACCEPT [76967:6417228]
:POSTROUTING ACCEPT [23315:1400410]
:OUTPUT ACCEPT [24002:1517427]
:VSERVER - [0:0]
-A PREROUTING -d 95.78.*.* -p tcp -m tcp --dport 80 -j DNAT --to-destination 95.78.*.*:80
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DROP
-A PREROUTING -d 95.78.*.*1 -j VSERVER
-A PREROUTING -i vlan1 -p tcp -m tcp --dport 21 -j DNAT --to-destination 172.16. 10.1:21
-A POSTROUTING -s ! 95.78.*.* -o ppp0 -j MASQUERADE
-A POSTROUTING -s 172.16.10.0/255.255.255.248 -d 172.16.10.0/255.255.255.248 -o br0 -j MASQUERADE
-A POSTROUTING -s 172.16.10.0/255.255.255.248 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 172.16.10.0/255.255.255.248 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 172.16.15.0/255.255.255.252 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 172.16.10.0/255.255.255.248 -o vlan2 -j SNAT --to-source 172.1 6.15.2
-A POSTROUTING -s 172.16.10.0/255.255.255.248 -o vlan2 -j SNAT --to-source 172.1 6.15.2
-A POSTROUTING -s 172.16.10.0/255.255.255.248 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 172.16.15.0/255.255.255.252 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 172.16.10.0/255.255.255.248 -o vlan1 -j MASQUERADE
-A POSTROUTING -s ! 172.16.15.2 -o vlan2 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 172.16.10.1:8080
COMMIT
# Completed on Wed Mar 4 00:16:23 2009
# Generated by iptables-save v1.2.7a on Wed Mar 4 00:16:23 2009
*mangle
:PREROUTING ACCEPT [3389772:2536115628]
:INPUT ACCEPT [449971:39072039]
:FORWARD ACCEPT [2934588:2496257473]
:OUTPUT ACCEPT [431532:38457698]
:POSTROUTING ACCEPT [3367271:2534982696]
COMMIT
# Completed on Wed Mar 4 00:16:23 2009
# Generated by iptables-save v1.2.7a on Wed Mar 4 00:16:23 2009
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [77540:5476587]
:OUTPUT ACCEPT [287876:24814868]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -d 95.78.*.* -i ppp0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,A CK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51800:51801 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -d 172.16.10.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 172.16.10.1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5190 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -j DROP
-A INPUT -i vlan2 -m state --state NEW -j SECURITY
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pm tu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -i vlan2 -m state --state NEW -j SECURITY
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequen ce --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence - -log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Wed Mar 4 00:16:23 2009
-A POSTROUTING -s 172.16.10.0/255.255.255.248 -o vlan2 -j SNAT --to-source 172.16.15.2
-A POSTROUTING -s 172.16.10.0/255.255.255.248 -o vlan2 -j SNAT --to-source 172.16.15.2
Эти строки чем-то отличаются?
-A FORWARD -o br0 -j DROP
Все остальные (к этому моменту) forwatd-пакеты, исходящие через br0 (это LAN + WiFi) - дропать? А все ли разрешены к этому моменту?
Как должен работать icmp - для него нет правила?
Эти строки чем-то отличаются?
Все остальные (к этому моменту) forwatd-пакеты, исходящие через br0 (это LAN + WiFi) - дропать? А все ли разрешены к этому моменту?
Как должен работать icmp - для него нет правила?
Извините, но чем дальше в лес тем больше дров.
Почему 2 строки я не знаю я вводил лишь то что писал.
Раньше после добавления iptables -t nat -A POSTROUTING -s 172.16.10.0/29 -o vlan2 -j MASQUERADE всё работало.
Потом менял роут по гарантии (сгорел ван). Теперь после тех же манипуляций не работает. Дело даже не в icmp. Я в принципе с компа не могу попаст на адреса 83.146.*.*
Просто скажите, как сделать чтобы работало.
PS На ван то icmp уходит а вот не влан2 нет.
Дело даже не в icmp.
Но Вы же именно так проверяете? ;)
Просто скажите, как сделать чтобы работало.
Сбросьте все самостоятельно сделанные настройки.
Дале что-то типа:
ip route 192.168.100.0/24 via 172.16.177.1 dev vlanX
iptables -A POSTROUTING -s _ваша_сеть_/255.255.255.0 -o vlanX -j MASQUERADE
[/QUOTE]
Но Вы же именно так проверяете? ;)
Сбросьте все самостоятельно сделанные настройки.
Дале что-то типа:
ip route 192.168.100.0/24 via 172.16.177.1 dev vlanX
iptables -A POSTROUTING -s _ваша_сеть_/255.255.255.0 -o vlanX -j MASQUERADE
[/QUOTE]
В принципе почти так же я и делал.
Моя строчка:
iptables -t nat -A POSTROUTING -s _ваша_сеть_/255.255.255.0 -o vlanX -j
А Ваш вариант мне ошибку выдаёт :(
iptables: No chain/target/match by that name
В принципе почти так же я и делал.
Моя строчка:
iptables -t nat -A POSTROUTING -s _ваша_сеть_/255.255.255.0 -o vlanX -j
А Ваш вариант мне ошибку выдаёт :(
iptables: No chain/target/match by that name[/QUOTE]
Все верно. Я приводил пример строки из iptables-save, там table в каждой строке не присутствует, а я не добавил.
Если "почти" - попробуйте в точности. :)
Особенно посистить от мусора.
От мусора чистить не пришлось, я не сохранял. Просто перегрузил.
Ввёл в точности, результат такой же. Ничего не работает. По моему это совсем не то что нужно.
Так никто мне и не смог помочь, уже месяц пытаюсь настроить :(
Пойду лучше спать, а то с утра на работу...
Попробуйте как тут написано: http://city.is74.ru/forum/showthread.php?t=253722
Ввёл в точности, результат такой же. Ничего не работает. По моему это совсем не то что нужно.
Ну, у других-то работает...
Ну, приводите
ip route
iptables-save
снова на ЧИСТОЙ конфигурации (а то до этого там чего только не было).
ifconfig vlan2 hw ether 11:22:33:44:55:66
Надеюсь, вы это не серьёзно? Потому что адрес 11:22:33:44:55:66 - мультикастовый (http://en.wikipedia.org/wiki/MAC_address#Address_details).
И зачем вам его вообще менять?
userouter
04-03-2009, 12:07
имеется 2 провайдера:
первый А - ADSL, PPPoE, белый динамический ip
второй В - выделенка, PPTP, белый статичный ip (+ ещё есть локалка с 10.0.0.0 сетью, но это не так важно)
нужно весь исходящий трафик пускать через провайдера А, а весь входящий трафик через провайдера В
интересует как сделать такое?
средствами iptables и route возможно? чтоб весь трафик шёл таким путём в т.ч. и торрент
имеется 2 провайдера:
...
Вы влезли в чужую тему. Вам не стыдно?
userouter
04-03-2009, 12:59
Вы влезли в чужую тему. Вам не стыдно?
почему мне должно быть стыдно тема называется 2 провайдера, у меня тоже сабж про 2 провайдеров, если обсуждение темы началось с другого вопроса - это не значит, что это не привидет к моему вопросу
MrGalaxy
04-03-2009, 16:06
Можно и мне задать вопрос?
Один провайдер подключён к WAN, другой - к VLAN2.
Как можно принудительно скриптом переключать провайдеров, независимо от наличия соединения с ними?
(Я этот скрипт засуну в EZ-button).
WL-500gP v1
Wan-lan
Lan4-ADSL pppoe
С недавних пор появилась проблема, после перезагрузки не поднимается 2WAN (Lan4). Какую то закономерность пока выяснить не удалось. Иногда всё нормально поднимается, иногда нет. Когда нормально не грузанулся роутер, захожу на него и делаю route -n, вижу что не поднялись маршруты из post-firewall. Пингую модем, а он не отвечает, через какое то время пошли пинги (хотя я более ничего не делал), я в ручную запускаю post-firewall и всё встаёт на свои места. Пока так и не разобрался почему так происходит.
зы: пути в post файлах прописаны полные.
Добавлено: Вопрос решён.
MrGalaxy
08-04-2009, 20:29
У меня на 500gP-1 поднят второй WAN, к которому подключён модем ADSL. У модема адрес 192.168.1.1.
У роутера (LAN) адрес 192.168.2.1.
В post-boot прописано
robocfg vlan 0 ports "1 2 3 5t" vlan 2 ports "4 5t"
vconfig add eth0 2
ifconfig vlan2 192.168.1.55 netmask 255.255.255.0 up
В post-firewall прописано
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 192.168.2.0/24 --to-source 192.168.1.55
В результате через второй WAN мне виден только модем, а Интернета нет.
Как мне его разрешить?
Когда-то опытным путём заметил, что надо явно задать DNS для сетевого соединения тот же, что и у модема, т.е. 192.168.1.1 (он настроен как роутер, PPPoE сессию поднимает сам).
В общем, два вопроса:
- как явно указать DNS именно для vlan2, чтобы он действовал только тогда, когда к этому интерфейсу что-нибудь подключено;
- что прописать в post-firewall ещё?
В результате через второй WAN мне виден только модем, а Интернета нет.
А у вас маршрут по умолчанию (default gateway) прописан на vlan2?
MrGalaxy
09-04-2009, 04:35
А у вас маршрут по умолчанию (default gateway) прописан на vlan2?
Рад бы записать, да не пишется гад такой:rolleyes:.
Ни эти рекомендации:
route del default dev vlan2
#дефолтный маршрут с метрикой 1 на резервный канал
route add default gw 192.168.9.1 dev vlan2 metric 1(с учётом замены 9 на 1),
ни другие не помогают.
Как его правильно записать? Прошивка Олега 1.9.2.7-10.
С роутера внешка пингуется?
route -n
nslookup www.ru
покажите.
Рад бы записать, да не пишется гад такой:rolleyes:.
Ни эти рекомендации:
route del default dev vlan2
#дефолтный маршрут с метрикой 1 на резервный канал
route add default gw 192.168.9.1 dev vlan2 metric 1(с учётом замены 9 на 1),
ни другие не помогают.
Как его правильно записать? Прошивка Олега 1.9.2.7-10.
Если вы хотите весь интернет пустить через vlan2 (через модем), то вам нужно
route del default
route add default gw 192.168.1.1 dev vlan2
Но это будет не резервный, а основной канал.
MrGalaxy
09-04-2009, 15:37
С роутера внешка пингуется?
route -n
nslookup www.ru
покажите.
Нет ничего:
http://img4.imageshack.us/img4/3781/asus13.png
Перестыковал на WAN, там результат пинга
194.87.0.50.
Если вы хотите весь интернет пустить через vlan2 (через модем), то вам нужно
route del default
route add default gw 192.168.1.1 dev vlan2
Но это будет не резервный, а основной канал.
Я хочу, чтобы это был резервный канал и через него шёл весь Интернет, когда WAN не подключен.
Сделал, как Вы написали. В результате ни резервного ни основного канала. Через wan Интернет стал недоступен. Пришлось вернуть обратно.
Я хочу, чтобы это был резервный канал и через него шёл весь Интернет, когда WAN не подключен.
Сделал, как Вы написали. В результате ни резервного ни основного канала. Через wan Интернет стал недоступен. Пришлось вернуть обратно.
Так бы сразу и сказали.
Тогда вам надо:
Избавиться от результатов манипуляций с vlan2 в iptables.
Отключить на модеме DHCP-сервер и назначить роутеру на vlan2 статический адрес из подсети 192.168.1.0/24 (ну кроме 192.168.1.1, конечно). Проверить, что модем пингуется с роутера. Например:
ifconfig vlan2 192.168.1.2 netmask 255.255.255.0 up
ping -c 5 192.168.1.1
Добавить в post-boot
ifconfig vlan2 192.168.1.2 netmask 255.255.255.0 up # ну это понятно, адрес подставить выбранный в 1 пункте.
route add default gw 192.168.1.1 dev vlan2 metric 1
Добавить в post-firewall
iptables -t nat -A POSTROUTING -o vlan2 -s ! 192.168.1.2 -j SNAT --to-source 192.168.1.2
Если не будет работать DNS, то его надо будет, видимо, прописать статически.
MrGalaxy
09-04-2009, 17:53
1) Отключил в модеме DHCP
2) содержимое post-boot:
http://img5.imageshack.us/img5/6563/asus14.png
3) post-firewall:
http://img5.imageshack.us/img5/2268/asus15.png.
Модем, как и раньше, пингуется,
http://img5.imageshack.us/img5/5313/asus16.png,
но после отключения DHCP перестал быть доступен через web-морду. Пришлось DHCP включить снова.
(Интернет тоже не появился).:mad:
3) post-firewall:
http://img5.imageshack.us/img5/2268/asus15.png.
Вы специально, что ли?..
Я же в примере написал
iptables -t nat -A POSTROUTING -o vlan2 -s ! 192.168.1.2 -j SNAT --to-source 192.168.1.2
Почему вы один адрес заменили на 192.168.1.15, а второй на 192.168.1.55? Я думал, очевидно, что адреса должны быть одинаковыми.
MrGalaxy
09-04-2009, 18:14
Извините, это я ляп допустил.:D Из-за него и доступ к модему пропал. Уже исправил.
Модем опять доступен, а Интернет не появился.:(
Извините, это я ляп допустил.:D Из-за него и доступ к модему пропал. Уже исправил.
Модем опять доступен, а Интернет не появился.:(
Интернет совсем недоступен или только dns не работает? Попробуйте
ping 213.180.204.8
MrGalaxy
09-04-2009, 19:05
Не проходит этот пинг. Это ведь Яндекс? Должен идти.
И вот, что интересно: пинги у меня не проходят даже, когда модем подключен к wan! Мало того, не только с роутера пинги не идут, а с командной строки Windows тоже.
Хотя страницы нормально открываются. Ничего не понимаю.
Отключил на фиг файрволл в веб-морде. Не помогло.
Как бы мне в явном виде DNS только для vlan2 прописать?
Шут с ними, с пингами (вернее с их отсутствием), они же работе не мешают на другом-то порту.
Не проходит этот пинг. Это ведь Яндекс? Должен идти.
И вот, что интересно: пинги у меня не проходят даже, когда модем подключен к wan! Мало того, не только с роутера пинги не идут, а с командной строки Windows тоже.
Хотя страницы нормально открываются. Ничего не понимаю.
Хорошо, а http://213.180.204.8/ открывается, когда модем к vlan2 подключен? Это ya.ru.
MrGalaxy
09-04-2009, 21:03
1.
Хорошо, а http://213.180.204.8/ открывается, когда модем к vlan2 подключен? Это ya.ru.
Нет, ничего не открывается.
Вот смотрите, что я нашаманил:
Руководствуясь этой ссылкой, (http://www.dgr.su/t253722.html) прописал
server=192.168.1.1
в файле
/tmp/local/etc/dnsmasq.conf.
В
/tmp/local/sbin/post-firewall
сначала прописал
echo "nameserver 195.54.2.1" >> /tmp/resolv.conf,
а потом эту запись выкинул, т.к. работает и без неё.
Внешка появилась.
Попытался я в dnsmasq.conf писать эту запись динамически во время загрузки. Помещал и в post-boot, и в post-firewall, и в pre-boot, и в pre-mount - нигде не работает.
Кстати, вопрос: почему?
2. Попробовал воткнуть кабель второго провайдера в wan, Интернет пошёл через него (т.к. там метрика 0).
Рвал соединение, Интернет шёл через vlan2.
Попутно вопрос, который я уже здесь понимал на форуме, может Вы поможете: каким скриптом мне можно переключаться вручную между провайдерами, а, проще говоря, как мне сымитировать нажатие клавиши DISCONNECT во вкладке STATUS web-морды? (Я его засуну в EZ-SETUP).
3. А можно назначить метрику 0 для vlan2 и 1 для wan? Тогда я смогу переключаться, снимая питание модема.
MrGalaxy
14-04-2009, 19:34
Каким образом это можно сделать?
вопрос крайне лаконичен. ответ: man pppd
Доброго времени суток всем!
Появилась необходимость свести два Ethernet подключения для обеспечения бесперебойной работы интернета.
Умеется WL-500gP V2.
Два канала,
Один - безлимитка в 3 мегабита (не стабильная, часто отваливается, но безлимит =)
Второй - Траффик, 10 ГБ, стабильнее, но дороже, Используется как резервный.
Позвонил с этой задачей в ТП АСУС - они вежливо послали, сказав, что такое невозможно.
Может кто-нибудь в курсе, где взять прошивку с двумя WAN портами?
Может кто-нибудь в курсе, где взять прошивку с двумя WAN портами?
Взять прошивку Олега. Далее - поиск по слову multiwan.
то есть готовой multiwan прошивки с веб-интерфейсом нету?
по-моему, в dd-wrt есть подобный функционал. Почитайте.
AndreyPopov
28-05-2009, 09:44
по-моему, в dd-wrt есть подобный функционал. Почитайте.
в dd-wrt есть настройка vlan через Web, у dd-wrt к ядру применены нужные патчи и есть возможность через web интерфейс вбить нужные скрипты для работы.
Viper_Rus
01-07-2009, 09:21
Подскажите пожалуйста, а какие команды нужно записать в файл post-boot и post-firewall после открытия второго интерфейса если моя конфигурация такова:
посдсеть LAN: 192.168.1.*
Первый WAN: Corbina, настроен через WEB интерфейс имеет подсеть 10.120.161.*
Второй WAN: Interzet, статический IP 10.208.32.50, маска подсети 255.255.252.0, Основной шлюз 10.208.32.1, DNS1: 192.168.248.21, DNS2: 192.168.245.14
Никаких извращений в виде разныхх роутов не нужно, ТОЛЬКО так чтобы при не рабочей Corbinа все шло чепрез интерзет. В инете куча инструкций как сделать 2 провайдера, но везде резервный вариант это ADSL модем, а не еще один проводной оператор(((
Большое спасибо, настроил себе 2 провайдера, все работает.....НО:
Очень хотелось бы чтобы переключение провайдеров осуществлялось не само(при нерабочем главном) а кнопочкой EZ-Setup. Это можно как нибудь реализовать?
Люди, ну подскажите пожалуйста!!!)))
1. Настроил втрой WAN по инструкции с этого топика, тоесть включается тогда когда отваливается первый.
2. Настроил ezsetup на вкл/выкл Wifi
Ну как бы сделать так чтобы на кнопку повесить переключение WAN1/WAN2
Люди, ну подскажите пожалуйста!!!)))
1. Настроил втрой WAN по инструкции с этого топика, тоесть включается тогда когда отваливается первый.
2. Настроил ezsetup на вкл/выкл Wifi
Ну как бы сделать так чтобы на кнопку повесить переключение WAN1/WAN2
Ваш ez-setup в студию!
Viper_Rus
06-07-2009, 20:28
Первый провайдер Corbina, Второй InterZet
мой /usr/local/sbin/post-boot
#!/bin/sh
#поднимается второй интерфейс на LAN1
robocfg vlan 0 ports "2 3 4 5t" vlan 2 ports "1 5t"
vconfig add eth0 2
ifconfig vlan2 10.208.32.50 netmask 255.255.252.0 up
#делаем маршруты для ресурсов только через второй wan
#это DNS
route add -net 192.168.248.21 netmask 255.255.255.255 gw 10.208.32.1
route add -net 192.168.245.14 netmask 255.255.255.255 gw 10.208.32.1
мой /usr/local/sbin/post-firewall
#!/bin/sh
#настраиваю nat для второго wan из локалки
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 192.168.1.0/24 --to-source 10.208.32.50
#доступ к Wan2 только из локалки
iptables -t filter -A FORWARD -i ! br0 -o vlan2 -j DROP
#удаляем дефолтный маршрут на второй WAN чтобы он всегда был поверх остальных с метрикой 1 (в моем случае это локалка корбины)
route del default dev vlan2
#дефолтный маршрут с метрикой 1 на резервный канал
route add default gw 10.208.32.1 dev vlan2 metric 1
Все работает при отрубании основного провайдера
мой /usr/local/sbin/ez-setup
#!/bin/sh
usr/bin/logger -t $(basename $0) "started [$@]"
[ `wl isup` -eq 1 ] && wl radio off || wl radio on
Так же работает вкл/выкл WiFi
Еще раз повторюсь....включение/выключение WiFi мне не нужно, хотелось бы как нить прикруть вместо него переключение провайдеров.
Аппарат DIR-320, прошивка WL500gpv2-1.9.2.7-d-r381
Дано:
Роутер: WL-500G Premium v2 (Олег)
Провайдеры: а) ETTH с автоматическим получением белого IP; б) ETTH с PPPoE авторизацией.
Задача:
Объединить эти 2 соединения, при этом через провайдер а идет входящий траффик, а через б исходящий.
Реально такое устроить на роутере? Если да то пожалуйста подскажите варианты.
Заранее спасибо за помощь.
Поиск по "multiwan" поможет.
Возможно ли как-то программно сделать в этом чудо-роутере второй Wan порт из Lan-порта?
Задача такова:
есть 2 провайдера, один дает стаический внешний IP, у второго жирная локалка с халявой, в общем хочется "и рыбку съесть и на *** сесть";
В итоге получается нужно некий диапазон локальных адресов перенаправлять через "второй Wan", диапазоны адресов локалок не пересекаются.
AndreyPopov
13-08-2009, 19:56
ну для данного случая можно просто второй IP на WAN повесить, а не выделять второй WAN.
ну для данного случая можно просто второй IP на WAN повесить, а не выделять второй WAN. А как он два шнурка в один WAN впихнет? Провайдеров то ДВА! :D
http://wl500g.info/showthread.php?t=16731&highlight=%E4%E2%E0+wan
http://wl500g.info/showthread.php?t=6208&highlight=%E4%E2%E0+wan
А как он два шнурка в один WAN впихнет?
Провайдеров то ДВА! :D
Можно засунуть кабель с локалкой и в LAN ... :)
Только нужно будет отключить DHCP на LAN ;)
Иначе могут послать на *** и отрубить халяву :(
З.Ы. А про multiwan здесь уже сто раз писалось ...
Можно сделать даже 5 WAN ... Аффтар - в ПОИСК !
Привет всем. Уже давно являюсь читателем сего замечательного форума, с его помощью решил кучу проблем, но вот возник вопрос, ради которого я все же решил зарегистрироваться, точнее 2 вопроса.
1. Есть Корбина и есть ADSL-модем с LAN шнурком. Задача: при падении Корбины автоматом запустить ADSL-модем(на нем посуточная абонентка).
Ровно через 24 часа, проверил - есть ли инет на основном канале, если есть - перекинуться обратно на него и отключить резерв, а если нет, то полностью отключить все соединения с инетом?
Но как я понимаю, проблема будет в том, что управлять модемом не получится, так? как только я его включу в розетку, то автоматом появится второе соединение, а роутер сможет только переключиться на него?
2. Ситуация та же самая, только вместо ADSL-модема "свисток" от Yota (посуточный тариф). Возмножно ли, чтоб при падении корбины, роутер автоматом запустил свисток и стал брать инет с него, а ровно через 24 часа, проверил - есть ли инет на основном канале, если есть - перекинуться обратно на него и отключить резерв, а если нет, то полностью отключить все соединения с инетом?
Вижу некоторые технические сложности: корбину иногда глючит, и что б инет появился снова, роутер нужно перезагрузить. Есть ли такая возможность: к примеру 5 раз перезапустить роутер, а только потом поднимать резервный канал?......
или я слишком многого хочу от простого роутера?
theKomix
18-08-2009, 04:33
У меня так же два провайдера - Билайн и Уфанет.
через билайн у меня подключен к основному wan порту и поднят pptp (штатными средствами).
Теперь хочу получить доступ к локалке Уфанет, которая работает без поднятия дополнительных соединений. (Билайн и Уфанет - динамические IP)
я прописал следующее в post-boot:
robocfg vlan 0 ports "2 3 4 5t" vlan 2 ports "1 5t"
vconfig add eth0 2
#маршруты для локалки Уфанета
route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.169.160.1
route add -net 172.16.0.0 netmask 255.240.0.0 gw 10.169.160.1
route add -net 172.25.0.0 netmask 255.255.0.0 gw 10.169.160.1
route add -net 81.30.176.0 netmask 255.255.240.0 gw 10.169.160.1
route add -net 81.30.192.0 netmask 255.255.224.0 gw 10.169.160.1
route add -net 89.189.128.0 netmask 255.255.224.0 gw 10.169.160.1
route add -net 77.79.128.0 netmask 255.255.192.0 gw 10.169.160.1
route add -net 79.140.16.0 netmask 255.255.240.0 gw 10.169.160.1
route add -net 92.50.128.0 netmask 255.255.192.0 gw 10.169.160.1
route add -net 92.50.168.0 netmask 255.255.248.0 gw 10.169.160.1
route add -net 193.84.31.0 netmask 255.255.255.224 gw 10.169.160.1
route add -net 194.0.68.0 netmask 255.255.252.0 gw 10.169.160.1
route add -net 94.41.0.0 netmask 255.255.0.0 gw 10.169.160.1
route add -host 193.84.31.5 gw 10.169.160.1
в post-firewall:
#маршруты для локалки Билайна
/sbin/route add -net 10.0.0.0 netmask 255.0.0.0 metric 1 gw 10.12.28.1
/sbin/route add -net 78.107.23.0 netmask 255.255.255.0 metric 1 gw 10.12.28.1
/sbin/route add -net 79.104.0.0 netmask 255.255.0.0 metric 1 gw 10.12.28.1
/sbin/route add -net 83.222.7.0 netmask 255.255.255.0 metric 1 gw 10.12.28.1
/sbin/route add -net 85.21.79.0 netmask 255.255.255.0 metric 1 gw 10.12.28.1
/sbin/route add -net 85.21.90.0 netmask 255.255.255.0 metric 1 gw 10.12.28.1
/sbin/route add -net 85.21.52.0 netmask 255.255.255.0 metric 1 gw 10.12.28.1
/sbin/route add -net 85.21.72.0 netmask 255.255.255.0 metric 1 gw 10.12.28.1
/sbin/route add -net 85.21.138.0 netmask 255.255.255.0 metric 1 gw 10.12.28.1
/sbin/route add -net 89.179.134.0 netmask 255.255.255.0 metric 1 gw 10.12.28.1
/sbin/route add -net 172.23.176.0 netmask 255.255.255.0 metric 1 gw 10.12.28.1
/sbin/route add -net 192.168.0.0 netmask 255.255.0.0 metric 1 gw 10.12.28.1
/sbin/route add -net 194.67.1.0 netmask 255.255.255.0 metric 1 gw 10.12.28.1
/sbin/route add -net 194.67.18.0 netmask 255.255.255.0 metric 1 gw 10.12.28.1
/sbin/route add -net 195.14.50.0 netmask 255.255.255.0 metric 1 gw 10.12.28.1
/sbin/route add -net 217.118.84.249 netmask 255.255.255.255 metric 1 gw 10.12.28.1
#настройка NAT для второго WAN
iptables -t nat -A POSTROUTING -j SNAT -o vlan2 -s 192.168.1.0/24 --to-source 10.169.160.1
#доступ к Wan2 только из локалки
iptables -t filter -A FORWARD -i ! br0 -o vlan2 -j DROP
#удаляем дефолтный маршрут на второй WAN чтобы он всегда был поверх остальных с метрикой 1
route del default dev vlan2
#дефолтный маршрут с метрикой 1 на резервный канал
route add default gw 10.169.160.1 dev vlan2 metric 1
после перезагрузки роутера, у компа получается ip из локалки Уфанета, а не присвоен роутером, т.е. имеет вид: 10.169.160.xx
что я сделал не так?
PS.
10.169.160.1 - шлюз Уфанета,
10.12.28.1 - шлюз Билайна
1. Есть Корбина и есть ADSL-модем с LAN шнурком. Задача: при падении Корбины автоматом запустить ADSL-модем(на нем посуточная абонентка).
Ровно через 24 часа, проверил - есть ли инет на основном канале, если есть - перекинуться обратно на него и отключить резерв, а если нет, то полностью отключить все соединения с инетом?
Но как я понимаю, проблема будет в том, что управлять модемом не получится, так? как только я его включу в розетку, то автоматом появится второе соединение, а роутер сможет только переключиться на него?
Ничего не понял... А куда у Вас модем-то подключен? И как он работает? В режиме бриджа? В любом случае копать в сторону route.
2. Ситуация та же самая, только вместо ADSL-модема "свисток" от Yota (посуточный тариф). Возмножно ли, чтоб при падении корбины, роутер автоматом запустил свисток и стал брать инет с него, а ровно через 24 часа, проверил - есть ли инет на основном канале, если есть - перекинуться обратно на него и отключить резерв, а если нет, то полностью отключить все соединения с инетом?
Как организован свисток?
Вижу некоторые технические сложности: корбину иногда глючит, и что б инет появился снова, роутер нужно перезагрузить.
Зачем? Может просто /usr/bin/killall -1 pppd ?
или я слишком многого хочу от простого роутера?
Он не простой, в нем полноценный линух.
Я у себя просто пингую некий шлюз раз в минуту, пять пингов. Если все 100% Loss - передергиваю pppd.
У Вас, я понял, ситуация примерно такая же, только чуть посложней.
mindwiper
18-08-2009, 09:21
посмотрите (http://wl500g.info/showthread.php?t=20739), возможно у меня такое же ТЗ, только модем подключаю по USB к роутеру
Ничего не понял... А куда у Вас модем-то подключен? И как он работает? В режиме бриджа? В любом случае копать в сторону route.
Как организован свисток?
Зачем? Может просто /usr/bin/killall -1 pppd ?
Он не простой, в нем полноценный линух.
Я у себя просто пингую некий шлюз раз в минуту, пять пингов. Если все 100% Loss - передергиваю pppd.
У Вас, я понял, ситуация примерно такая же, только чуть посложней.
у меня еще ни как ничего не организовано: просто есть Yota-свисток, ADSL модем и основной пров. - Корбина. Вот хочу чтоб если Корбина валится, то автоматом поднимался резервный канал, но только после 5 перезагрузок и только на 24 часа.
У ADSL-модема посуточная оплата: вышел в инет, заплатил за сутки - т.е. по умолчанию модем не соединен с провайдером, а должен соединиться только при падении основного канала. Вот я и говорю, как роутер сможет дать сигнал ADSL-модему на поднятие линка по LAN? Модем к роутеру планирую подключить по LAN (у модема только он, USB там нет). Как я понял на роутере можно организовать два WAN-порта.
Со свистком та же история: есть тариф 100руб/сутки и хочется чтоб свисток был включен в роутер, но соединение на нем появлялось только при падении основного канала и тоже, только на 24 часа.
Если не сложно, объясните поподробнее про "Я у себя просто пингую некий шлюз раз в минуту, пять пингов. Если все 100% Loss - передергиваю pppd." - касаемо линукса и командной строки я ламо полное. Я так понял роуте будет автоматом перегружаться при отсутствии связи с каким-то узлом? Мне бы гайд какой, как у себя так сделать.....
lll123lll
18-08-2009, 11:33
Вот посмотри (http://wl500g.info/showpost.php?p=115006&postcount=9)
Corbina+Stream(adsl безлимитка)
только у меня переключение происходит за счет метрик для дефолтного маршрута
и резерв не выключается, а работает постоянно(закачки через него делаю загоняя трафик маршрутами на файлообменники и пр.).
чтобы вырубать резервный инет придется ставить модем в бридж и поднимать PPPoE на роутере
у меня еще ни как ничего не организовано: просто есть Yota-свисток, ADSL модем и основной пров. - Корбина. Вот хочу чтоб если Корбина валится, то автоматом поднимался резервный канал, но только после 5 перезагрузок и только на 24 часа.
А именно на 24 часа или до наступления определенного события? (доступность Корбины)?
И потом, а в чем заключается "корбина валится"? У меня вот просто бывает, что pptp сервер отстреливает сам по себе, но после переподключения все ОК.
Судя по всему, в Вашем случае, если Вы пишете, что не переподключается с первого раза, значит, что-то не так (недоступен pptp сервер или еще что...).
В общем надо смотреть логи на тему, ПОЧЕМУ НЕ С ПЕРВОГО РАЗА ПОДКЛЮЧАЕТСЯ.
У ADSL-модема посуточная оплата: вышел в инет, заплатил за сутки - т.е. по умолчанию модем не соединен с провайдером, а должен соединиться только при падении основного канала. Вот я и говорю, как роутер сможет дать сигнал ADSL-модему на поднятие линка по LAN?
Вот этого, я честно говоря, не знаю... А что за модем? Модель?
Модем к роутеру планирую подключить по LAN (у модема только он, USB там нет). Как я понял на роутере можно организовать два WAN-порта.
Да? Не знал... Вы уверены?
Со свистком та же история: есть тариф 100руб/сутки и хочется чтоб свисток был включен в роутер, но соединение на нем появлялось только при падении основного канала и тоже, только на 24 часа.
Если получится разобраться с ADSL, со свистком просто по аналогии.
Если не сложно, объясните поподробнее про "Я у себя просто пингую некий шлюз раз в минуту, пять пингов. Если все 100% Loss - передергиваю pppd." - касаемо линукса и командной строки я ламо полное. Я так понял роуте будет автоматом перегружаться при отсутствии связи с каким-то узлом? Мне бы гайд какой, как у себя так сделать.....
Простейший скрипт:
if /opt/bin/ping -c5 -l5 X.X.X.X 2>&1 | grep "100% packet loss" > /dev/null
then /usr/bin/killall -1 pppd ;
else echo
fi
Все команды пишутся В ОДНУ строку.
X.X.X.X - это мой шлюз ПРИ ВКЛЮЧЕННОМ ИНТЕРНЕТЕ.
У меня при выключенном интернете дефолтный шлюз один - серый. И IP серый.
При включенном интернете - дефолтный шлюз другой. Белый. И IP тоже белый. Как у Корбины, я не знаю...
В любом случае, Вам нужен некий IP, который 100% есть при включенном инете.
Он у меня всегда один и тот же. Выяснил опытным путем.
Просто у меня иногда после переподнятия pppd ppp0 получает какой-то левый абсолютно адрес и, соответственно, инета нет. Т.е. все нормально, интерйфейс поднят и работает, поэтому сделал такую проверку. При левом адресе шлюза не видно и pppd опять передергивается.
Все это дело засовывается в крон на исполнение раз в минуту.
У вас три пути:
1. Разобраться почему не с первого раза переподнимается корбина. Думаю, если разберетесь, то Вам и не нужен будет адсл и йота. Или повесите их на комп, чтобы ручками подключаться.
2. Разбираться с линуксом, задача у Вас не сильно тривиальная, но скрипт, нужный Вам, думаю, напишете.
3. Отдать все это дело "на оутсортинг" :)
P.S. Думаю, Вам не помешает сделать:
ipkg update
ipkg upgrade
ipkg install util-linux
P.P.S. Кстати!
Вот практически Ваш случай:
http://wl500g.info/showthread.php?t=16731
всем спасибо за ответы. Мне понадобится некоторое время чтоб переварить все :)
Nemo7777
04-09-2009, 10:46
Добрый день,
У меня такая ситуация - сейчас есть интернет на АДСЛ для чего использую WAG325N. Скоро будет в доме ethernet-провайдер для чего планирую использовать ASUS WL500W. Но есть желание объединить две разные сетки в одну.
Из того как я примерно вижу решение (немного больше обдумав) -
Сеть вроде как одна. чтото вроде 255.255.255.0
WL500W почти в центре. На нем DHCP (выдача адресов 11-20) с гейтом на самого себя, к нему цепляется NAS по eth через lan1 (NAS ходит в инет через WL500W). VPN passthrough на NAS. Wan на eth-провайдера. Есть private IP-адресс
WAG соединен c WL по eth через lan2
На WAG тоже DHCP (выдача адресов с 21-30) с гейтом на самого себя. VPN path-rough на NAS. Wan на adsl-провайдера. есть private IP-адресс
Если устройства (ноут, приставка и прочее) конектятся по wifi с WAG, то в инет ходят через WAG.
Если устройства конектятся по wifi с WL - тогда в инет ходят через WL.
VPN запросы с наружи перенаправляются на VPN сервер на NAS
Возможно ли такое, если да то следует ли прошивать какуюто кастом-прошивку или хватит стандартных возможностей?
На NAS стоит openVPN сервер. ВОзможно ли вместо VPN passthrough использовать port-forwarding c порта WAG/WL на порт сервера NAS? (ибо VPN passthrough очень не гибко/неудобно как я посмотрел) Или может в состав прошивки от Oleg-а или энтузиастов входит VPN-сервер?
Также вопрос - возможно ли настроить чтото вроде failover для случая когда один из провайдеров пропадет - чтоб запросы перенаправлялись на второе устройство?
бессмысленная задача, чисто деньги слить провайдерам лишние :D
MrGalaxy
17-09-2009, 09:42
Хорошо, раз нет ни у кого такого редкого случая, то хоть ткните туда где написано, как настроить корбину с билайном по одному кабелю, по форуму поиск ни к чему ни привел
Хых! Я сам недавно это спрашивал. Никто это не знает.
Теперь для меня это потеряло актуальность, т.к. от Корбины отключился.
Max_usu_nano
22-09-2009, 05:38
Доброго времени суток. Есть вопрос: можно ли настроить мой роутер (ASUS Wl 500 gp) на два провайдера? Т.е. у меня есть две витые пары, мне желательно чтобы по одной паре я осуществлял закачку, а подругой раздачу. Понимаю, что в роуторе только один WAN порт, но слышал, что есть возможность использовать один из LAN портов как второй WAN. Как я понимаю нужно будет прописывать таблицу маршрутов. Вот с этим у меня большие проблемы. Помогите неопытному товарищу. Буду рад любой помощи. Спасибо.
Неужели лень поиском воспользоваться?
http://wl500g.info/showpost.php?p=29772&postcount=6
да, настроил пока c двумя алиасами на интерфейсах на сервере, все работает. Если интересно , расскажу как
очень интересно
Здравствуйте!
Вопрос такой (роутер-ASUS 500gP1):
Как сделать чтобы работало такая связка-
CDMA-модем подключаем через USB-роутера и надо её раздачу с роутера на адреса с 192.168.1.100 и до конца.
И, есть внешний интернет по витой паре, и надо чтобы шла раздача внеш. интерн. с роутера по адресам 192.168.1.2 по 192.168.1.99.
Возможно ли?
Заранее благодарю.
В чешской прошивке это сделано через бэкап ... :)
Но только по очереди, т.е. не одновременно ... ;)
MrGalaxy
22-02-2010, 08:55
День добрый!
Имеется: wl500gp-v.1 с прошивкой r1222.
Содержимое post-boot:
#!/bin/sh
robocfg vlan 0 ports "1 2 3 5t" vlan 2 ports "4 5t"
vconfig add eth0 2
ifconfig vlan2 192.168.1.123 netmask 255.255.255.0 up
route add default gw 192.168.1.1 dev vlan2 metric 1
chmod 777 /tmp
Содержимое post-firewall:
#!/bin/sh
# vlan2
iptables -t nat -A POSTROUTING -o vlan2 -s 192.168.2.0/24 -j MASQUERADE
# transmission
iptables -I INPUT -p tcp --dport 51413 -j ACCEPT
# correcting mtu for Corbina/Beeline l2tp
iptables -A FORWARD -t mangle -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# vnstat
(while [ $(date +%s) -lt 1000000000 ]; do sleep 2; done; /usr/local/sbin/ppp0-ip-up ) &
Содержимое /usr/local/etc/dnsmasq.conf:
server=192.168.1.1
К vlan2 подключен модем ADSL, сессия PPPoE поднимается на нём, адрес модема 192.168.1.1.
Вот вывод iptables-save:
# Generated by iptables-save v1.3.8 on Thu Jan 1 03:25:05 1970
*nat
:PREROUTING ACCEPT [416:122123]
:POSTROUTING ACCEPT [56:3144]
:OUTPUT ACCEPT [56:3144]
:VSERVER - [0:0]
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.2.1
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -o vlan2 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 51413 -j DNAT --to-destination 192.168.2.1:51413
-A VSERVER -p udp -m udp --dport 51413 -j DNAT --to-destination 192.168.2.1:51413
COMMIT
# Completed on Thu Jan 1 03:25:05 1970
# Generated by iptables-save v1.3.8 on Thu Jan 1 03:25:05 1970
*mangle
:PREROUTING ACCEPT [3195:1139534]
:INPUT ACCEPT [529:42520]
:FORWARD ACCEPT [2422:985138]
:OUTPUT ACCEPT [507:58196]
:POSTROUTING ACCEPT [2929:1043334]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Jan 1 03:25:05 1970
# Generated by iptables-save v1.3.8 on Thu Jan 1 03:25:05 1970
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [118:6973]
:OUTPUT ACCEPT [505:57990]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -i vlan1 -m state --state NEW -j SECURITY
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -d 192.168.2.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A BRUTE -m recent --update --seconds 600 --hitcount 5 --name BRUTE --rsource -j DROP
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Thu Jan 1 03:25:05 1970
Почему через vlan2 не проходит ping?
PING 8.8.8.8 (8.8.8.8): 56 data bytes
--- 8.8.8.8 ping statistics ---
22 packets transmitted, 0 packets received, 100% packet loss
http://img710.imageshack.us/img710/4200/ping6.png
А можно ещё увидеть вывод следующих команд?
ifconfig -a
route -n
ping -n 192.168.1.1
traceroute -n 8.8.8.8
MrGalaxy
22-02-2010, 13:16
Пожалуйста:
br0 Link encap:Ethernet HWaddr *************
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ff:fe52:fd2b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8725 errors:0 dropped:0 overruns:0 frame:0
TX packets:5419 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1536270 (1.4 MiB) TX bytes:4008300 (3.8 MiB)
eth0 Link encap:Ethernet HWaddr ***************
inet6 addr: fe80::21f:c6ff:fe52:fd2b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13909 errors:0 dropped:0 overruns:0 frame:0
TX packets:10542 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5759347 (5.4 MiB) TX bytes:4948144 (4.7 MiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr *************
inet6 addr: fe80::21f:c6ff:fe52:fd2b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:213 errors:0 dropped:0 overruns:0 frame:18117
TX packets:9244 errors:26 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:25084 (24.4 KiB) TX bytes:2393583 (2.2 MiB)
Interrupt:12 Base address:0x2000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:206 (206.0 B) TX bytes:206 (206.0 B)
sit0 Link encap:IPv6-in-IPv4
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
vlan0 Link encap:Ethernet HWaddr *****************
inet6 addr: fe80::21f:c6ff:fe52:fd2b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8750 errors:0 dropped:0 overruns:0 frame:0
TX packets:5609 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1571697 (1.4 MiB) TX bytes:4053699 (3.8 MiB)
vlan1 Link encap:Ethernet HWaddr *******************
inet6 addr: fe80::21f:c6ff:fe52:fd2b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:615 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:362738 (354.2 KiB)
vlan2 Link encap:Ethernet HWaddr ******************
inet addr:192.168.1.123 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ff:fe52:fd2b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5159 errors:0 dropped:0 overruns:0 frame:0
TX packets:4313 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3937288 (3.7 MiB) TX bytes:531329 (518.8 KiB)
wds0.1 Link encap:Ethernet HWaddr ********************
inet6 addr: fe80::21f:c6ff:fe52:fd2b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
wds0.2 Link encap:Ethernet HWaddr *******************
inet6 addr: fe80::21f:c6ff:fe52:fd2b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 1 0 0 vlan2
ping -n даёт ошибку, такого параметра нет, запустил просто ping.
PING 192.168.1.1 (192.168.1.1): 56 data bytes
64 bytes from 192.168.1.1: seq=0 ttl=254 time=1.092 ms
64 bytes from 192.168.1.1: seq=1 ttl=254 time=0.997 ms
64 bytes from 192.168.1.1: seq=2 ttl=254 time=1.163 ms
64 bytes from 192.168.1.1: seq=3 ttl=254 time=1.070 ms
64 bytes from 192.168.1.1: seq=4 ttl=254 time=0.998 ms
64 bytes from 192.168.1.1: seq=5 ttl=254 time=1.214 ms
64 bytes from 192.168.1.1: seq=6 ttl=254 time=1.004 ms
64 bytes from 192.168.1.1: seq=7 ttl=254 time=1.166 ms
--- 192.168.1.1 ping statistics ---
8 packets transmitted, 8 packets received, 0% packet loss
round-trip min/avg/max = 0.997/1.088/1.214 ms
traceroute завершил по Ctrl+C.
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 38 byte packets
1 192.168.1.1 10.962 ms 0.985 ms 2.031 ms
2 * * *
3 * * *
4 * * *
5 * * *
6
У себя vlan2 подымается не через post-boot , а сразу зашит в nvram (так как когда интерфейс подымается через post-boot до момента его загрузки роутер может отправлять не правильные пакеты в сеть на 1 порте):
nvram set vlan0ports="2 3 4 5*"
nvram set vlan1ports="0 5"
nvram set vlan2ports="1 5"
nvram set vlan1hwname=et0
nvram set vlan2hwname=et0
nvram set wan1_ifname=vlan2
nvram set wan1_proto=dhcp
robocfg vlan 2 ports "1 5t" vlan 0 ports "2 3 4 5t"
vconfig add eth0 2
nvram commit
Так как мой второй провайдер раздает адрес динамически надо было реализовать поднятие vlan 2 на DHCP (основной провайдер vlan 1 имеет статический адрес), поэтому сделал соответствующие правки в:
post-boot
# настройка роутера для работы двух провайдеров
ifconfig vlan2 hw ether 00:00:00:00:00:00 #МАС WAN2
ifconfig vlan2 up
echo -e '#!/bin/sh\ninterface=vlan2 /tmp/udhcpc $*' > /tmp/udhcpc2
chmod +x /tmp/udhcpc2
udhcpc -i vlan2 -S -q -p /var/run/udhcpc2.pid -s /tmp/udhcpc2
route add -net 10.10.12.3 netmask 255.255.255.255 gw 10.24.30.1 dev vlan2 #DNS
route add -net 10.10.10.2 netmask 255.255.255.255 gw 10.24.30.1 dev vlan2 #DNS
route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.24.30.1 dev vlan2
post-firewall
# настройка роутера для работы двух провайдеров
IP_vlan1="$(ifconfig vlan1 | sed -n '/inet /{s/.*addr://;s/ .*//;p}')"
iptables -t nat -A POSTROUTING -o vlan1 ! -s $IP_vlan1 -j MASQUERADE
iptables -A FORWARD -i ! br0 -o ! br0 -j DROP #чтобы роутером не пользовались как халявным прокси
iptables -t nat -A PREROUTING -d $IP_vlan1 -j VSERVER #чтобы проброс портов из веб-интерфейса работал для второй сети
Как видно в post-firewall настройки сделаны для vlan1 так как при поднятии vlan2 по DHCP эти правила "перекидываются" на vlan2 и надо было их продублировать и для vlan1.
Ничего подозрительного не видно. Значит, пойдём дальше. Кстати, попробуйте действительно второй vlan выделить не с помощью команд robocfg и vconfig, а с помощью
nvram set vlan0ports="1 2 3 5*"
nvram set vlan2hwname=et0
nvram set vlan2ports="4 5"
nvram commit
На модеме точно включен NAT? Если к модему напрямую подключить комп, то на компе инет работает? Модем вообще точно правильно настроен?
Когда пингуете/трассируете внешний адрес, на модеме мигают лампочки отправки данных (DSL, PPP)?
MrGalaxy
22-02-2010, 14:53
На модеме точно включен NAT? Если к модему напрямую подключить комп, то на компе инет работает? Модем вообще точно правильно настроен?
Когда пингуете/трассируете внешний адрес, на модеме мигают лампочки отправки данных (DSL, PPP)?При подключении модема напрямую к компу работает и Интернет и пинг. Кроме того, если подключить модем к wan, то тоже всё работает. (С настройками lan: ip статический из подсети 192.168.1.х, dns=gw=192.168.1.1).
При пингах светодиоды дружно мигают, как и должны.
Ничего подозрительного не видно. Значит, пойдём дальше. Кстати, попробуйте действительно второй vlan выделить не с помощью команд robocfg и vconfig, а с помощью
nvram set vlan0ports="1 2 3 5*"
nvram set vlan2hwname=et0
nvram set vlan2ports="4 5"
nvram commit
Сделал и закомментарил robocfg и vconfig в post-boot. Интернет есть, а пинги не идут.
Asgard
Можно поподробнее про команды из post-boot, идущие перед командами роутинга? Что за udhcpc2?
MrGalaxy
22-02-2010, 18:08
Беру паузу.
Подключил модем в wan, там тоже пинг не проходит.
Буду разбираться.:confused:
MrGalaxy
22-02-2010, 20:14
Поковырял модем, добился пинга при подключении к wan (адреса можно писать и числами и буквами).
При подключении к vlan2 пингуются только адреса, записанные цифрами, а символьные имена не работают. Причём, не работают при пинговании с роутера, а с компа работают.
Какие будут мысли?
Вывел traceroute -n 8.8.8.8:
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 38 byte packets
1 192.168.1.1 1.089 ms 0.996 ms 1.162 ms
2 212.12.10.32 22.835 ms 23.104 ms 23.296 ms
3 10.30.0.153 24.858 ms 25.515 ms 25.063 ms
4 77.51.253.193 111.633 ms 87.386 ms 57.899 ms
5 77.51.253.22 28.330 ms 26.813 ms 26.536 ms
6 193.232.244.232 27.643 ms 28.799 ms 28.223 ms
7 72.14.239.254 64.476 ms 64.190 ms 64.644 ms
8 209.85.248.47 65.561 ms 64.184 ms 65.685 ms
9 72.14.238.105 65.112 ms 70.385 ms 71.880 ms
10 8.8.8.8 64.446 ms 65.931 ms 65.704 ms
Поковырял модем, добился пинга при подключении к wan (адреса можно писать и числами и буквами).
При подключении к vlan2 пингуются только адреса, записанные цифрами, а символьные имена не работают. Причём, не работают при пинговании с роутера, а с компа работают.
Видимо, проблемы с DNS. Попробуйте команды
echo "nameserver 192.168.1.1" > /etc/resolv.conf
killall -HUP dnsmasq
И тогда можно будет убрать "server=192.168.1.1" из /usr/local/etc/dnsmasq.conf.
P.S. Кстати, знакомая трассировочка. Домолинк? :)
MrGalaxy
22-02-2010, 21:02
Видимо, проблемы с DNS. Попробуйте команды
echo "nameserver 192.168.1.1" > /etc/resolv.conf
killall -HUP dnsmasq
И тогда можно будет убрать "server=192.168.1.1" из /usr/local/etc/dnsmasq.conf.
Спасибо, получилось! А не будет ли запись этого nameserver мешать dns wan, когда мне понадобится ходить в Интернет с него?
P.S. Кстати, знакомая трассировочка. Домолинк? :)Так точно!
Спасибо, получилось! А не будет ли запись этого nameserver мешать dns wan, когда мне понадобится ходить в Интернет с него?
Будет. Тут надо что-то придумывать (в зависимости от того, как вы всю эту конструкцию собираетесь использовать).
MrGalaxy
22-02-2010, 21:12
Будет. Тут надо что-то придумывать (в зависимости от того, как вы всю эту конструкцию собираетесь использовать).
Основной у меня Билайн-wan.
Домолинк-vlan2 я подключаю изредка, когда Билайн падает.
При этом Интернет должен автоматически идти опять через Билайн, когда он восстановится.
Добавлено:
И сейчас модуль l2tpd пытается достучаться до Билайна через vlan2, что не есть хорошо.
Основной у меня Билайн-wan.
Домолинк-vlan2 я подключаю изредка, когда Билайн падает.
При этом Интернет должен автоматически идти опять через Билайн, когда он восстановится.
Добавлено:
И сейчас модуль l2tpd пытается достучаться до Билайна через vlan2, что не есть хорошо.
Может, вам проще посмотреть в сторону одной из тем про multi-wan?
MrGalaxy
23-02-2010, 07:25
Как раз по тем мануалам я и настраивал.:)
Ладно, пинг с Вашей помощью настроен, теперь, когда Билайн отремонтируют, займусь настройкой мульти-вана.
Спасибо за помощь.
Редактировал свой конфиг аналогично описанному в начале темы. Все работает как и должно, но перестал работать аналог Choose IPTV STB Port, который реализовывался командами
nvram set vlan0ports="1 2 3 5*"
nvram set vlan1ports="0 4 5"
nvram commit
Не хватает пока понимания линуксовых команд, буду крайне благодарен, если кто-нибудь подскажет, как при 2-ух WAN'ах сделать LAN4 IPTV STB.
MrGalaxy
08-04-2010, 17:56
После окончательного поглощения Билайном Корбины в этом году меня уже 4-й раз блокируют за [название ветки].
Обсуждение здесь. (http://homenet.corbina.net/index.php?showtopic=262873)
У кого есть мысли по этому поводу?
На всякий случай, привожу кусочек своего последнего лога:
...
Apr 8 13:05:40 pppd[13722]: Connect: ppp0 <--> l2tp (85.21.230.206)
Apr 8 13:06:01 crond[139]: crond: USER admin pid 13730 cmd /usr/local/bin/run-parts /opt/etc/cron.hourly
Apr 8 13:06:07 pppd[13722]: CHAP authentication succeeded
Apr 8 13:06:07 pppd[13722]: CHAP authentication succeeded
Apr 8 13:06:07 pppd[13722]: local IP address 95.29.149.235
Apr 8 13:06:07 pppd[13722]: remote IP address 85.21.230.206
Apr 8 13:06:07 pppd[13722]: primary DNS address 213.234.192.7
Apr 8 13:06:07 pppd[13722]: secondary DNS address 85.21.192.5
Apr 8 13:06:07 dnsmasq[73]: read /etc/hosts - 2 addresses
Apr 8 13:06:07 dnsmasq[73]: using nameserver 85.21.192.5#53
Apr 8 13:06:07 dnsmasq[73]: using nameserver 213.234.192.7#53
Apr 8 13:06:07 dnsmasq[73]: using nameserver 192.168.1.1#53
Apr 8 13:06:07 L2TP: connected to ISP
Apr 8 13:06:07 admin: ppp0-ip-up: vnstat ppp0 stats enabled
Apr 8 13:08:01 crond[139]: crond: USER admin pid 13762 cmd /usr/local/bin/run-parts /usr/local/etc/cron.hourly
Apr 8 13:08:50 pppd[13722]: No response to 6 echo-requests
Apr 8 13:08:50 pppd[13722]: Serial link appears to be disconnected.
Apr 8 13:08:50 pppd[13722]: Connect time 2.8 minutes.
Apr 8 13:08:50 pppd[13722]: Sent 1103 bytes, received 144 bytes.
Apr 8 13:08:50 admin: ppp0-ip-down: vnstat ppp0 stats disabled
Apr 8 13:08:56 pppd[13722]: Connection terminated.
Apr 8 13:08:56 pppd[13722]: Modem hangup
Apr 8 13:08:56 pppd[13722]: Exit.
Apr 8 13:09:04 l2tpd[13719]: Too many retransmissions on tunnel (10719/64354); closing down
Apr 8 13:10:26 l2tpd[13719]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Apr 8 13:11:56 l2tpd[13719]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Apr 8 13:13:26 l2tpd[13719]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Apr 8 13:14:56 l2tpd[13719]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Apr 8 13:16:26 l2tpd[13719]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Apr 8 13:17:57 l2tpd[13719]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Apr 8 13:19:27 l2tpd[13719]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Apr 8 13:20:57 l2tpd[13719]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Apr 8 13:22:27 l2tpd[13719]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Apr 8 13:23:01 crond[139]: crond: USER admin pid 13937 cmd /usr/local/bin/run-parts /opt/etc/cron.20mins
Apr 8 13:23:57 l2tpd[13719]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Apr 8 13:24:01 crond[139]: crond: USER admin pid 13946 cmd /usr/local/bin/run-parts /usr/local/etc/cron.20mins
Disconnect!
Apr 8 13:24:11 wan: disconnected manually
Apr 8 13:24:12 dhcp client: deconfig: lease is lost
Apr 8 13:24:12 dnsmasq[73]: read /etc/hosts - 2 addresses
Apr 8 13:24:12 dnsmasq[73]: using nameserver 85.21.192.3#53
Apr 8 13:24:12 dnsmasq[73]: using nameserver 213.234.192.8#53
Apr 8 13:24:12 dnsmasq[73]: using nameserver 192.168.1.1#53
Connect!
Apr 8 13:25:13 wan: connected manually
Apr 8 13:25:17 kernel: vlan1: Setting MAC address to ************.
Apr 8 13:25:17 kernel: VLAN (vlan1): Underlying device (eth0) has same MAC, not checking promiscious mode.
Apr 8 13:25:17 dhcp client: deconfig: lease is lost
Apr 8 13:25:17 admin: ppp0-ip-up: vnstat ppp0 stats enabled
Apr 8 13:26:32 l2tpd[14029]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Apr 8 13:28:02 l2tpd[14029]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Apr 8 13:29:33 l2tpd[14029]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
...
После окончательного поглощения Билайном Корбины в этом году меня уже 4-й раз блокируют за [название ветки].
Обсуждение здесь. (http://homenet.corbina.net/index.php?showtopic=262873)
У кого есть мысли по этому поводу?
А мысль проста - too many retransmission on tunnel - говорит о том что канал захлебывается потоком так, что роутер уже не слышит даже оборудовани провайдера... Причем создать такую нагрузку может только торрент, или DC заруленный наружу через inet, либо кто-то флудит за роутером(в роутере)...
Зачем на Пчелайне скрипт для нажимания кнопок может понять только аллах, за все время использования даже после аварий связь восстанавливалась автоматически - спасибо авторам прошивки...
MrGalaxy
08-04-2010, 19:29
Как можно уменьшить нагрузку торрентов на канал, чтобы он не захлёбывался?
Эмуляция нажатия кнопок Коннект-Дисконнект сделана у меня не от хорошей жизни, без этого сеть не восстанавливается. К сожалению. Проверено.
Как можно уменьшить нагрузку торрентов на канал, чтобы он не захлёбывался?
Эмуляция нажатия кнопок Коннект-Дисконнект сделана у меня не от хорошей жизни, без этого сеть не восстанавливается. К сожалению. Проверено.
Upload/Download лимит процентов на 10 меньше ширины канала по тарифу
А несоединение, прямо чудеса, а как говорил Фредди Крюгер - а я не верю в эти сказки :) Действительно если ретрансмишн еррор то соединение появится не сразу
MrGalaxy
08-04-2010, 19:54
Upload/Download лимит процентов на 10 меньше ширины канала по тарифуСпасибо, попробую.
А несоединение, прямо чудеса, а как говорил Фредди Крюгер - а я не верю в эти сказки :) Действительно если ретрансмишн еррор то соединение появится не сразуЭто - суровая правда жизни.;)
Я ждал больше часа. Потом нажимал Disconnect/Connect и соединение мигом появлялось. Ждать больше было как-то неохота. Проверял несколько раз, чтобы исключить статистическую ошибку.
Спасибо, попробую.
Это - суровая правда жизни.;)
Я ждал больше часа. Потом нажимал Disconnect/Connect и соединение мигом появлялось. Ждать больше было как-то неохота. Проверял несколько раз, чтобы исключить статистическую ошибку.
) если интересно попробуйте на голом роутере воспроизвести, если получится то логи разработчикам
MrGalaxy
08-04-2010, 20:23
) если интересно попробуйте на голом роутере воспроизвести, если получится то логи разработчикам
Уже делал. Ну, может, не на совсем голом роутере, но тем не менее. От меня отмахнулись, как от надоедливой мухи. :)
Уже делал. Ну, может, не на совсем голом роутере, но тем не менее. От меня отмахнулись, как от надоедливой мухи. :)
А кому же интересен почти результат?? ))
Если использовать такую схему подключения к 2 интернет каналам (на ПК 2 сетевые)
ИНЕТ1 <-> ASUS <-> ПК <-> ИНЕТ2
ИНЕТ1 - основной канал интернета для ASUS, интернет раздается по воздуху.
ПК - подключен к ASUS и ИНЕТ2 по проводу, использует оба канала
Как можно запрограммировать ASUS на ситуацию пропажи ИНЕТ1 (например проверка пинг каждые 5 минут), что бы он переключился на ПК для доступа в интернет (ИНЕТ2)?
Ну ASUS у Вас не имеет отношения к ИНЕТ2 - он к нему не подключен.
Включайте ИНЕТ1 и ИНЕТ2 в ASUS и управляйте.
Или объясните подробнее - что хотите.
В направление Инет2 будет нагрузка канала которую не хочется пропускать через роутер ASUS, поэтому на ПК (сервере) используется 2 сетевые одна напрямую -> Инет2, другая -> ASUS -> Инет1 (этот канал тоже будет использоваться).
Разве нельзя перенаправить трафик с роутера ASUS (когда ломается Инет1) на Инет2 через ПК?
Cutty Sark
bmenee
Я так понимаю, Вас в поиске забанили?
Здесь почитайте, внизу теги упомянуты для дополнительного поиска на форуме.
MrGalaxy
09-05-2010, 09:55
Продолжаем разговор.
Для диагностики мне посоветовали поставить сниффер.
Откуда его взять для роутера, и как настроить?
ipkg update && ipkg install tcpdump
У меня очень сильное подозрение, что спуфинг связан с вашей темой, обсуждавшейся ранее: ping via vlan2 не проходит (http://wl500g.info/showpost.php?p=185515&postcount=97).
Там вы настраивали второй wan, и, вполне возможно, пакеты оттуда пролезают в билайновскую сеть.
MrGalaxy
10-05-2010, 06:14
У меня очень сильное подозрение, что спуфинг связан с вашей темой, обсуждавшейся ранее: ping via vlan2 не проходит (http://wl500g.info/showpost.php?p=185515&postcount=97).
Там вы настраивали второй wan, и, вполне возможно, пакеты оттуда пролезают в билайновскую сеть.
Они вроде должны быть развязаны.:confused:
Да и Домолинковский модем, подсоединённый к vlan2, у меня выключен, когда Билайн работает.
Вот результат работы
tcpdump -i vlan1 -n -vvv -a -tttt -s 1500 при заблокированном Билайне и подключенном к vlan2 Домолинке:
...
1970-01-01 03:22:42.392996 IP (tos 0x0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 576)
0.0.0.0.bootpc > 255.255.255.255.bootps: [udp sum ok] BOOTP/DHCP, Request from ************ (oui Unknown), length 548, xid 0x48a32f3b, secs 3, Flags [none] (0x0000)
Client-Ethernet-Address *************** (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Client-ID Option 61, length 7: ether **************
Vendor-Class Option 60, length 12: "udhcp 1.15.3"
MSZ Option 57, length 2: 576
Parameter-Request Option 55, length 9:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Hostname
Domain-Name, BR, Static-Route, NTP
Classless-Static-Route-Microsoft
END Option 255, length 0
PAD Option 0, length 0, occurs 266
1970-01-01 03:22:45.393007 IP (tos 0x0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 576)
0.0.0.0.bootpc > 255.255.255.255.bootps: [udp sum ok] BOOTP/DHCP, Request from ************** (oui Unknown), length 548, xid 0x48a32f3b, secs 3, Flags [none] (0x0000)
Client-Ethernet-Address *************** (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Client-ID Option 61, length 7: ether **************
Vendor-Class Option 60, length 12: "udhcp 1.15.3"
MSZ Option 57, length 2: 576
Parameter-Request Option 55, length 9:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Hostname
Domain-Name, BR, Static-Route, NTP
Classless-Static-Route-Microsoft
END Option 255, length 0
PAD Option 0, length 0, occurs 266
1970-01-01 03:22:48.393004 IP (tos 0x0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 576)
0.0.0.0.bootpc > 255.255.255.255.bootps: [udp sum ok] BOOTP/DHCP, Request from ************* (oui Unknown), length 548, xid 0x48a32f3b, secs 3, Flags [none] (0x0000)
Client-Ethernet-Address ************** (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Client-ID Option 61, length 7: ether ******************
Vendor-Class Option 60, length 12: "udhcp 1.15.3"
MSZ Option 57, length 2: 576
Parameter-Request Option 55, length 9:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Hostname
Domain-Name, BR, Static-Route, NTP
Classless-Static-Route-Microsoft
END Option 255, length 0
PAD Option 0, length 0, occurs 266
1970-01-01 03:22:51.392997 IP (tos 0x0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 576)
0.0.0.0.bootpc > 255.255.255.255.bootps: [udp sum ok] BOOTP/DHCP, Request from ************** (oui Unknown), length 548, xid 0x48a32f3b, secs 3, Flags [none] (0x0000)
Client-Ethernet-Address *************** (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Client-ID Option 61, length 7: ether ****************
Vendor-Class Option 60, length 12: "udhcp 1.15.3"
MSZ Option 57, length 2: 576
Parameter-Request Option 55, length 9:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Hostname
Domain-Name, BR, Static-Route, NTP
Classless-Static-Route-Microsoft
END Option 255, length 0
PAD Option 0, length 0, occurs 266
...
(mac под звёздочками везде одинаковый).
Они вроде должны быть развязаны.:confused:
Да и Домолинковский модем, подсоединённый к vlan2, у меня выключен, когда Билайн работает.
Развязаны, да не совсем. Некоторая информация просачивается. Например, если у вас на vlan2 прописан адрес 192.168.1.2, то при получении ARP-запроса на vlan1 с вопросом, у кого тут адрес 192.168.1.2, роутер радостно ответит, что у него, несмотря на то, что у него этот адрес на другом интерфейсе. Чистой воды спуфинг. Так что для чистоты эксперимента лучше vlan2 опустить и адрес с него удалить (т.е. в каждый момент времени адрес должен присутствовать не более, чем на одном из интерфейсов vlan1, vlan2).
MrGalaxy
11-05-2010, 04:30
Развязаны, да не совсем. Некоторая информация просачивается. Например, если у вас на vlan2 прописан адрес 192.168.1.2, то при получении ARP-запроса на vlan1 с вопросом, у кого тут адрес 192.168.1.2, роутер радостно ответит, что у него, несмотря на то, что у него этот адрес на другом интерфейсе. Чистой воды спуфинг. Так что для чистоты эксперимента лучше vlan2 опустить и адрес с него удалить (т.е. в каждый момент времени адрес должен присутствовать не более, чем на одном из интерфейсов vlan1, vlan2).
Спасибо за идею. Расскажу поподробней про последний случай.
К wan подключён Билайн. Раз в 20 мин. выполняется скрипт, проверяющий доступность как сервера Билайна (пинг до 217.118.84.134), так и внешки (пинг до 213.180.204.8). Если пинга нет, то соединение искусственно рвётся (эмулируется нажатие клавиши Disconnect в веб-морде роутера) и через 15 мин. делается попытка соединения (эмулируется нажатие клавиши Connect в веб-морде роутера).
Вот кусок последнего лога:
...
May 5 01:04:00 transmission-daemon: cs_4m_v2.exe Tracker warning: "tracker gave HTTP Response Code 504 (Gateway Timeout)" (torrent.c:337)
Disconnect!
May 5 01:04:11 wan: disconnected manually
May 5 01:04:11 pppd[21477]: Terminating on signal 15
May 5 01:04:11 pppd[21477]: Modem hangup
May 5 01:04:11 pppd[21477]: Connect time 4.8 minutes.
May 5 01:04:11 pppd[21477]: Sent 2668567 bytes, received 168750 bytes.
May 5 01:04:12 pppd[21477]: Couldn't set PPP MRU: Transport endpoint is not connected
May 5 01:04:12 pppd[21477]: Connection terminated.
May 5 01:04:12 pppd[21477]: Terminating on signal 15
May 5 01:04:12 pppd[21477]: Exit.
May 5 01:04:13 dhcp client: deconfig: lease is lost
May 5 01:04:13 dnsmasq[75]: read /etc/hosts - 2 addresses
May 5 01:04:13 dnsmasq[75]: using nameserver 85.21.192.3#53
May 5 01:04:13 dnsmasq[75]: using nameserver 213.234.192.8#53
May 5 01:04:13 dnsmasq[75]: using nameserver 192.168.1.1#53
May 5 01:06:01 crond[139]: crond: USER admin pid 21610 cmd /usr/local/bin/run-parts /opt/etc/cron.hourly
May 5 01:08:01 crond[139]: crond: USER admin pid 21630 cmd /usr/local/bin/run-parts /usr/local/etc/cron.hourly
Connect!
May 5 01:19:13 wan: connected manually
May 5 01:19:18 kernel: vlan1: Setting MAC address to **************.
May 5 01:19:18 kernel: VLAN (vlan1): Underlying device (eth0) has same MAC, not checking promiscious mode.
post-firewall started
post-firewall ended
ppp0-ip-up started
May 5 01:19:18 admin: ppp0-ip-up: vnstat ppp0 stats enabled
May 5 01:19:18 dhcp client: deconfig: lease is lost
ppp0-ip-up ended
post-firewall started
post-firewall ended
May 5 01:19:21 dnsmasq[75]: read /etc/hosts - 2 addresses
May 5 01:19:21 dnsmasq[75]: using nameserver 85.21.192.3#53
May 5 01:19:21 dnsmasq[75]: using nameserver 213.234.192.8#53
May 5 01:19:21 dnsmasq[75]: using nameserver 192.168.1.1#53
ppp0-ip-up started
May 5 01:19:21 dhcp client: bound IP : 10.174.66.57 from 10.174.64.1
May 5 01:19:21 admin: ppp0-ip-up: vnstat ppp0 stats enabled
May 5 01:19:21 pppd[21804]: Plugin pppol2tp.so loaded.
ppp0-ip-up ended
May 5 01:19:21 pppd[21804]: pppd 2.4.5 started by admin, uid 0
May 5 01:19:21 pppd[21804]: Using interface ppp0
May 5 01:19:21 pppd[21804]: Connect: ppp0 <--> l2tp (85.21.230.206)
May 5 01:19:21 pppd[21804]: CHAP authentication succeeded
May 5 01:19:21 pppd[21804]: CHAP authentication succeeded
May 5 01:19:21 pppd[21804]: local IP address 95.29.149.173
May 5 01:19:21 pppd[21804]: remote IP address 85.21.230.206
May 5 01:19:21 pppd[21804]: primary DNS address 213.234.192.7
May 5 01:19:21 pppd[21804]: secondary DNS address 85.21.192.5
May 5 01:19:21 dnsmasq[75]: read /etc/hosts - 2 addresses
May 5 01:19:21 dnsmasq[75]: using nameserver 85.21.192.5#53
May 5 01:19:21 dnsmasq[75]: using nameserver 213.234.192.7#53
May 5 01:19:21 dnsmasq[75]: using nameserver 192.168.1.1#53
post-firewall started
post-firewall ended
May 5 01:19:21 L2TP: connected to ISP
ppp0-ip-up started
May 5 01:19:22 admin: ppp0-ip-up: vnstat ppp0 stats enabled
ppp0-ip-up ended
Disconnect!
May 5 01:24:11 wan: disconnected manually
May 5 01:24:11 pppd[21804]: Terminating on signal 15
May 5 01:24:11 pppd[21804]: Modem hangup
May 5 01:24:11 pppd[21804]: Connect time 4.9 minutes.
May 5 01:24:11 pppd[21804]: Sent 3941017 bytes, received 157518 bytes.
May 5 01:24:11 pppd[21804]: Couldn't set PPP MRU: Transport endpoint is not connected
May 5 01:24:11 pppd[21804]: Connection terminated.
May 5 01:24:11 pppd[21804]: Terminating on signal 15
ppp0-ip-down started
May 5 01:24:11 pppd[21804]: Exit.
May 5 01:24:12 dhcp client: deconfig: lease is lost
May 5 01:24:12 dnsmasq[75]: read /etc/hosts - 2 addresses
May 5 01:24:12 dnsmasq[75]: using nameserver 85.21.192.3#53
May 5 01:24:12 dnsmasq[75]: using nameserver 213.234.192.8#53
May 5 01:24:12 dnsmasq[75]: using nameserver 192.168.1.1#53
Connect!
May 5 01:39:13 wan: connected manually
May 5 01:39:18 kernel: vlan1: Setting MAC address to ***********.
May 5 01:39:18 kernel: VLAN (vlan1): Underlying device (eth0) has same MAC, not checking promiscious mode.
post-firewall started
post-firewall ended
May 5 01:39:18 dhcp client: deconfig: lease is lost
ppp0-ip-up started
May 5 01:39:18 admin: ppp0-ip-up: vnstat ppp0 stats enabled
ppp0-ip-up ended
post-firewall started
post-firewall ended
May 5 01:39:20 dnsmasq[75]: read /etc/hosts - 2 addresses
May 5 01:39:20 dnsmasq[75]: using nameserver 85.21.192.3#53
May 5 01:39:20 dnsmasq[75]: using nameserver 213.234.192.8#53
May 5 01:39:20 dnsmasq[75]: using nameserver 192.168.1.1#53
May 5 01:39:20 dhcp client: bound IP : 10.174.66.58 from 10.174.64.1
ppp0-ip-up started
May 5 01:39:21 admin: ppp0-ip-up: vnstat ppp0 stats enabled
ppp0-ip-up ended
May 5 01:39:21 pppd[22123]: Plugin pppol2tp.so loaded.
May 5 01:39:21 pppd[22123]: pppd 2.4.5 started by admin, uid 0
May 5 01:39:21 pppd[22123]: Using interface ppp0
May 5 01:39:21 pppd[22123]: Connect: ppp0 <--> l2tp (85.21.230.206)
May 5 01:39:21 pppd[22123]: CHAP authentication succeeded
May 5 01:39:21 pppd[22123]: CHAP authentication succeeded
May 5 01:39:21 pppd[22123]: local IP address 95.29.149.124
May 5 01:39:21 pppd[22123]: remote IP address 85.21.230.206
May 5 01:39:21 pppd[22123]: primary DNS address 213.234.192.7
May 5 01:39:21 pppd[22123]: secondary DNS address 85.21.192.5
May 5 01:39:21 dnsmasq[75]: read /etc/hosts - 2 addresses
May 5 01:39:21 dnsmasq[75]: using nameserver 85.21.192.5#53
May 5 01:39:21 dnsmasq[75]: using nameserver 213.234.192.7#53
May 5 01:39:21 dnsmasq[75]: using nameserver 192.168.1.1#53
post-firewall started
post-firewall ended
May 5 01:39:21 L2TP: connected to ISP
...
May 5 13:19:13 wan: connected manually
May 5 13:19:18 kernel: vlan1: Setting MAC address to *************.
May 5 13:19:18 kernel: VLAN (vlan1): Underlying device (eth0) has same MAC, not checking promiscious mode.
post-firewall started
post-firewall ended
ppp0-ip-up started
May 5 13:19:18 dhcp client: deconfig: lease is lost
May 5 13:19:18 admin: ppp0-ip-up: vnstat ppp0 stats enabled
ppp0-ip-up ended
May 5 13:20:33 l2tpd[921]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
May 5 13:22:03 l2tpd[921]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
May 5 13:23:33 l2tpd[921]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
Disconnect!
May 5 13:24:11 wan: disconnected manually
May 5 13:24:13 dnsmasq[75]: read /etc/hosts - 2 addresses
May 5 13:24:13 dnsmasq[75]: using nameserver 85.21.192.3#53
May 5 13:24:13 dnsmasq[75]: using nameserver 213.234.192.8#53
May 5 13:24:13 dnsmasq[75]: using nameserver 192.168.1.1#53
Connect!
May 5 13:39:13 wan: connected manually
May 5 13:39:18 kernel: vlan1: Setting MAC address to ******************.
May 5 13:39:18 kernel: VLAN (vlan1): Underlying device (eth0) has same MAC, not checking promiscious mode.
post-firewall started
post-firewall ended
ppp0-ip-up started
May 5 13:39:18 dhcp client: deconfig: lease is lost
May 5 13:39:18 admin: ppp0-ip-up: vnstat ppp0 stats enabled
ppp0-ip-up ended
May 5 13:40:33 l2tpd[1214]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
May 5 13:42:03 l2tpd[1214]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
May 5 13:43:33 l2tpd[1214]: tunnel_establish: gethostbyname failed for 'tp.corbina.ru'
...
Началась эта чехарда 4-го числа (в этот день ввели новые тарифы, т.е. проводились какие-то работы). Ответа на пинг от www.internet.beeline.ru не было, хотя соединение устанавливалось. 5 мая в 13-01 начались обычные билайновские "ретрансмиссии он туннель" и соединение упало само.
По телефону мне посоветовали увеличить количество пингов (у меня -с 1), т.к. роутер может не дождаться ответа и разорвать соединение. Установил, хотя вряд ли это поможет.
Я так понимаю, спуфинг возникает у меня при разрыве-поднятии соединения на vlan1.
Получается, что ARP-запросы приводят к спуфингу только в момент поднятия соединения на vlan1.
А как можно с помощью iptables запретить роутеру отвечать на вопрос: есть ли адрес на vlan2?
Особенность linux систем что они arp шлют на все интерфейсы сразу.
Что может приводить к кокойнить фигне.
На большой машине работа арп рулится гдето здесь:
# sysctl -a | grep arp
error: "Invalid argument" reading key "fs.binfmt_misc.register"
error: permission denied on key 'net.ipv4.route.flush'
net.ipv4.conf.all.proxy_arp = 0
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.all.arp_ignore = 0
net.ipv4.conf.all.arp_accept = 0
net.ipv4.conf.all.arp_notify = 0
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.default.arp_announce = 0
net.ipv4.conf.default.arp_ignore = 0
net.ipv4.conf.default.arp_accept = 0
net.ipv4.conf.default.arp_notify = 0
net.ipv4.conf.lo.proxy_arp = 0
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.lo.arp_announce = 0
net.ipv4.conf.lo.arp_ignore = 0
net.ipv4.conf.lo.arp_accept = 0
net.ipv4.conf.lo.arp_notify = 0
net.ipv4.conf.eth0.proxy_arp = 0
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth0.arp_announce = 0
net.ipv4.conf.eth0.arp_ignore = 0
net.ipv4.conf.eth0.arp_accept = 0
net.ipv4.conf.eth0.arp_notify = 0
net.ipv4.conf.vboxnet0.proxy_arp = 0
net.ipv4.conf.vboxnet0.arp_filter = 0
net.ipv4.conf.vboxnet0.arp_announce = 0
net.ipv4.conf.vboxnet0.arp_ignore = 0
net.ipv4.conf.vboxnet0.arp_accept = 0
net.ipv4.conf.vboxnet0.arp_notify = 0
net.ipv4.conf.wlan0.proxy_arp = 0
net.ipv4.conf.wlan0.arp_filter = 0
net.ipv4.conf.wlan0.arp_announce = 0
net.ipv4.conf.wlan0.arp_ignore = 0
net.ipv4.conf.wlan0.arp_accept = 0
net.ipv4.conf.wlan0.arp_notify = 0
error: permission denied on key 'net.ipv6.route.flush'
Я так понимаю, спуфинг возникает у меня при разрыве-поднятии соединения на vlan1.
Получается, что ARP-запросы приводят к спуфингу только в момент поднятия соединения на vlan1.
А как можно с помощью iptables запретить роутеру отвечать на вопрос: есть ли адрес на vlan2?
iptables регулирует прохождение ip-пакетов, коими arp-запросы и -ответы не являются.
К тому же я не зря написал "например". Это одна из ситуаций и, наверняка, не единственная. Поэтому я и предложил опустить vlan2 и удалить адрес с него:
ifconfig vlan2 down
ip addr flush dev vlan2
(либо просто не поднимать его).
Просто для информации: лишние ARP-ответы на vlan1 можно заблокировать, например, так
echo 1 > /proc/sys/net/ipv4/conf/vlan1/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/vlan1/arp_announce
Но, я думаю, если б дело было в них, вас бы блокировали постоянно, а не только при разрывах.
P.S. А можете показать содержимое вашей flashfs (архив целиком), если у вас там нет ничего конфиденциального? И результат выполнения команды
nvram show 2>/dev/null | grep -i vlan | sort
я вижу, вы разбираетесь в теме..
может быть, у вас найдётся время описать путь решения моей проблемы :confused:
есть WL-500gP v2
на WAN подключен провайдер, выдающий статичный IP
требуется подключить как минимум две ЛОКАЛЬНЫЕ сети, в обе маршрутизировать Интернет, маршрутизацию между этими локальными сетями отключить или ограничить правилами.
В Linux не разбираюсь.
Пробовал сделать самостоятельно через создание vlan (кстати, коммутатор в локалке умеет работать с vlan, но как я понял, тегирование настроить тоже непросто, поэтому решил делить сетки "port-based" )
Так вот, vlan созданы:
Port 0: 100FD enabled stp: none vlan: 2
Port 1: DOWN enabled stp: none vlan: 2
Port 2: DOWN enabled stp: none vlan: 3
Port 3: 100FD enabled stp: none vlan: 0
Port 4: 100FD enabled stp: none vlan: 1
Port 5: 100FD enabled stp: none vlan: 3
присвоил подсетям адреса:
vlan2 Link encap:Ethernet HWaddr E0:CB:4E:F6:96:80
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
br0 Link encap:Ethernet HWaddr E0:CB:4E:F6:96:80
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
vlan1 Link encap:Ethernet HWaddr E0:CB:4E:F6:96:80
inet addr:192.168.112.150 Bcast:192.168.112.255 Mask:255.255.255.0 (это у меня сейчас wan-интерфейс)
пинги с компа 192.168.1.227 отпраывленные на 192.168.1.1
и с 192.168.2.10 , отправленные на 192.168.2.1 нормально возвращаются, но нет маршрутизации в сеть 192.168.2.x
то есть из 192.168.1.227 есть доступ в Интернет , но не к 192.168.2.10
и также из 192.168.2.10 доступен только шлюз 192.168.2.1
при этом таблица маршрутизации вроде правильная:
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.112.1 * 255.255.255.255 UH 0 0 0 vlan1
192.168.112.0 * 255.255.255.0 U 0 0 0 vlan1
192.168.2.0 * 255.255.255.0 U 0 0 0 vlan2
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 192.168.112.1 0.0.0.0 UG 0 0 0 vlan1
Подскажите. пожалуйста, как двигаться дальше?
MrGalaxy
11-05-2010, 17:35
Да не вопрос! :)
landevs=vlan0 wl0
lan_ifnames_t=vlan0 eth1
lan_ifnames=vlan0 eth1
vlan0hwname=et0
vlan0ports=1 2 3 4 5*
vlan1hwname=et0
vlan1ports=0 5
vlan_enable=1
wan0_ifnames=vlan1
wan0_ifname=vlan1
wandevs=vlan1
wan_ifnames=vlan1
wan_ifname=vlan1
Подскажите. пожалуйста, как двигаться дальше?
Лучше б вы, конечно, не сюда писали, а в новую тему...
Вам нужно настроить фаерволл (iptables), а конкретно, цепочку FORWARD. Там ваши пакеты и останавливаются.
Да не вопрос! :)
landevs=vlan0 wl0
lan_ifnames_t=vlan0 eth1
lan_ifnames=vlan0 eth1
vlan0hwname=et0
vlan0ports=1 2 3 4 5*
vlan1hwname=et0
vlan1ports=0 5
vlan_enable=1
wan0_ifnames=vlan1
wan0_ifname=vlan1
wandevs=vlan1
wan_ifnames=vlan1
wan_ifname=vlan1
Вот ещё один источник проблем. Настройкой vlan-ов с помощью robocfg+vconfig можно пользоваться только во время тестирования, для постоянного использования рекомендуется настройка через переменные nvram.
Так что вам надо убрать из post-boot строчки
robocfg vlan 0 ports "1 2 3 5t" vlan 2 ports "4 5t"
vconfig add eth0 2
А вместо них выполнить один раз в консоли
nvram set vlan0ports="1 2 3 5*"
nvram set vlan2hwname=et0
nvram set vlan2ports="4 5"
nvram commit
Правда, если вы сбросите настройки, то эти команды придётся опять выполнять.
Ну и как я говорил ранее, попробуйте не поднимать vlan2, т.е. закомментируйте в post-boot строчки
ifconfig vlan2 192.168.1.123 netmask 255.255.255.0 up
route add default gw 192.168.1.1 dev vlan2 metric 1
MrGalaxy
11-05-2010, 19:58
Ну настройки - не страшно, я их периодически запоминаю и всегда могу восстановить из файла .cfg.
Я вот думаю: неужели я один в Билайне пользуюсь vlan2 как резервным портом? Наверняка нет. И настраивал я его по здешним, многократно проверенным, методикам.
Может, мне запустить tcpdump на vlan1 и выполнить при этом скрипты Disconnect/Connect, а Вы посмотрите?
ЗЫ: Спасибо, что возитесь со мной. :)
Ну настройки - не страшно, я их периодически запоминаю и всегда могу восстановить из файла .cfg.
Я вот думаю: неужели я один в Билайне пользуюсь vlan2 как резервным портом? Наверняка нет. И настраивал я его по здешним, многократно проверенным, методикам.
Может, мне запустить tcpdump на vlan1 и выполнить при этом скрипты Disconnect/Connect, а Вы посмотрите?
ЗЫ: Спасибо, что возитесь со мной. :)
На заметку: при восстановлении настроек из cfg-файла (через веб-морду) конфигурация vlan-ов не восстанавливается, так что всё-таки ручками.
Вы, конечно, можете снять дамп (только лучше "сырой" дамп в файл, т.е. с опциями -s 0 -w /tmp/dump.pcap), но, вроде бы, при одном из действий disconnect/connect интерфейс опускается и tcpdump скажет "приехали" (поэтому самое надёжное - взять 3+ портовый хаб (не свич) и подключить в него провайдера, роутер и третий провод к компу со сниффером).
Кстати, вы уверены, что спуфинг проявляется при каждом disconnect/connect?
MrGalaxy
12-05-2010, 04:31
вроде бы, при одном из действий disconnect/connect интерфейс опускается и tcpdump скажет "приехали" Я об этом не подумал.
, вы уверены, что спуфинг проявляется при каждом disconnect/connect?
Скажем так, почти уверен. Последний раз (4 - 5 мая) было так: сеть работала, но пинг до 213.180.204.8 не проходил (оказалось, что адрес ya.ru сменился, я это потом заметил). Сеть рвалась и поднималась каждые 20 минут на 4,9 мин. почти в течение суток. Потом меня заблокировали.
самое надёжное - взять 3+ портовый хаб (не свич) и подключить в него провайдера, роутер и третий провод к компу со сниффером).
Можно роутер настроить как свитч? У меня есть ДИР-320 (см. подпись), я его тогда временно приспособлю для экспериментов.
В качестве ликбеза, просветите, пожалуйста, почему
Настройкой vlan-ов с помощью robocfg+vconfig можно пользоваться только во время тестирования, для постоянного использования рекомендуется настройка через переменные nvram.
Я об этом не подумал.
Ну вы хотя бы попробуйте, я не уверен.
Можно роутер настроить как свитч? У меня есть ДИР-320 (см. подпись), я его тогда временно приспособлю для экспериментов.
Я ж написал "не свич". Нужен именно хаб. Ну или свич, который можно настроить на дублирование всех пакетов на нужный порт. Просто свич будет пересылать каждый пакет только в один из портов, а нужно по крайней мере в два. Хаб же пересылает все пакеты во все порты, поэтому трафик так удобно ловить на одном из портов.
В качестве ликбеза, просветите, пожалуйста, почему
Настройкой vlan-ов с помощью robocfg+vconfig можно пользоваться только во время тестирования, для постоянного использования рекомендуется настройка через переменные nvram.
Простейший пример: с помощью nvram у вас настроено по умолчанию - vlan0 = порты 1,2,3,4,5, vlan1 = порты 0,5. К порту lan4 подключен модем. А в post-boot прописаны вызовы robocfg+vconfig, которые изменяют конфигурацию на vlan0 = порты 1,2,3,5, vlan1 = порты 0,5, vlan2 = порты 4,5.
Но post-boot выполняется через какое-то время после старта роутера (скажем, 15 секунд). Так вот, все эти 15 секунд порт lan4 принадлежит vlan0 и модем оказывается как бы подключен к LAN вместо WAN2. В вашем случае это не так страшно, но вообще бывает всякое.
А если настроить всё с помощью nvram, то свич сразу после включения разбивается на vlan-ы правильно и пакеты уже не могут свободно ходить между lan4 и vlan0.
Ребята а подскажите как быть в такой ситуации?. у меня два канала по wi-fi от одного оператора и с разных старон города. один частенько падает. авторизация по pppoe естественно есть и локальные адреса но они не к чему. как сделать так чтоб при подении одного канала pppoe поднималось на второй?
#поднимается второй интерфейс на LAN1
robocfg vlan 0 ports "2 3 4 5t" vlan 2 ports "1 5t"
vconfig add eth0 2
для проверки на обоих интерфейсах прописываю адреса из деапазона точек, пингую все работает. но вот проблема образуется кальцо. по этому локальные адреса не желательны нужно только чтоб ppoe поднемалось или на тот или на тот порт.
Здравствуйте!
У меня такая ситуация: Интернет у провайдера (Твое ТВ) с кабельным модемом Arris Touchstone CM450B периодически отваливается (модем теряет связь, видно по лампочкам), затем довольно быстро (либо не очень быстро) восстанавливается. Причем проблемы на стороне провайдера, они то пропадают на месяц-два-три, то возобновляются вновь.
Для получения некого подобия "бесперебойного" Интернета я подключился к другому провайдеру, модем ADSL. Но и тут не все гладко, Интернет также периодически отваливается.
В итоге я имею 2 эзернет шнурка, один воткнут в роутер, другой валяется рядом. Как только Интернет отвалился, я подбегаю к роутеру и перетыкаю шнур. Но на этом еще не все: если я перетыкаюсь с ADSL на кабельный, то роутер автоматом переполучает IP, шлюз и прочее, то есть после перетыкания можно сразу бежать обратно работать :). А если с кабельного на ADSL - тогда придется сначала зайти на страницу роутера в раздел Status&Log и там нажать Disconnect, а потом Connect. Только после этого роутер направляет пакеты куда надо.
В последнее время, в связи с участившимися проблемами у провайдеров, бегать туда-сюда напряжно. А когда я не дома, не всегда легко объяснять сию процедуру по телефону (никто ведь не запоминает, а я и не заставляю, ибо процедура переключения сама по себе противоестественная), хорошо хоть провода разного цвета - от кабельного синий, а от ADSL желтый! :)
Однако у кабельного модема есть USB. И когда-то давно, когда я только-только слез с dial-up'а, этот модем был подключен к моему компьютеру напрямую через USB. Конечно на сайте производителя модема есть драйвера для Windows. Само собой, x86...
В связи с этим у меня образовалось 2 вопроса к знающим людям:
1) Возможно ли прикрутить CM450B через USB к WL500gP v2 ? Если да, то как?
2) Если ответ на первый вопрос п.1 "да", то возможно ли вдогонку сделать еще автоматическое переключение между Ethernet (ADSL-модем) и USB (CM450B модем)? Если да, то как? :)
Спасибо.
Ладно, я понял. Подключать надо не в USB, а в свободный (пока что) LAN, делать его WAN'ом, а далее - по стандартной схеме "2 провайдера" :)
Смысл в том чтоб можно было подключить двух провайдеров. Очень надо и именно на этом железе. И при падении одного поток переключался на другой.
Здравствуйте.
Помогите пожалуйста с настройкой резервного канала.
Настроить хочу таким образом что бы роутер автоматически переключался на резервный канал если в основном нет интернета и обратно, если в основном канале интернет появился.
"Нет интернета" означает что ip провайдером выдается, шлюз пингуется, но дальше пакеты не уходят, провайдерский DNS не доступен.
К сожалению, такое бывает часто, а наличие интернета критично для работы.
Исходные данные:
Asus RT-N16
Прошивка: DD-WRT v24-sp2 (08/07/10) mega
Провайдер 1: основной интернет, динамический IP, в локалке провайдера
Провайдер 2: резервный канал, кабель от ноута с подключенным 3G модемом, для простоты, со статическим IP
Несколько месяцев назад, в процессе грозы сгорел родной WAN-порт роутера. Перенастроил на LAN1, все ок.
Основной канал подключен к WAN-порту и настроен как Dynamic IP.
root@Router:~# nvram show |grep vlan.ports
vlan2ports=4 8
vlan0ports=1 2 3 8*
vlan1ports=1 2 3 8*
root@Router:~# nvram show |grep port.vlans
port5vlans=1 2 16
port3vlans=1
port1vlans=1
port4vlans=1
port2vlans=1
port0vlans=2
Для начала хочу разобраться с этим выводом.
port0vlans=2, а port4vlans=1, но как это коррелирует с vlan2ports=4 8 ?
В моем представлении, должно быть port4vlans=2. Поправте пожалуйста, если я не прав.
Дальше.
Правильно ли я представляю решение задачи:
Для начала нужно сделать примерно следущее
nvram set vlan0ports="3 8*" # назначить дл VLAN0 физический порт LAN2
nvram set vlan1ports="1 2 8*" # и освободить LAN2
А вот что делать дальше я не знаю (
Optoware установлено, пользуюсь оттуда screen и vim, больше ничего не ставил.
т.к. комлит солюшина я так и не смог найти, поэтому опять спрашиваю гуру.
дано: локалка 192.168.1.0/24
провайдер1 с realIp + static в WAN
vlan1 Link encap:Ethernet HWaddr 00:22:15:79:06:A7
inet addr:78.31.177.XXX Bcast:78.31.177.XXX Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
провайдер2 с realIp + static в 1LAN
vlan2 Link encap:Ethernet HWaddr 00:17:31:D6:E6:EB
inet addr:109.254.6.XX Bcast:109.254.6.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
post-boot
robocfg vlan 2 ports "3 5t" vlan 0 ports "0 1 2 5t"
vconfig add eth0 2
ifconfig vlan2 hw ether 00:17:31:d6:e6:eb
ifconfig vlan2 109.254.6.XX netmask 255.255.255.0 up
route add default gw 109.254.6.1 dev vlan2 metric 1
В итоге имею:
- при физическом пропадании WAN (vlan1) провайдера, автоматическое получения интернета из vlan2
- отсутствие пингов с интерфейса vlan2 (ping -I vlan2 8.8.8.8)
однако после шаманства в виде
ip ru add from 109.254.6.XX table 60
ip r add default via 109.254.6.1 dev vlan2 src 109.254.6.XX table 60
имею позитивный результат в виде
# ping -I vlan2 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: seq=0 ttl=53 time=52.100 ms
64 bytes from 8.8.8.8: seq=1 ttl=53 time=49.694 ms
и даже снаружи
[tender@freebsd]:# ping 109.254.6.XX
PING 109.254.6.XX: 56 data bytes
64 bytes from 109.254.6.XX: icmp_seq=0 ttl=57 time=11.940 ms
причем до меня, как старого фрилсд-шника не воспринимается умом, во-первых какого код выше указанный (ip ru add from 109.254.6.XX table 60) вообще нужен, а во вторых почему он не отрабатывает если его указать в post-firewall... т.е. он живет только если я потом сам ручками его запускаю.
ну и самый главный вопрос, собственно за чем я вообще пишу этот псот:
ни какими шаманствами даже после получения вышеуказанного пинга в обе стороны, я не могу получить проброс по vlan2 ни одного порта!
iptables -t nat -A PREROUTING -p tcp -i vlan2 --dport 80 -j DNAT --to-destination 192.168.1.77:80
iptables -A FORWARD -i vlan2 -d 192.168.1.77 -p tcp --dport 80 -j ACCEPT
PS: Ногами если можно не пинать. Я линуксЪ вижу периодически местами и пятнами. Сам админю 17 лет FreeBSD, там мягко говоря, другая кухня :)
Спасибо.
Подскажите как настроить резервного провайдера?
Роутер wl500v2, прошивка r3300, основной провайдер ethernet "onlime" + adsl мгтс резервный. Все перечитал, непонятно. Если несложно, направьте на путь истинный плиз.
Например для ddwrt нашел то что нужно http://www.dd-wrt.com/wiki/index.php/Dual_WAN_with_failover
HobGoblin
22-01-2012, 10:32
Модем ASUS WL-500gP V2.
Прошивка 1.9.2.7-rtn-r3702.
WAN1 - основной провайдер. DHCP.
На порту LAN1 настроен второй WAN2 для второго провайдера:
post-boot:
robocfg vlan 0 ports "0 1 2 5t" vlan 1 ports "4 5t" vlan 2 ports "3 5t"
vconfig add eth0 2
ifconfig vlan2 up
udhcpc -i vlan2
Необходимо на WAN2 поднять PPPoE с получением адреса от DHCP и настроить маршрутизацию:
1. 10.0.0.0/8 через PPPoE
2. Все остальное через WAN1
DarkForce
06-02-2012, 01:19
Народ, уже давно созрела потребность делать веб-ориентрированное управление MultiWAN))) Очень надо, т.к. роутеры данного семейства - незаменимые штуки во всяких ОП, к несчастью, я не гуру линукса, и собирать прошивку не умею, могу только поддержать овациями!
Задача такого рода: в данный момент у меня роутеры используются как vpn шлюзы в части удаленных подразделений, но инет там крайне ненадежен, и хочется иметь резерв - кто что посоветует, и каким образом собрать отказоустойчивость в плане инета, если есть два разных канала, в том числе и с разной физикой/параметрами?
promavto
06-02-2012, 15:55
Применяю прошивку прошивку dual wan
http://tomatousb.ru/ . Работает неплохо, есть все функции. Контролирует двух провайдеров, переключает при отсутствии пинга, контролирует наличие компьютеров в сети. Рекомендую. Настройки не сложные. Дополнительное програмное обеспечение как у энтузиастов. Устанавливается автоматически.
MrGalaxy
06-02-2012, 18:03
Применяю прошивку прошивку dual wan
http://tomatousb.ru/ . Работает неплохо, есть все функции. Контролирует двух провайдеров, переключает при отсутствии пинга, контролирует наличие компьютеров в сети. Рекомендую. Настройки не сложные. Дополнительное програмное обеспечение как у энтузиастов. Устанавливается автоматически.
Какие именно провайдеры и в каком городе? На форуме Томато написано, что WAN не поддерживает PPTP (L2TP).
И ещё. Поддерживает ли та прошивка 128 М ОЗУ?
monilisq
17-02-2012, 14:59
Всем привет, описываю свою ситуацию:
В WAN порт идет 1(первый) провайдер а например на 4 порту идет провайдер 2(второй). Как можно организовать переключение между ними при недоступности провайдера в WAN переключение на второго провайдера в 4 порту и возврат на 1вого провайдера в стандартном порту WAN в случаи его доступности??
Аутентификация в обоих случаях стандартная все IP указаны руками, без VPN, PPPoE итд. Подобную задачу решил на Linux без проблем просто меняю Default GW скрипт в кроне раз в минуту, на ddwrt не знаю как начать...
Как понимаю план действий таков.
1) Конфигурируем порт 4 на статик WAN
2) Меняем шлюз по умолчанию, тестируем второй канал.
3) Пишем и заносим скрипт в cron который делает переключения по каналам.
Но вот как это реализовать...
ALEXey)))
24-02-2012, 03:56
Ситуация такая: есть роутер а конкретно ASUS RT-N16. Есть 2 провайдера:
1)PPРOE (воткнут в WAN, и работает прекрасно)
2)Static IP (локалка городская)
Вопрос как сделать чтобы первая и вторая сеть работали в роутере одновременно?
Делал по этой инструкции http://forum.gorod.nu/index.php?/topic/139559-%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d 0%b0-%d1%83%d1%81%d0%b8%d0%bc%d0%b8%d0%b3-%d0%bd%d0%b0-wl500gpv2/
Но ничего не вышло, пришёл к выводу что эти строчки неправильные:
nvram set vlan0ports="0 1 2 5*"
nvram set vlan1ports="4 5"
nvram set vlan2ports="3 5"
theMIROn
24-02-2012, 11:29
Ситуация такая: есть роутер а конкретно ASUS RT-N16. Есть 2 провайдера:
1)PPРOE (воткнут в WAN, и работает прекрасно)
2)Static IP (локалка городская)
Вопрос как сделать чтобы первая и вторая сеть работали в роутере одновременно?
Делал по этой инструкции http://forum.gorod.nu/index.php?/topic/139559-%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d 0%b0-%d1%83%d1%81%d0%b8%d0%bc%d0%b8%d0%b3-%d0%bd%d0%b0-wl500gpv2/
Но ничего не вышло, пришёл к выводу что эти строчки неправильные:
nvram set vlan0ports="0 1 2 5*"
nvram set vlan1ports="4 5"
nvram set vlan2ports="3 5"
эти строчки для других моделей, где CPU порт 5й.
в RT-N66U, RT-N16, N15U порт 8й.
прежде чем менять, стоит посмотреть на текущие значения
$ nvram show | grep vlan[0-9].*= | sort
vlan1hwname=et0
vlan1ports=1 2 3 4 8*
vlan2hwname=et0
vlan2ports=0 8
ALEXey)))
24-02-2012, 15:18
эти строчки для других моделей, где CPU порт 5й.
в RT-N66U, RT-N16, N15U порт 8й.
прежде чем менять, стоит посмотреть на текущие значения
$ nvram show | grep vlan[0-9].*= | sort
vlan1hwname=et0
vlan1ports=1 2 3 4 8*
vlan2hwname=et0
vlan2ports=0 8
У меня такие же значения как у вас:
[admin@WL-BCAEC5C37C9F root]$ nvram show | grep vlan[0-9].*= | sort
size: 15312 bytes (17456 left)
vlan1hwname=et0
vlan1ports=1 2 3 4 8*
vlan2hwname=et0
vlan2ports=0 8
Добрый день
Имею RT-N16-1.9.2.7-rtn-r3702.trx и ASUS RT-N16
Использую два подключения по PPPoE к двух разным провайдерам.
PPP0(основной) и PPP1(резерв)
Задача сделать рабочий DNAT на внутренний адрес с PPP0 и PPP1.
Использую следующие настройки
Таблица NAT :
-A PREROUTING -p tcp -m tcp --dport 55555 -j DNAT --to-destination 192.168.1.2:80
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp1 -j MASQUERADE
Таблица MANGLE:
-A PREROUTING -i ppp0 -m conntrack --ctstate DNAT --ctorigdst $PPP0_IP -j MARK --set-mark 0x5
-A PREROUTING -i ppp1 -m conntrack --ctstate DNAT --ctorigdst $PPP1_IP -j MARK --set-mark 0x6
Таблица FILTER:
-A FORWARD -p tcp -m tcp --dport 55555 -j ACCEPT
Файл rt_tables:
10 R_ONE
20 R_TWO
Таблица R_ONE
$PPP0_GW dev ppp1 scope link src $PPP0_IP
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1
127.0.0.0/8 dev lo scope link
default dev ppp0 scope link
Таблица R_TWO
$PPP1_GW dev ppp1 scope link src $PPP1_IP
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1
127.0.0.0/8 dev lo scope link
default dev ppp1 scope link
Настройки ip rule
0: from all lookup local
32758: from all fwmark 0x5 lookup R_ONE
32759: from all fwmark 0x6 lookup R_TWO
32760: from $PPP0_IP lookup R_ONE
32761: from $PPP1_IP lookup R_TWO
32766: from all lookup main
32767: from all lookup default
Идея такая.
Пакеты, которые приходят на PPP0/PPP1 интерфейсы и отправляются DNAT-ом дальше - помечаются в MANGLE через conntrack (другого выбора мне прошивка не оставляет, в виду отсутствия модуля state)
В ip rule по fwmark отправляем пакет в нужную таблицу маршрутизации, для того чтобы ответ пошел в нужный интерфейс.
Локальная сеть ходит в интернет через таблицу маршрутизации main и интерфейс PPP0 (основной)
Но на практике - ответ от сервера в локалке уходит в таблицу маршрутизации main и соответственно не в тот интерфейс.
Т.е XXX -> PPP1 -> 192.168.1.2:80 -> PPP0 с src IP адресом от PPP1 (!!!) -> XXX
Естественно ничего не работает.
Логирование пакетов и эксперименты показали, что на этапе mangle пакет помечается и попадает в нужную таблицу маршрутизации. Но ответ от сервера идет все равно не по тому пути.
Из описаний, которые я нашел в интернете - это самый рабочий вариант. http://www.nervous.it/lang/it/2010/09/dnat-and-ip-source-routing-woes/
Есть предположение, что криво работает conntrack + fwmark или что-то вроде того в прошивке роутера.
Посоветуйте плиз что делать , может кто уже решал подобную проблему?
Пока из идей поставить для теста PC вместо роутера и проверить все на нем. Но вопрос - а дальше что ? :)
Отвечу сам себе..
Скорее всего причина в fastnat
http://wl500g.info/showpost.php?p=228816&postcount=25
http://wl500g.info/showpost.php?p=247002&postcount=65
Если его отключить, приведенный выше код будет работать.
Еще не проверял, но из постов выше следует, что причина в fastnat.
GrayKite
13-12-2012, 14:36
Доброе время суток, многоуважаемые.
Есть пара роутеров: 1) RT-N66U (сейчас на томате, но наверное буду возвращаться на официальную прошивку, т.к. периодически не стыкуется с андроид-девайсами и даже ежедневный автоматический ребут в 4 утра не спасает), 2) WL-500gP (прошивка Олега).
Сейчас второй роутер используется в качестве свича для транзитного подключения сетевого плеера, т.к. прямое включение сетевого плеера в первый роутер чревато проблемами (повидимому несогласования физики на порту).
Появляется второй провайдер (нужны оба) и задача разделить часть LAN на два сегмента, каждый со своим DHCP и своим выходом в интернет, а также с возможностью взаимного резервирования интернет (можно с ручным переключением). Маршрутизация между LAN1 и LAN2 необходима (как для доступа к NAS, так и для взаимного доступа к клиентским ресурсам обеих LAN). Примерная схема на рисунке.
9377
Т.е. как я понимаю, на WL-500gP необходимо создать отдельный VLAN со своими портами (2 шт) + ip-интерфейс этого VLAN (красная точка) которому присвоить ip из LAN1 и в котором не должно раздаваться DHCP (вернее в нем должно раздаваться DHCP от RT-N66U). Ну и при пропадании интернета с одного из ISP, вероятно на роутере должен статически прописываться дефолт на другой роутер (можно вручную, главное чтобы такая возможность принципиально была).
Собственно вопросы такие: Возможно ли это сделать на этом железе? Если возможно, то как именно?
З.Ы. Еще подумалось, что если такая схема не реализуема (скажем из-за невозможности создать IP-интерфейс на vlan), то можно попробовать использовать в качестве роутера NAS (Synology DS110j, DSM 4.1) - вроде бы мне попадалось упоминание такой возможности в нем.
З.З.Ы. Если есть вдруг есть способы или идеи как сделать автоматическое взаимное резервирование интернета для обоих сегментов LAN, то буду рад их узнать.
evgeny73
14-12-2012, 12:58
Изза отсутствия в прошивке failover 3g, упростил задачу покупкой tplink3020 на котором висит модем и который имеет адрес 192.168.1.22 основной канал PPTP соединение с сервером в локалке 10.х.х.х, помогите со скриптом который будет перестраивать роутинг в случае падение основного канала на резервный и наоборот в случае его поднятия.
Думал использование метрики в маршруте решит мои проблемы, но к сожалению в юниксе метрика не работает как в винде Ж( Ткчто в случае падения основного канала надо убирать маршруты а то сейчас он тупо лезет на сервер в сетке 10.x.x.x хотя он не отвечает, на 192.168.1.22 даже не думает идти :(