3 с половиной интерфейса

[vshtopor]

В приложении карта сети.

Был сервачёк на генту с 2,5 интерфейсами.

    1-й интерфейс (eth1 192.168.1.2) в модем (192.168.1.1) с двумя комплектами vpi vci. Один vpi vci bridge для VPN организованный средствами "провайдера 1" соединяющей нас с "одними" удалёнными офисами (подсеть 192.168.1.0/24) и второй vpi vci router белый IP для инета (squid, NAT gentoo), входящие\исходящие для почтового сервера (gentoo), входящие подключения для OpenVPN сервера принимающего соединения от "других" удалённых офисов (подсеть 192.168.10.0) и домашних клиентов не имеющих белого IP.
    2-й интерфейс (eth2 192.168.0.254) локалка (192.168.0.0/24)

    И пришло новое счастье\горе
    0-й интерфейс, к lan подключен Wi-Fi (режим ethernet adapter eth0 10.10.10.10), серый IP, GATE, DNS получаю по DHCP от "провайдера 0" с безлимитным интернетом 512k
В gentoo я не очень силён, так что решил не страдать, а поменять os на zentyal.

    Сейчас в лёгком недоумении, сделал временно eth0 внешним, инет раздаётся, но считаю это неверным решением т к не знаю даже как этот OpenVPN принимать с eth1.

    Задача:
  1) squid, почти весь интернет трафик zentyal (обновление самого zentyal) пустить через eth0 ибо безлимитка
  2) https internet bank с привязкой к белому IP, OpenVPN,  VPN от провайдера, почту, и другие входящие соединения (ssh, https...) на белый IP через eth1
  3) локальный трафик, трафик от VPN провайдера и OpenVPN офисов, должен взаимодействовать с eth2
   
      Реализация
  4) Подозреваю что необходимо объявить все интерфейсы внутренними
  5) eth1 сделать основным шлюзом и DNS (точнее модем с ip 192.168.1.1)
  6) маскарадить необходимые порты и ip через него, также заработает OpenVPN.
  Но не совсем понятно как это сделать через вэб морду.
  7) При таком раскладе не понимаю как завернуть весь трафик squid через eth0
 
  Прошу помочь с направлениями поиска. Стараюсь делать всё через вэбморду zentyal, в консоль не лезу боюсь поломать вэбуправление.

В приложении карта сети.

[mravil]

Модем сам устанавливает соединение с провайдером1? Модель модема.

[vshtopor]

huawei mt800
да устанавливает сам

[mravil]

Сложно, но сделать что-нить можно. Безлимит только на файфае? Чета мне все это севера напоминиет, в особенности Тарко-Сале...

1) Если интернет будет только через вайфай (eth0), то его в настройках интерфейса укажи как внешний
2) Интерфейс eth1 можно указать как внутренний (если необходим интернет с модема, то можно указать IP модема в качестве шлюза -- Сеть -> Шлюзы -> добавить)
также нужно прописать маршрут, разрешающий сети 192.168.0.0/24 бегать в сеть 192.168.1.0/24. Для этого идем в Сеть -> Статические маршруты -> Добавить и пишем сеть 192.168.1.0/24 шлюз 192.168.1.1

Продолжу после обеда

[vshtopor]

Сложно, но сделать что-нить можно. Безлимит только на файфае? Чета мне все это севера напоминиет, в особенности Тарко-Сале...

безлимит только wi-fi
Тарко-Сале... посмотрел в википедии, далеко.

1) Если интернет будет только через вайфай (eth0), то его в настройках интерфейса укажи как внешний

так и сделано, но это неверно ибо

2) https internet bank с привязкой к белому IP, OpenVPN,  VPN от провайдера, почту, и другие входящие соединения (ssh, https...) на белый IP через eth1

прописал 3 ip банка в таблицу маршрутизации, не пашет, банк ругается.

2) Интерфейс eth1 можно указать как внутренний (если необходим интернет с модема, то можно указать IP модема в качестве шлюза -- Сеть -> Шлюзы -> добавить)

внутренний, в таблицу думал писать не писать, настраиваю по удалёнке, подозреваю ехать придётся.

также нужно прописать маршрут, разрешающий сети 192.168.0.0/24 бегать в сеть 192.168.1.0/24. Для этого идем в Сеть -> Статические маршруты -> Добавить и пишем сеть 192.168.1.0/24 шлюз 192.168.1.1

а вот это не правильно. модем работает в 2 режимах, router для инета, и bridge для vpn. т е все 192.168.1.0/24 адреса видятся и так. а если кого в инет послать тогда указываем ip модема в качастве шлюза и dns.


p.s. всё что хочу: squid через eth0 wi-fi, остальной инет траффик в eth1  через router 192.168.1.1

[mravil]

Если VPN проходит через зентал, подгрузи модули
ip_nat_pptp
ip_conntrack_pptp
ip_gre

p.s. всё что хочу: squid через eth0 wi-fi, остальной инет траффик в eth1  через router 192.168.1.1

Если у тебя один внешний интерфейс, с которого сам зентал получает интернет, то и squid в интернет пропустит через него.

На тему правильно или неправильно создавать маршрут из сети 192.168.0.0/24 в сеть 192.168.1.0/24 можно часами спорить, если не знать подробностей. Где устанавливается VPN для бриджа по vci:vpi, на самом модеме или на клиентских тачках? Если на клиентских тачках, загружай указанные выше модули в Zentyal, если модем сам поднял соединение, то скорее всего маршрут необходим.

[vshtopor]

Если VPN проходит через зентал, подгрузи модули
ip_nat_pptp
ip_conntrack_pptp
ip_gre

это не то, vpn провайдера для нас прозрачный (аппаратный). ничего из этого ставить ненужно, так работает.

p.s. всё что хочу: squid через eth0 wi-fi, остальной инет траффик в eth1  через router 192.168.1.1

Если у тебя один внешний интерфейс, с которого сам зентал получает интернет, то и squid в интернет пропустит через него.

2 у меня внешних интерфейса я и карту нарисовал специально и в тексте объяснил
eth0 безлимитка, через него squid
eth1 тоже внешка, принимаем openvpn и почту

На тему правильно или неправильно создавать маршрут из сети 192.168.0.0/24 в сеть 192.168.1.0/24 можно часами спорить, если не знать подробностей.

так как сети локальные zentyal эти маршруты сам делает.

 

Где устанавливается VPN для бриджа по vci:vpi, на самом модеме или на клиентских тачках? Если на клиентских тачках, загружай указанные выше модули в Zentyal, если модем сам поднял соединение, то скорее всего маршрут необходим.

vpn провайдера делается оборудованием провайдера и нашими модемами.
маршрут не нужен, работает так.
 повторюсь у нас 2 vpn:
vpn провайдера и openvpn на серваке, это разные вещи

[mravil]

Чета я вконец запутался... Ты в настройках Zentyal в качестве внешнего интерфейса указал eth0 c адресом 10.10.10.10, пусть шлюз у него 10.10.10.9. А eth1 192.168.2.1 указал как внутренний, шлюз у него 192.168.2.1. Правильно? Следовательно для Zentyal ты указал единственный внешний интерфейс, с дефолтным шлюзом 10.10.10.9.

Если у тебя безлимит на eth0, то пусть все в интернет ходют по нему. А интернет на модеме держи как резервный.

https internet bank с привязкой к белому IP, OpenVPN,  VPN от провайдера, почту, и другие входящие соединения (ssh, https...) на белый IP через eth1

Все входящие по белому адресу 90.90.90.90 приходят на модем. Переброс всех портов DMZ с модема на Zentyal сделан?

[mravil]

Второй вариант. Я уже не успеваю за своими мыслями.
1) eth0 и eth1 указать как внешний интерфейс
eth0 - 10.10.10.10 netmask 255.255.255.0
eth1 - 192.168.1.2 netmask 255.255.255.0
2) В качестве шлюза указать ip шлюза провайдера wi-fi, Zentyal будет через него в интернет пускать
3) Правила фильтрации из внешних сетей на внутренние сети -> Добавить 192.168.1.0/24:any:any:comment; 192.168.160.0/24:any:any:OpenVPN
4) Добавить ip 192.168.1.2 в демилитаризованную зону в фаерволе модема, чтобы перенаправить все входящие соединения на белый ip 90.90.90.90 и 192.168.1.1 на шлюз Zentyal;

[vshtopor]

Спасибо, за ответы. С праздниками разберусь и отпишусь.