Название: freebsd, vlan'ы, маршрутизация Отправлено: улыбашка от 21 Февраля 2022, 11:31:54 Доброго времени!
Есть не большой пул реальных ip адресов, задача разделить их в несколько вланов, чтоб можно было их прописывать статикой, и этот сервер выступал шлюзом, но кокос не растет rc.conf Код: cloned_interfaces="vlan20 vlan703 vlan704 vlan705" pf.confifconfig_igb0="up" ifconfig_igb1="inet x.x.104.29 netmask 255.255.255.0" ifconfig_lo0_alias0="inet 10.255.0.29 netmask 255.255.255.255" ifconfig_vlan20="inet 10.200.0.29 netmask 255.255.0.0 vlan 20 vlandev igb0 mtu 1500" ifconfig_vlan703="inet x.x.105.25 netmask 255.255.255.0 vlan 703 vlandev igb0 mtu 1500" ifconfig_vlan704="inet x.x.106.5 netmask 255.255.255.0 vlan 704 vlandev igb0 mtu 1500" ifconfig_vlan705="inet 10.210.0.1 netmask 255.255.240.0 vlan 705 vlandev igb0 mtu 1500" defaultrouter="x.x.104.1" gateway_enable="YES" firewall_enable="YES" firewall_type="OPEN" #firewall_logging="YES" pf_enable="YES" pf_rules="/etc/pf.conf" sshd_enable="YES" Код: ext_if = "igb1" set limit states 16000000 set optimization aggressive set limit frags 1000000 set limit src-nodes 200000 set limit table-entries 1000000 nat pass on $ext_if from 10.0.0.0/8 to any -> x.x.104.29 в фаервол прописываю правила Код: ${f} add 28 allow all from 10.210.0.10 to any ${f} add 28 allow all from any to 10.210.0.10 ${f} add 29 allow all from x.x.105.45 to any ${f} add 29 allow all from any to x.x.105.45 ${f} add 30 allow all from x.x.106.15 to any ${f} add 30 allow all from any to x.x.106.15 и вот в чем беда, с серыми адресами все работает, на машине в 705 влане с адресом 10.210.0.10, все работает инет есть все как положено, а в 703 и 704 влане инета нет, в чем беда не могу разобраться, в фаервол пробовал прописать ipfw add 26allow ip from x.x.104.1/24 to x.x.105.1/24 ipfw add 27 allow ip from x.x.105.1/24 to x.x.104.1/24 вообще отключал фаервол, эффекта ни какого, т.к ip реальные в нате нет смысла они должны сразу выходить в мир, но на всякий случай пробовал добавить в pf binat pass on $ext_if from x.x.105.0/24 to any -> x.x.105.25/24 так же не дало результата. прошу помощи у знающих людей, может кто знает в чем может быть заковырка зы: влан 20 это управление Название: Re: freebsd, vlan'ы, маршрутизация Отправлено: Cell от 22 Февраля 2022, 06:14:28 Из вашего поста не понятно откуда взялся этот большой пул реальников.... Вы его сами анонсируете по BGP или их вам в аренду провайдер вышестоящий выделил?
Если по BGP, вы бы наверное не забыли упомянуть об этом да и работало бы все скорее всего, а если вышестоящий провайдер навесил себе на интерфейс x.x.104.1/22 (что очень похоже на правду) то оно и не должно работать. Договоритесь с провайдером об интерфейсной паре ip адресов для непосредственного взаимодействия (хоть даже серых, хотя это не есть гуд) а сеть x.x.104.0/22 пусть зароутит за ip адрес с вашей стороны. Без вышестоящего провайдера придется лепить какие-то proxy-arp а это уже фигня получится. Название: Re: freebsd, vlan'ы, маршрутизация Отправлено: улыбашка от 22 Февраля 2022, 09:25:53 простите, как то вылетело, используем bgp full view, ипы крутятся на нашей AS.
В том то и дело должно работать, но не работает, и что не так не понятно, уже пробовал навесить на один интерфейс, и все равно не работает, пытался прописать маршруты, говорит маршрут уже есть route: writing to routing socket: File exists add net x.x.x.0: gateway x.x.x.x fib 0: route already in table хз что не так, мысли уже кончаются, но думаю косяк где то в маршрутах, нужно как то, направить трафик влана в инет Название: Re: freebsd, vlan'ы, маршрутизация Отправлено: Cell от 22 Февраля 2022, 10:04:41 Ну значит нужно проверить правильно ли вы анонсируете свои сети. Правильно ли они роутятся из мира в ваш роутер. Ну это для старта )
Название: Re: freebsd, vlan'ы, маршрутизация Отправлено: улыбашка от 22 Февраля 2022, 12:02:25 с анонсами все нормально, в RIPe есть запись RoA: x.x.104.0/22ASxxxx , чтобы пропускало все more specific анонсы вплоть до /24.
адреса рабочие. Я наверное не правильно выразился. Есть пул адресов /22, полностью настроен рабочий. Пользуем нодени+ с пппое и эти ипы. Есть группа юриков которых не устраивает пппое, и вот руководство поставило задачу, включать их статикой на реал ипы. Соответственно подключать их на прямую к нашему бордеру, ну совсем ни комильфо, без какого либо контроля и надзора. Поэтому решили на отдельном сервере, поднять отдельный влан, запихнуть туда часть реальных адресов и выставить этот сервер шлюзом. И вот попали в эту заковыку. зы: к примеру есть реальный адрес x.x.104.29, прописанный на ifconfig_igb1="inet x.x.104.29 netmask 255.255.255.0" он работает и выходит в инет, делаю загоняю его во влан ifconfig_vlan704="inet x.x.104.29 netmask 255.255.255.0 vlan 704 vlandev igb0 mtu 1500" пускаю на машину влан704, прописываю x.x.104.29 шлюзом, с машины шлюз пингуется, а инета нет получается с влана нет выхода в инет, если меняю на серый ип ifconfig_vlan705="inet 10.210.0.1 netmask 255.255.240.0 vlan 705 vlandev igb0 mtu 1500" все работает инет приходит, номер влана и маска на данные момент не имеют значения, это как пример ззы: в настройках ifconfig_vlan пробовал менять интерфейс на igb1, чтоб крутилось все на одном, менять маску для проверки на полную /22 пустить адреса через нат binat pass on $ext_if from x.x.104.0/22 to any -> x.x.104.29/22 Получается с влана нет выхода в инет, при чем только на реальном ип Название: Re: freebsd, vlan'ы, маршрутизация Отправлено: Cell от 23 Февраля 2022, 14:04:42 если вы это делаете на отдельном сервере, то должны прописать на бордере машрутизацию до этого сервера, либо настроить динамику
Если у вас на этом сервере ip адрес хх.хх.104.29 а на бордере хх.хх.104.1 то вам на бордере нужно прописать: Код: route add -net xx.xx.105.0/24 xx.xx.104.29 что-то типа такого, если Freebsd используете. После этого 105я сеть станет у вас доступна из влана, только не забудьте разрешить маршутизацию. На разных операционных системах это делается по разному (для фяхи это gateway_enable = YES) Название: Re: freebsd, vlan'ы, маршрутизация Отправлено: улыбашка от 23 Февраля 2022, 14:29:45 спасибо, уже разобрался, проблема действительно была с маршрутами на бордере
дорисовал static route x.x.104.0/22 next-hop 10.21.0.1 и перенастроил rc.conf, кокос начал расти. Собирался сегодня как раз отписаться, в чем была проблема |