freebsd, vlan'ы, маршрутизация

[улыбашка]

Доброго времени!
Есть не большой пул реальных ip адресов, задача разделить их в несколько вланов, чтоб можно было их прописывать статикой, и этот сервер выступал шлюзом, но кокос не растет
rc.conf

Код:

cloned_interfaces="vlan20 vlan703 vlan704 vlan705"
ifconfig_igb0="up"

ifconfig_igb1="inet x.x.104.29  netmask 255.255.255.0"
ifconfig_lo0_alias0="inet 10.255.0.29 netmask 255.255.255.255"

ifconfig_vlan20="inet 10.200.0.29 netmask 255.255.0.0 vlan 20 vlandev igb0 mtu 1500"
ifconfig_vlan703="inet x.x.105.25 netmask 255.255.255.0 vlan 703 vlandev igb0 mtu 1500"
ifconfig_vlan704="inet x.x.106.5 netmask 255.255.255.0 vlan 704 vlandev igb0 mtu 1500"
ifconfig_vlan705="inet 10.210.0.1 netmask 255.255.240.0 vlan 705 vlandev igb0 mtu 1500"

defaultrouter="x.x.104.1"
gateway_enable="YES"

firewall_enable="YES"
firewall_type="OPEN"
#firewall_logging="YES"
pf_enable="YES"
pf_rules="/etc/pf.conf"

sshd_enable="YES"

pf.conf

Код:

ext_if = "igb1"

set limit states 16000000
set optimization aggressive
set limit frags 1000000
set limit src-nodes 200000
set limit table-entries 1000000

nat pass on $ext_if from 10.0.0.0/8 to any -> x.x.104.29

в фаервол прописываю правила

Код:

${f} add 28 allow all from 10.210.0.10 to any
${f} add 28 allow all from any to 10.210.0.10

${f} add 29 allow all from x.x.105.45 to any
${f} add 29 allow all from any to x.x.105.45

${f} add 30 allow all from x.x.106.15 to any
${f} add 30 allow all from any to x.x.106.15

и вот в чем беда, с серыми адресами все работает, на машине в 705 влане с адресом 10.210.0.10, все работает инет есть все как положено, а в 703 и 704 влане инета нет, в чем беда не могу разобраться, в фаервол пробовал прописать

ipfw add 26allow ip from x.x.104.1/24 to x.x.105.1/24
ipfw add 27 allow ip from x.x.105.1/24 to x.x.104.1/24
вообще отключал фаервол, эффекта ни какого,
т.к ip реальные в нате нет смысла они должны сразу выходить в мир, но на всякий случай пробовал добавить в pf

binat pass on $ext_if from x.x.105.0/24 to any -> x.x.105.25/24

так же не дало результата.
прошу помощи у знающих людей, может кто знает в чем может быть заковырка
зы: влан 20 это управление

[Cell]

Из вашего поста не понятно откуда взялся этот большой пул реальников.... Вы его сами анонсируете по BGP или их вам в аренду провайдер вышестоящий выделил?
Если по BGP, вы бы наверное не забыли упомянуть об этом да и работало бы все скорее всего, а  если вышестоящий провайдер навесил себе на интерфейс x.x.104.1/22 (что очень похоже на правду) то оно и не должно работать.
Договоритесь с провайдером об интерфейсной паре ip адресов для непосредственного взаимодействия (хоть даже серых, хотя это не есть гуд) а сеть x.x.104.0/22 пусть зароутит за ip адрес  с вашей стороны. Без вышестоящего провайдера придется лепить какие-то proxy-arp а это уже фигня получится.

[улыбашка]

простите, как то вылетело, используем bgp full view, ипы крутятся на нашей AS.
В том то и дело должно работать, но не работает, и что не так не понятно, уже пробовал навесить на один интерфейс, и все равно не работает, пытался прописать маршруты, говорит маршрут уже есть

route: writing to routing socket: File exists
add net x.x.x.0: gateway x.x.x.x fib 0: route already in table

хз что не так, мысли уже кончаются, но думаю косяк где то в маршрутах, нужно как то, направить трафик влана в инет

[Cell]

Ну значит нужно проверить правильно ли вы анонсируете свои сети. Правильно ли они роутятся из мира в ваш роутер. Ну это для старта )

[улыбашка]

с анонсами все нормально, в RIPe есть запись RoA: x.x.104.0/22ASxxxx , чтобы пропускало все more specific анонсы вплоть до /24.
адреса рабочие.
Я наверное не правильно выразился. Есть пул адресов /22, полностью настроен рабочий. Пользуем нодени+ с пппое и эти ипы.
Есть группа юриков которых не устраивает пппое, и вот руководство поставило задачу, включать их статикой на реал ипы. Соответственно  подключать их на прямую к нашему бордеру, ну совсем ни комильфо, без какого либо контроля и надзора. Поэтому решили на отдельном сервере, поднять отдельный влан, запихнуть туда часть реальных адресов и выставить этот сервер шлюзом. И вот попали в эту заковыку.

зы: к примеру есть реальный адрес x.x.104.29, прописанный на
ifconfig_igb1="inet x.x.104.29  netmask 255.255.255.0"
он работает и выходит в инет,
делаю загоняю его во влан

ifconfig_vlan704="inet x.x.104.29 netmask 255.255.255.0 vlan 704 vlandev igb0 mtu 1500"
пускаю на машину влан704, прописываю x.x.104.29 шлюзом, с машины шлюз пингуется, а инета нет
получается с влана нет выхода в инет, если меняю на серый ип

ifconfig_vlan705="inet 10.210.0.1 netmask 255.255.240.0 vlan 705 vlandev igb0 mtu 1500"
все работает инет приходит, номер влана и маска на данные момент не имеют значения, это как пример

ззы: в настройках ifconfig_vlan пробовал менять интерфейс на igb1, чтоб крутилось все на одном, менять маску для проверки на полную /22
пустить адреса через нат
binat pass on $ext_if from x.x.104.0/22 to any -> x.x.104.29/22
Получается с влана нет выхода в инет, при чем только на реальном ип

[Cell]

если вы это делаете на отдельном сервере, то должны прописать на бордере машрутизацию до этого сервера, либо настроить динамику
Если у вас на этом сервере ip адрес хх.хх.104.29 а на бордере хх.хх.104.1 то вам на бордере нужно прописать:

Код:

route add -net  xx.xx.105.0/24  xx.xx.104.29

что-то типа такого, если Freebsd используете.
После этого 105я сеть станет у вас доступна из влана, только не забудьте разрешить маршутизацию. На разных операционных системах это делается по разному (для фяхи это    gateway_enable = YES)

[улыбашка]

спасибо, уже разобрался, проблема действительно была с маршрутами на бордере
дорисовал
static route x.x.104.0/22 next-hop 10.21.0.1
и перенастроил rc.conf, кокос начал расти. Собирался сегодня как раз отписаться, в чем была проблема