Junior Member
видимо не 4 а три (по числу подсетей)... если исключить условие про "исходящий трафик у каждой сети со своего адреса" облегчит решение или все равно?Originally Posted by Maxiller
Member
да чего тут сложного то?
всего 20 мегабит, между собой сегменты связывать не нужно....
разделить порты роутера на vlan и изолировать их друг от друга через iptables
обязательно каждой организации свой прямой ип? вполне можно обойтись одним общим,просто порты разные раздать. или так критично использование именно стандартных номеров портов организациями?
вот тут кстати уже решал как на вланы делить и изолировать их между собой
http://www.wl500g.info/showthread.php?t=9999
Last edited by Omega; 06-07-2011 at 14:50. Reason: fixed
Junior Member
Спасибо! Как на виланы порезать и изолировать вроде понятно ... Свой реальный адрес каждой конторе нужен во первых для разделения оплаты канала (пров выставляет счета на каждый адрес отдельно, что удобно при взаиморасчетах). Во вторых у каждой организации много удаленных пользователей (торговых представителей) и изменение у них текущих настроек не смертельно, но хлопотно (в сумме получится более 200 человек)... В идеале хотелось бы заменить три компа на одну маленькую железку никого не дергая, но видимо не судьба ...
Member
можно конечно поставить биллинг на роутер внутренний для подсчета обьема трафика проходящего между конкретным vlan и wan. покупать у прова общий трафик, а потом оплату распределять между конторами своими силами. что в принципе хлопотно и коряво. ну если маленькие конторки - то можно и поизвращаться.для разделения оплаты канала
насчет
можно попросить прова чтоб он 80 порт с 84.ХХХ.ХХХ.68 перенаправл на 82 84.ХХХ.ХХХ.66, а оттуда уже его на 80 192.168.4.2изменение у них текущих настроек не смертельно, но хлопотно
на первое время и так пойдет, со временем перенастроить всех удаленных клиентов на 82 порт 84.ХХХ.ХХХ.66 и отказаться от содержания и переадресации с дополнительных ипов
Last edited by Vovanchik; 09-08-2010 at 20:20.
Junior Member
Достаточно просто получать кол-во Входящий/Исходящий по сетям за месяц (без подробностей, просто чтоб сумму разделить справедливо). Насколько я понял это достаточно просто, через счетчики FORWARD.
Не много не понял ... Ситуация такая у каждой конторы есть свое доменное имя привязанное к их адресу (не публичный сайт, а домен для своих нужд). У их торговых представителей ноуты настроены так:
1) Внутрикорпоративная почта "домен-конторы" : (25;110)
2) Программа-Клиент (номенклатура продукции, цены, текущие заказы и т.д.) синхронизируется через "домен-конторы":80. Порт был выбран из соображения 100% открытости его из инет-кафе, гостиниц и т.д.
Естественно у каждой конторы свои "домен" и "Программа-Клиент"...
Я правильно понимаю что в robocfg:
port "0" - WAN
port "1 2 3 4" - LAN порты
port "5t" - общий порт проца
и для моих нужд мне нужно создать свои виланы:
vlan0 - "1 5t"
vlan1 - "0 5t"
vlan2 - "2 5t" - контора "А"
vlan3 - "3 5t" - контора "В"
vlan4 - "4 5t" - контора "С"
и дальше уже пробовать их настраивать...
Member
конкретику не помню, делал давно. но тут поиском думаю не сложно найтиЯ правильно понимаю что в robocfg
ну вот смотри. у прова все эти белые адреса уже есть и выкуплены. у его головного провайдера. он может отслеживать обращения к им и их портам. как минимум теоретическиНе много не понял ...
ну так вот смотри последняя контора
сейчас ты обращаясь на 80 порт 84.ХХХ.ХХХ.68 попадаешь на 80 порт 192.168.4.2 судя из схемы.
если заменяешь все роутеры на этот - тогда добавляется еще одна промежуточная точка
80 порт с 84.ХХХ.ХХХ.68 внутри инфраструктуры провайдера перенаправляется например на 82 порт 84.ХХХ.ХХХ.66, а оттуда уже на 80 порт 192.168.4.2
схему рисовать лень
и так поступаешь со всеми портами. этот взят просто для примера
Last edited by Vovanchik; 09-08-2010 at 21:50.
Лужу, паяю, АВМ починяю
Про физическое разделение подсетей - как собрались делить ПЯТЬ портов роутера на ТРИ входя и ТРИ выхода?
Можно сделать логическое разделение. Но просто куча геморроя, плюс получаете единую точку отказа для всех трех контор.
К тому же не рассчитывайте, что любая железка класса SOHO сможет ГАРАНТИРОВАННО обеспечить ПОСТОЯННУЮ БЕСПРОБЛЕМНУЮ работу в подобных конфигурациях.
Лучше не заморачиваться.
Было: WL500gP (fw 1.9.2.7-10-USB-1.71) + Toshiba TravelStar 250Gb 2.5" inside router.
(ADOS + rTorrent WebUI+rtorrent + samba + rrdtool + XMail + QuiXplorer + ClamAV)
> Мои инструкции < Для новичков и ленивых > Wiki переехало сюда < "Ночные" сборки >
Junior Member
Что имеется ввиду ... Если выход устройства из строя (физический или программный) то цена двойного резервирования в задуманной схеме 10 тыс.р. (3 шт. WL500gP идентично сконфигурированных... переткнуть провода из отказавшей в резервную может даже секретарь). Или вы думаете что 3 компа (не брендовых серваков, а обычных офисных настроенных как роутеры) что трудятся сейчас НАДЕЖНЕЕ??? А нагрузка там не сильно большая 80-90 гигов в месяц (на три конторы вместе) ... У меня у знакомого дома WL500gP v.1 (без доп памяти) торрентами больше выбирает трафика и не сбоит больше года.
Member
вход будет один, а выхода три.как собрались делить ПЯТЬ портов роутера на ТРИ входя и ТРИ выхода?
во всяком случае в том варианте что я предлагаю
можно обойтись dir-320 которые нонче по полтора тыра стоят.3 шт. WL500gP
ибо внутренности идентичны
Junior Member
Проблему похожую как описана топикстартером мной уже решалась.
никаких отдельных демонов для NAT не нужно.
Ишите "multilan и yota". Если будут вопросы обращайтесь помогу чем смогу. Топикстартер, сами то из Москвы? Если да можно пересечься.
Junior Member
Да я уже вроде нашел пути решения ... пока на стадии эксперементов ...
Пока с одной доп. сетью эксперементирую (остальные по аналогии должно выйти)
Добавляем алиас на WAN (84.XXX.XXX.66 задан в вебморде)
Создаем дополнительный виланCode:ifconfig vlan1:0 84.XXX.XXX.67 netmask 255.255.255.248 up
Правила чтоб сети изолировать и дать доступ второй сетиCode:robocfg vlan 2 ports "4 5t" vlan 0 ports "1 2 3 5t" vconfig add eth0 2 /sbin/ifconfig vlan2 192.168.2.1 broadcast 192.168.2.255 netmask 255.255.255.0 up
Чтоб разделить исходящий трафик по разным реальным адресамCode:iptables -t nat -A POSTROUTING -o vlan2 -j SNAT --to-source 192.168.2.1 iptables -I INPUT -i vlan2 -j ACCEPT iptables -I FORWARD -i vlan2 -j ACCEPT iptables -I FORWARD -i vlan2 -o br0 -j DROP iptables -I FORWARD -i br0 -o vlan2 -j DROP
Вроде работает как задумано ... Входящие на разные адреса пока не пробовал ... работы навалилось ... но думаю проблем не возникнет..Code:iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o vlan1 -j SNAT --to-source 84.XXX.XXX.66 iptables -t nat -I POSTROUTING -s 192.168.2.0/24 -o vlan1 -j SNAT --to-source 84.XXX.XXX.67
Last edited by Anton89; 17-08-2010 at 17:59.
Junior Member
Удачи! Как сделаете отпишитесь если не сложно, поподробней в духе маленького tutorial.
Кстати призываю остальных пользователей поступать так же.
А то в основном после решения вопросов топики как правило закрываются и всё. Нехорошо.
Помните Ваш опыт поможет сэкономить другим людям кучу времени.
Registered User
Добрый день!
Есть такая задачка:
Имеется доступ в сеть через розетку для витой пары. На одну розетку можно зарегистрировать 3 компьютера (с разными MAC адресами). На каждый выделяется доступ в интернет со скоросью N Мб/с.
Нужно раздать интернет на 3 компа с помощью dlink 320 прошитого под asus wl 500.
В режиме точки доступа я могу "раздать" доступ на 3 компа, и у каждого будет скорость N Мб/с. Я также могу это сделать в режиме роутера, но тогда для внешней сети виден только MAC роутера, а значит можно получить только один канал в N Мб/с на троих (этого мало). Нужна также вохможность пользоваться роутером как торрент-клиентом и т.п.
Собственно вопрос:
Можно ли (и как)
1)настроить торренты и другие "плюшки", когда роутер в режиме точки доступа? и вообще заходить в web интерфейс роутера в режиме точки доступа?
или
2)каким-либо образом настроить пересылку от компьютеров так, чтобы во внешнюю сеть передавались данные с теми же MAC адресами, что и на самом деле у них есть, а не "подменялись" на MAC роутера (они подсоединяются все по wifi)?
Извиняюсь, что путанно выражаюсь:в теме не силен, плохо учил сети в универе :[
Спасибо!
Junior Member
Уважаемые гуру. Перелопатил форум,но почти ничего не нашёл. Вроде бы как близко к multiwan, но на деле не совсем то.
Asus Wl-500gpv2. Провайдер выдал мне два ip - внутренний, пусть будет 10.10.10.10 и внешний 95.95.95.95. Оба они приходят ко мне по одному и тому же проводу, естественно втыкаются в одну дырку. За роутером у меня сетка 192.168.0.0. В ней несколько машин и сервер 192.168.0.100
Мне нужно, чтобы, например, порт 95.95.95.95:443 пробросился на 192.168.0.100:443. При этом всё остальное должно работать так, как будто я пользуюсь только 10.10.10.10, чтобы я мог отдельно у провайдера смотреть статистику по трафику на сервер только для внешнего ip.
Варианты поместить сервер в dmz и дать ему внешний ip или перепрограммировать vlan-ы, чтобы порт сервер оказался снаружи роутера не предлагать, так как там есть порты, которые должны быть доступны только по локалке.
Что сделал: добавил дополнительный интeрфейс в post-boot:
Создал отдельную цепочку в iptables для этого интерфейса, добавил все эти правила в post-firewall. Делал по аналогии с nat_rulesCode:ifconfig vlan1:0 95.95.95.95 netmask 255.255.255.0 broadcast 95.95.95.255
Однако этого оказалось недостаточно. Где подвох?Code:extip=95.95.95.95 intip=192.168.0.100 interface=vlan1:0 iptables -t nat -N ALTSERVER iptables -t nat -A PREROUTING -i $interface -d $extip -j ALTSERVER iptables -t nat -A ALTSERVER -p tcp -m tcp --dport 443 -j DNAT --to-destination $intip:443 iptables -t nat -I POSTROUTING -o $interface ! -s $extip -j MASQUERADE
Last edited by Vadimon; 23-09-2010 at 19:09.
Forum Guru
А знаете почему не нашли??
Попробуйте "virtual server".
Asus RT-AC66U, Xerox Phaser 3160B, on the shelf RT-N16 (Killed by lightning)
WL-500gPv1 128MB, WL-500W 300MHz/128M, LCD 40x4, DIR-320 8Mb/64MB
WL-700g 128MB, MNV25E2+ and more and more devices. provod.beeline.ru
-------------------------------------------
Computers. Since 1984. First one - "МИР-1"
Posting Permissions
Reply With Quote
