несколько вопросов по маршрутизации

From

Vassily Kiryanov (2:5054/36)

To

Aleksey Redkin (2:5054/37.63)

Date

2006-09-15T15:07:02Z

Area

RU.UNIX.BSD

Hi Aleksey!

15 Sep 06 10:10, Aleksey Redkin wrote to All:

AR> Ситуация следующая.
AR> Подключен к широкополосному провайдеру. На чердаке стоит свитч от него
AR> витая пара была воткнута в сетевую карту. Всё время нахожусь в
AR> локальной сети этого провайдера. Адрес выдаётся вроде как через dhcpd
AR> динамически, но он задан жёстко и привязан к макадресу сетевой. Это
AR> они так сделали чтоб внешний траффик считать удобнее было. Для доступа
AR> в инет необходимо создать VPN соединение. Для этого надо кликнуть на
AR> иконку, логин/пароль, связь устанавливается доступ к локалке пропадает
AR> (в принципе это лечится прописыванием маршрутизации, но сейчас не об
AR> этом) и я в инете. Тип VPN сервера - РРР.

AR> Что я сделал.
AR> Поставил выделенную машину, установил туда FreeBSD 6.0, поставил две
AR> сетевые карты. Одна смотрит на провайдера (та самая чей мак у него
AR> прописан), вторая в мой хаб. В /etc/rc.conf среди всего прочего
AR> написано вот
AR> что gatewey_enable="YES" firewall_enable="YES" firewall_type="OPEN" na
AR> td_enable="YES" natd_interface="xl0" natd_flags="-f
AR> /etc/natd.conf" ifconfig_xl0="DHCP" ifconfig_rl0="inet 10.3.21.1
AR> netmask 0xffffff00"
AR> /etc/natd.conf девственно чист.

AR> Надеюсь идея ясна.
AR> На виндовой машине (десктоп) ручками прописан айпишник 10.3.21.11
AR> шлюзом по умолчанию 10.3.21.1
AR> На ноутбуке тоже самое, только адрес его 10.3.21.12.
AR> И десктоп и ноутбук подключены к моему хабу.
AR> Если сидеть только в локалке то всё прекрасно работает.
AR> Для выхода в инет на ноутбуке или на десктопе необходимо установить
AR> vpn соединение и выход появляется. Но... Только с той машины с которой
AR> было это соединение установлено.
Естественно. Вторая об этом соединении ничего не знает.

AR>  Еслли я установил кго с десктопа, то с ноута в инет уже никак не
AR> выйдешь.
В твоей схеме - так и должно быть.

AR>  Можно, конечно и там установить
AR> это соединение, и оно установится, но выхода в инет не будет. То есть
AR> ОДНОВРЕМЕННО в инете может сидеть только с одной машины.
Значит, у прова правильно настроена авторизация.

AR>  А жене тоже хочется.... Плюс ко всему из портов ничего не ставится ни
AR> в каком случае.... Это напрягает особенно сильно.
Так если подняла VPN одна из внутренних машин, то откуда фре знать, что в инет её потенциально могут выпустить через машину во внутренней сети?

AR>  Посему вопрос: как исправить ситуацию? Чтобы и с портами работать
AR> можно было и в инете с двух машин одновременно сидеть.
AR> Мысли у меня есть...
AR> Прикрутить второй natd, pptpclient и прикрутить их работать в паре...
AR> А попроще как-нибудь можно?

Делать трансляцию адресов не на исходящем интерфейсе, а на входящем можно. Тогда внутри твоей машины пакеты будут уже странслированы и иметь в качестве Source-IP адрес твоей фрёвой машины. Соответственно наружу они пойдут уже в соответствии с её правилами маршрутизации. Т.е. при поднятии pptpclient-ом (или mpd, рекомендации лучших собаководов...) VPN-соединения надо просто будет аккуратно подправлять маршруты. Или хотя-бы убедиться, что дефолтное поведение тебя устраивает.

Всего хорошего.              "За верную и прибыльную дружбу!" (c) Яго.
                Vassily
---
 * Origin: И бьется против геноцида Вася, и против Васи геноцид. (2:5054/36)
SEEN-BY: 5020/545 5054/1 4 8 9 11 28 35 36 37 44 45 63 66 67 70 75 84 85

PATH: 5054/36 1 37