Распределенная система

[DenisNikolaich]

Доброго времени суток. Есть вопрос по настройке сервера доступа. На данный момент у нас в сети работает вариант "все в одном" есть, как-бы, задача облегчить нагрузку на сервер путем подстановки дополнительного NAS. Вроде все настроил по мануалу т.е. с базой конектится но есть момент, в сети авторизация DHCP mac+uid. И здесь я застрял, так как катастрофически не хватает знаний, сталкиваюсь с этим первый раз. У меня вопрос: надо (можно) ли ставить DHCP сервер на NAS или нет, и если надо (можно), то надо ли ставить DHCP модуль на NAS или будет управляться тем, что на основном сервере.
P.S. Всем, кто захочет ответить "Наймите себе админа", я искренне благодарен, что потратили на прочтение данного поста время, но отвечу: а меня куда? На улицу? Итак с работой напряг! С того времени, как купили NoDeny + (2 года) я обратился на форум всего 3 раза, т.е. имею ввиду, что никого не отвлекал, а старался разобраться сам. Сейчас зашел в тупик. Поэтому прошу помощи. Заранее спасибо!

[Cell]

Не переживайте ))) поможем чем сможем!
Итак. Все зависит от того как вы сеть свою настроили-разбили на разные части.
Расскажу как бы сделал я.
DHCPd  сервис не требовательный к ресурсам, по этому я бы оставил его на основном севрере и все адреса выдавал бы с него. Если вы разбили сеть на разные вланы и обслуживаете их разными саттелитами - то вам просто нужно сделать на основном сервере интерфейс во вланы, обслуживаемые другим саттелитом и настроить дхцп сервер таким образом чтобы он выдавал нужные ип адреса в нужные подсети. Если физическое пространство одно т.е. сеть разбита на части при помощи подсетей, работающих в одном эзернет сегменте - то процедура упрощается т.к. не нужно создавать дополнительных интерфейсов на сервере а просто добавить алиасом новый ип на существующий интерфейс и подправить конфиг дхцп.

[DenisNikolaich]

Огромное спасибо, что не отказали в помощи. В общем структура сети у меня такая: VLAN на дом, я наверное конфиги скину лучше))) так будет понятнее.

Код:

rc.conf
hostname="nodeny"
cloned_interfaces="lagg0 lagg1 vlan2001 vlan2002 vlan2003 vlan2004 vlan2005 vlan2006 vlan2007 vlan2008 vlan2009 vlan2010 vlan2011 vlan2012 vlan2013 vlan2014 vlan2015 vlan2016 vlan2017 vlan2018 vlan2019 vlan2020 vlan2021 vlan2022 vlan2023 vlan2024 vlan2025 vlan2026 vlan2027 vlan2028 vlan2029 vlan2030 vlan2031 vlan2032 vlan2033 vlan2034 vlan2035 vlan2036 vlan2037 vlan2038 vlan2039 vlan2040 vlan2041 vlan2042 vlan2043 vlan2044 vlan2045 vlan2046 vlan2047 vlan2048 vlan3001 vlan3002 vlan3003 vlan3004 vlan3005 vlan3006 vlan3007 vlan3008 vlan3009 vlan3010 vlan3011 vlan3012 vlan3013 vlan3014 vlan3015 vlan3016 vlan3017 vlan3018 vlan3019 vlan3020 vlan3021 vlan3022 vlan3023 vlan3024 vlan3025 vlan3026 vlan3027 vlan3028 vlan3029 vlan3030 vlan3031 vlan3032 vlan3033 vlan3034 vlan3035 vlan3036 vlan3037 vlan3038 vlan3039 vlan3040 vlan3041 vlan3042 vlan3043 vlan3044 vlan3045 vlan3046 vlan3047 vlan3048"
ifconfig_lo0_alias0="inet 1.1.1.1 netmask 255.255.255.255"
ifconfig_igb0="-rxcsum -txcsum -lro -tso up"
ifconfig_igb1="-rxcsum -txcsum -lro -tso up"
ifconfig_igb2="-rxcsum -txcsum -lro -tso up"
ifconfig_igb3="-rxcsum -txcsum -lro -tso up"
ifconfig_lagg1="laggproto lacp laggport igb0 laggport igb1 91.XXX.XXX.XXX netmask 255.255.255.240"
ifconfig_lagg1_alias0="inet 91.XXX.XXX.XXX netmask 255.255.255.255"
ifconfig_lagg1_alias1="inet 91.XXX.XXX.XXX netmask 255.255.255.255"
ifconfig_lagg1_alias2="inet 91.XXX.XXX.XXX netmask 255.255.255.255"
ifconfig_lagg1_alias3="inet 91.XXX.XXX.XXX netmask 255.255.255.255"
ifconfig_lagg1_alias4="inet 91.XXX.XXX.XXX netmask 255.255.255.255"
ifconfig_lagg0="laggproto lacp laggport igb2 laggport igb3 10.0.0.1 netmask 255.255.255.252"
ifconfig_vlan2001="vlan 2001 vlandev lagg0 172.18.7.1 netmask 255.255.255.0"
ifconfig_vlan2002="vlan 2002 vlandev lagg0 172.18.8.1 netmask 255.255.255.0"
ifconfig_vlan2003="vlan 2003 vlandev lagg0 172.18.9.1 netmask 255.255.255.0"
ifconfig_vlan2004="vlan 2004 vlandev lagg0 172.18.10.1 netmask 255.255.255.0"
ifconfig_vlan2005="vlan 2005 vlandev lagg0 172.18.11.1 netmask 255.255.255.0"
ifconfig_vlan2006="vlan 2006 vlandev lagg0 172.18.12.1 netmask 255.255.255.0"
ifconfig_vlan2007="vlan 2007 vlandev lagg0 172.18.13.1 netmask 255.255.255.0"
ifconfig_vlan2008="vlan 2008 vlandev lagg0 172.18.14.1 netmask 255.255.255.0"
ifconfig_vlan2009="vlan 2009 vlandev lagg0 172.18.15.1 netmask 255.255.255.0"
ifconfig_vlan2010="vlan 2010 vlandev lagg0 172.18.16.1 netmask 255.255.255.0"
ifconfig_vlan2011="vlan 2011 vlandev lagg0 172.18.17.1 netmask 255.255.255.0"
ifconfig_vlan2012="vlan 2012 vlandev lagg0 172.18.18.1 netmask 255.255.255.0"
ifconfig_vlan2013="vlan 2013 vlandev lagg0 172.18.19.1 netmask 255.255.255.0"
ifconfig_vlan2014="vlan 2014 vlandev lagg0 172.18.20.1 netmask 255.255.255.0"
ifconfig_vlan2015="vlan 2015 vlandev lagg0 172.18.21.1 netmask 255.255.255.0"
ifconfig_vlan2016="vlan 2016 vlandev lagg0 172.18.22.1 netmask 255.255.255.0"
ifconfig_vlan2017="vlan 2017 vlandev lagg0 172.18.23.1 netmask 255.255.255.0"
ifconfig_vlan2018="vlan 2018 vlandev lagg0 172.18.24.1 netmask 255.255.255.0"
ifconfig_vlan2019="vlan 2019 vlandev lagg0 172.18.25.1 netmask 255.255.255.0"
ifconfig_vlan2020="vlan 2020 vlandev lagg0 172.18.26.1 netmask 255.255.255.0"
ifconfig_vlan2021="vlan 2021 vlandev lagg0 172.18.27.1 netmask 255.255.255.0"
ifconfig_vlan2022="vlan 2022 vlandev lagg0 172.18.28.1 netmask 255.255.255.0"
ifconfig_vlan2023="vlan 2023 vlandev lagg0 172.18.29.1 netmask 255.255.255.0"
ifconfig_vlan2024="vlan 2024 vlandev lagg0 172.18.30.1 netmask 255.255.255.0"
ifconfig_vlan2025="vlan 2025 vlandev lagg0 172.18.31.1 netmask 255.255.255.0"
ifconfig_vlan2026="vlan 2026 vlandev lagg0 172.18.32.1 netmask 255.255.255.0"
ifconfig_vlan2027="vlan 2027 vlandev lagg0 172.18.33.1 netmask 255.255.255.0"
ifconfig_vlan2028="vlan 2028 vlandev lagg0 172.18.34.1 netmask 255.255.255.0"
ifconfig_vlan2029="vlan 2029 vlandev lagg0 172.18.35.1 netmask 255.255.255.0"
ifconfig_vlan2030="vlan 2030 vlandev lagg0 172.18.36.1 netmask 255.255.255.0"
ifconfig_vlan2031="vlan 2031 vlandev lagg0 172.18.37.1 netmask 255.255.255.0"
ifconfig_vlan2032="vlan 2032 vlandev lagg0 172.18.38.1 netmask 255.255.255.0"
ifconfig_vlan2033="vlan 2033 vlandev lagg0 172.18.39.1 netmask 255.255.255.0"
ifconfig_vlan2034="vlan 2034 vlandev lagg0 172.18.40.1 netmask 255.255.255.0"
ifconfig_vlan2035="vlan 2035 vlandev lagg0 172.18.41.1 netmask 255.255.255.0"
ifconfig_vlan2036="vlan 2036 vlandev lagg0 172.18.42.1 netmask 255.255.255.0"
ifconfig_vlan2037="vlan 2037 vlandev lagg0 172.18.43.1 netmask 255.255.255.0"
ifconfig_vlan2038="vlan 2038 vlandev lagg0 172.18.44.1 netmask 255.255.255.0"
ifconfig_vlan2039="vlan 2039 vlandev lagg0 172.18.45.1 netmask 255.255.255.0"
ifconfig_vlan2040="vlan 2040 vlandev lagg0 172.18.46.1 netmask 255.255.255.0"
ifconfig_vlan2041="vlan 2041 vlandev lagg0 172.18.47.1 netmask 255.255.255.0"
ifconfig_vlan2042="vlan 2042 vlandev lagg0 172.18.48.1 netmask 255.255.255.0"
ifconfig_vlan2043="vlan 2043 vlandev lagg0 172.18.49.1 netmask 255.255.255.0"
ifconfig_vlan2044="vlan 2044 vlandev lagg0 172.18.50.1 netmask 255.255.255.0"
ifconfig_vlan2045="vlan 2045 vlandev lagg0 172.18.51.1 netmask 255.255.255.0"
ifconfig_vlan2046="vlan 2046 vlandev lagg0 172.18.52.1 netmask 255.255.255.0"
ifconfig_vlan2047="vlan 2047 vlandev lagg0 172.18.53.1 netmask 255.255.255.0"
ifconfig_vlan2048="vlan 2048 vlandev lagg0 172.18.54.1 netmask 255.255.255.0"
ifconfig_vlan3001="vlan 3001 vlandev lagg0 172.18.55.1 netmask 255.255.255.0"
ifconfig_vlan3002="vlan 3002 vlandev lagg0 172.18.56.1 netmask 255.255.255.0"
ifconfig_vlan3003="vlan 3003 vlandev lagg0 172.18.57.1 netmask 255.255.255.0"
ifconfig_vlan3004="vlan 3004 vlandev lagg0 172.18.58.1 netmask 255.255.255.0"
ifconfig_vlan3005="vlan 3005 vlandev lagg0 172.18.59.1 netmask 255.255.255.0"
ifconfig_vlan3006="vlan 3006 vlandev lagg0 172.18.60.1 netmask 255.255.255.0"
ifconfig_vlan3007="vlan 3007 vlandev lagg0 172.18.61.1 netmask 255.255.255.0"
ifconfig_vlan3008="vlan 3008 vlandev lagg0 172.18.62.1 netmask 255.255.255.0"
ifconfig_vlan3009="vlan 3009 vlandev lagg0 172.18.63.1 netmask 255.255.255.0"
ifconfig_vlan3010="vlan 3010 vlandev lagg0 172.18.64.1 netmask 255.255.255.0"
ifconfig_vlan3011="vlan 3011 vlandev lagg0 172.18.65.1 netmask 255.255.255.0"
ifconfig_vlan3012="vlan 3012 vlandev lagg0 172.18.66.1 netmask 255.255.255.0"
ifconfig_vlan3013="vlan 3013 vlandev lagg0 172.18.67.1 netmask 255.255.255.0"
ifconfig_vlan3014="vlan 3014 vlandev lagg0 172.18.68.1 netmask 255.255.255.0"
ifconfig_vlan3015="vlan 3015 vlandev lagg0 172.18.69.1 netmask 255.255.255.0"
ifconfig_vlan3016="vlan 3016 vlandev lagg0 172.18.70.1 netmask 255.255.255.0"
ifconfig_vlan3017="vlan 3017 vlandev lagg0 172.18.71.1 netmask 255.255.255.0"
ifconfig_vlan3018="vlan 3018 vlandev lagg0 172.18.72.1 netmask 255.255.255.0"
ifconfig_vlan3019="vlan 3019 vlandev lagg0 172.18.73.1 netmask 255.255.255.0"
ifconfig_vlan3020="vlan 3020 vlandev lagg0 172.18.74.1 netmask 255.255.255.0"
ifconfig_vlan3021="vlan 3021 vlandev lagg0 172.18.75.1 netmask 255.255.255.0"
ifconfig_vlan3022="vlan 3022 vlandev lagg0 172.18.76.1 netmask 255.255.255.0"
ifconfig_vlan3023="vlan 3023 vlandev lagg0 172.18.77.1 netmask 255.255.255.0"
ifconfig_vlan3024="vlan 3024 vlandev lagg0 172.18.78.1 netmask 255.255.255.0"
ifconfig_vlan3025="vlan 3025 vlandev lagg0 172.18.79.1 netmask 255.255.255.0"
ifconfig_vlan3026="vlan 3026 vlandev lagg0 172.18.80.1 netmask 255.255.255.0"
ifconfig_vlan3027="vlan 3027 vlandev lagg0 172.18.81.1 netmask 255.255.255.0"
ifconfig_vlan3028="vlan 3028 vlandev lagg0 172.18.82.1 netmask 255.255.255.0"
ifconfig_vlan3029="vlan 3029 vlandev lagg0 172.18.83.1 netmask 255.255.255.0"
ifconfig_vlan3030="vlan 3030 vlandev lagg0 172.18.84.1 netmask 255.255.255.0"
ifconfig_vlan3031="vlan 3031 vlandev lagg0 172.18.85.1 netmask 255.255.255.0"
ifconfig_vlan3032="vlan 3032 vlandev lagg0 172.18.86.1 netmask 255.255.255.0"
ifconfig_vlan3033="vlan 3033 vlandev lagg0 172.18.87.1 netmask 255.255.255.0"
ifconfig_vlan3034="vlan 3034 vlandev lagg0 172.18.88.1 netmask 255.255.255.0"
ifconfig_vlan3035="vlan 3035 vlandev lagg0 172.18.89.1 netmask 255.255.255.0"
ifconfig_vlan3036="vlan 3036 vlandev lagg0 172.18.90.1 netmask 255.255.255.0"
ifconfig_vlan3037="vlan 3037 vlandev lagg0 172.18.91.1 netmask 255.255.255.0"
ifconfig_vlan3038="vlan 3038 vlandev lagg0 172.18.92.1 netmask 255.255.255.0"
ifconfig_vlan3039="vlan 3039 vlandev lagg0 172.18.93.1 netmask 255.255.255.0"
ifconfig_vlan3040="vlan 3040 vlandev lagg0 172.18.94.1 netmask 255.255.255.0"
ifconfig_vlan3041="vlan 3041 vlandev lagg0 172.18.95.1 netmask 255.255.255.0"
ifconfig_vlan3042="vlan 3042 vlandev lagg0 172.18.96.1 netmask 255.255.255.0"
ifconfig_vlan3043="vlan 3043 vlandev lagg0 172.18.97.1 netmask 255.255.255.0"
ifconfig_vlan3044="vlan 3044 vlandev lagg0 172.18.98.1 netmask 255.255.255.0"
ifconfig_vlan3045="vlan 3045 vlandev lagg0 172.18.99.1 netmask 255.255.255.0"
ifconfig_vlan3046="vlan 3046 vlandev lagg0 172.18.100.1 netmask 255.255.255.0"
ifconfig_vlan3047="vlan 3047 vlandev lagg0 172.18.101.1 netmask 255.255.255.0"
ifconfig_vlan3048="vlan 3048 vlandev lagg0 172.18.102.1 netmask 255.255.255.0"
defaultrouter="91.XXX.XXX.XXX"
sshd_enable="YES"
sshd_flags="-u0"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
firewall_enable="YES"
atop_enable="YES"
fsck_y_enable="YES"
background_fsck="NO"
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
gateway_enable="YES"
local_unbound_enable="YES"
pf_enable="YES"
pf_rules="/etc/pf.conf"
mysql_enable="YES"
apache24_enable="YES"
ipcad_enable="YES"
dhcpd_enable="YES"
dhcpd_flags="-q"
dhcpd_withuser=root

snmpd_enable="YES"

inetd_enable="NO"
portmap_enable="NO"
nfs_client_enable="NO"
nfs_reserved_port_only="NO"
nfs_server_enable="NO"

# Небольшая защита от DDOSа
tcp_drop_synfin="YES"
icmp_drop_redirect="YES"
icmp_log_redirect="NO"

static_routes="vlan"
route_vlan="-net 172.16.0.0/16 10.0.0.2"

Код:

pf.conf
set limit states 16000000
set optimization aggressive
set limit frags 1000000
set limit src-nodes 200000
set limit table-entries 1000000

ext_if = "lagg1"
ext_gw = "91.XXX.XXX.XXX"

set skip on lo0

scrub in all

nat pass on $ext_if from 172.18.0.0/20 to any -> 91.XXX.XXX.XXX
nat pass on $ext_if from 172.18.16.0/20 to any -> 91.XXX.XXX.XXX
nat pass on $ext_if from 172.18.32.0/20 to any -> 91.XXX.XXX.XXX
nat pass on $ext_if from 172.18.48.0/20 to any -> 91.XXX.XXX.XXX
nat pass on $ext_if from 172.18.64.0/20 to any -> 91.XXX.XXX.XXX
nat pass on $ext_if from 172.18.80.0/20 to any -> 91.XXX.XXX.XXX
nat pass on $ext_if from 172.18.96.0/20 to any -> 91.XXX.XXX.XXX
nat pass on $ext_if from 172.16.0.0/16 to any -> 91.XXX.XXX.XXX

pass in quick on lo0 proto tcp from any to any port 80 keep state (source-track rule, max-src-states 2, max-src-nodes 100)

[DenisNikolaich]

Код:

dhcpd.conf
log-facility local7;
allow unknown-clients;
default-lease-time 2400;
max-lease-time 1800;
authoritative;
#vlan3015

subnet 172.18.69.0 netmask 255.255.255.0 {
    range 172.18.69.2 172.18.69.254;
    interface vlan3015;
    option routers 172.18.69.1;
option domain-name-servers 1.1.1.1;
}
    on commit {
        set ClientIP  = binary-to-ascii(10, 8, ".", leased-address);
        set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6));
        set SwitchMac = "";
        set SwitchPort ="";
        if exists agent.circuit-id
        {
            set SwitchMac = binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6));
            set SwitchPort = binary-to-ascii(10, 8, ":", suffix(option agent.circuit-id, 1));
        }
        execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "commit",
                ClientIP, ClientMac, SwitchMac, SwitchPort);
    }
    on expiry {
        set ClientIP  = binary-to-ascii(10, 8, ".", leased-address);
        execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "expiry", ClientIP);
    }
    on release {
        set ClientIP  = binary-to-ascii(10, 8, ".", leased-address);
        execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "release", ClientIP);
    }


#vlan3038

subnet 172.18.92.0 netmask 255.255.255.0 {
    range 172.18.92.2 172.18.92.254;
    interface vlan3038;
    option routers 172.18.92.1;
option domain-name-servers 1.1.1.1;
}
    on commit {
        set ClientIP  = binary-to-ascii(10, 8, ".", leased-address);
        set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6));
        set SwitchMac = "";
        set SwitchPort ="";
        if exists agent.circuit-id
        {
            set SwitchMac = binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6));
            set SwitchPort = binary-to-ascii(10, 8, ":", suffix(option agent.circuit-id, 1));
        }
        execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "commit",
                ClientIP, ClientMac, SwitchMac, SwitchPort);
    }
    on expiry {
        set ClientIP  = binary-to-ascii(10, 8, ".", leased-address);
        execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "expiry", ClientIP);
    }
    on release {
        set ClientIP  = binary-to-ascii(10, 8, ".", leased-address);
        execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "release", ClientIP);
    }

#vlan3039

subnet 172.18.93.0 netmask 255.255.255.0 {
    range 172.18.93.2 172.18.93.254;
    interface vlan3039;
    option routers 172.18.93.1;
option domain-name-servers 1.1.1.1;
}
    on commit {
        set ClientIP  = binary-to-ascii(10, 8, ".", leased-address);
        set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6));
        set SwitchMac = "";
        set SwitchPort ="";
        if exists agent.circuit-id
        {
            set SwitchMac = binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6));
            set SwitchPort = binary-to-ascii(10, 8, ":", suffix(option agent.circuit-id, 1));
        }
        execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "commit",
                ClientIP, ClientMac, SwitchMac, SwitchPort);
    }
    on expiry {
        set ClientIP  = binary-to-ascii(10, 8, ".", leased-address);
        execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "expiry", ClientIP);
    }
    on release {
        set ClientIP  = binary-to-ascii(10, 8, ".", leased-address);
        execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "release", ClientIP);
    }

#vlan3040

subnet 172.18.94.0 netmask 255.255.255.0 {
    range 172.18.94.2 172.18.94.254;
    interface vlan3040;
    option routers 172.18.94.1;
option domain-name-servers 1.1.1.1;
}
    on commit {
        set ClientIP  = binary-to-ascii(10, 8, ".", leased-address);
        set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6));
        set SwitchMac = "";
        set SwitchPort ="";
        if exists agent.circuit-id
        {
            set SwitchMac = binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6));
            set SwitchPort = binary-to-ascii(10, 8, ":", suffix(option agent.circuit-id, 1));
        }
        execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "commit",
                ClientIP, ClientMac, SwitchMac, SwitchPort);
    }
    on expiry {
        set ClientIP  = binary-to-ascii(10, 8, ".", leased-address);
        execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "expiry", ClientIP);
    }
    on release {
        set ClientIP  = binary-to-ascii(10, 8, ".", leased-address);
        execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "release", ClientIP);
    }

Вот так оно у меня все настроено. Необходимо сделать так: виланы с 3001-3048 остаются на основном, а 2001-2048 обслуживаются сателитом. Реально ли это? В Dhcp конфиги описан каждый вилан.

[Cell]

Вам почти ничего не нужно делать... ну "почти".
Раз вы переносите шлюзы группы вланов на другой таз - то вам нужно на место этих ипов поставить другие из этой же сети  и не убирать эти интерфейсы с основного (того который был первым) сервера.
Что получается - что ip адреса будет выдавать один сервер, а шлюзом являться другой. ВСЕ! нам больше ничего не нужно. Но нужно не забывать о ДНС, т.е. подправить конфиг таким образом чтобы адрес днс сервера был актуален для той сети, куда ип выдается.

[DenisNikolaich]

Например строка: ifconfig_vlan2001="vlan 2001 vlandev lagg0 172.18.7.1 netmask 255.255.255.0" - это 1-й сервер, а на втором ifconfig_vlan2001="vlan 2001 vlandev lagg0 172.18.7.2 netmask 255.255.255.0" тгда dhcp сервер будет выдавать ip c 172.18.7.3 Правильно я понимаю? Блин, простите если туплю, реально голова не варит!!! (((

[DenisNikolaich]

Но нужно не забывать о ДНС, т.е. подправить конфиг таким образом чтобы адрес днс сервера был актуален для той сети, куда ип выдается.

т.е. если на первом у меня 1.1.1.1 а на втором например 8.8.8.8 то в конфиге днцп выставить соответствие тем подсетям, которые обслуживает 1 или 2 -й сервер.

[Cell]

если на старом сервере был ип адрес 172.18.7.1 и шлюз выдавался 172.18.7.1 то так и переносите на новый 172.18.7.1 а на старом сделайте 172.18.7.254(только юзерам его не выдайте случайно). Что касается ДНС, если на старом выдавался днс для юзера 172.18.7.1 то на новом нужно выдавать 172.18.7.254 - вы же поменяли там ип ))) Я надеюсь вы не собираетесь новый днс настраивать для саттелита? )

[DenisNikolaich]

На старом у меня днс 1.1.1.1, как по мануалу для всех подсетей. Я там дхцп конфиг скинул, а когда пытался в unbound.conf прописать днс для всех подсетей так он мне ошибку выдал.

[Cell]

Если юзаете публичные днс - то можете вообще ничего с ними не делать, и так будет работать

[DenisNikolaich]

Заглушка если что тоже останется на старом сервере?

[DenisNikolaich]

Если юзаете публичные днс - то можете вообще ничего с ними не делать, и так будет работать

Понял   

[Cell]

Заглушка если что тоже останется на старом сервере?

Вот с заглушкой как раз беда. Как я понимаю у вас используется Freebsd и перенаправить на старую заглушку получится только при помощи PF но я не пробовал, а всегда делал заглушку локальную.

[DenisNikolaich]

Да frebsd ну чтож будем пробовать разбираться, Вам лично огромная благодарность за помощь, завтра на свежую голову буду пробовать тестовый стенд собирать, если вдруг возникнут вопросы можно будет к Вам обратиться?

[DenisNikolaich]

Все вроде настроил по вашей инструкции, т.е. dhcp без управления nodeny инет на клиентском ПК есть. Если запустить фаервол и носервер - инет пропадает. В таблице 21 пусто. Согласно мануала трафик между серверами разрешил.

${f} table 101 add 1.2.3.1
${f} add 2030 allow ip from "table(101)" to any

Помогите пожалуйста советом, где еще, что подкрутить. Получается должны еще какие нибудь правила в фаерволе быть?