Author Topic: 2-й WAN, проблемы с доступом извне к сервисам Zentyal  (Read 3180 times)

rubic

  • Zen Monk
  • **
  • Posts: 86
  • Karma: +12/-1
    • View Profile
Использую Zentyal как почтовый сервер подключенный одновременно к 2-м провайдерам.
WAN1: 195.xxx.xxx.134/30 GW 195.xxx.xxx.133 (default)
WAN2: 95.yyy.yyy.50/30 GW 95.yyy.yyy.49
Не могу понять, это так и задумано, что если извне подключаешься через WAN2 к Zentyal, то ответы летят через WAN1 (default gateway), или настроил криво?
Проблемы никакой нету. Фактически Zentyal стоит в DMZ и роутер, который перед ним, эту ситуацию легко разруливает. Просто в статистике того интерфейса роутера, который смотрит на WAN2 Zentyal, заметил странное - отправленных пакетов куча, а принятых от Zentyal - 0. Стал разбираться, так и есть - ответы от Zentyal летят через WAN1 с адресом источника 95.yyy.yyy.50. Это нормально, если не настроить толком маршрутизацию (ну так например http://lartc.org/howto/lartc.rpdb.multiple-links.html), но не нормально для дистрибутива, который официально поддерживает multiwan.
Может ли кто-нибудь, кто использует Zentyal с 2-мя провайдерами, подтвердить или опровергнуть то, что к сервисам Zentyal нельзя подключиться извне через тот интерфейс, шлюз которого не является для Zentyal шлюзом по умолчанию?

atikhonov

  • Moderator
  • Zen Monk
  • *****
  • Posts: 89
  • Karma: +6/-0
    • View Profile
В данном случае наверно нужно смотреть в сторону динамической маршрутизации.
Из соображений безопасности я бы не стал выставлять наружу консоль управления, а сделал бы к ней доступ посредством VPN. Сам не пробовал, но интересно проверить, будет ли работать VPN через второй WAN-интерфейс.
Алексей Тихонов, ZeCA
Персональные администраторы - Официальный партнер Zentyal (Россия)
http://www.facebook.com/p.admins
http://padmins.com

rubic

  • Zen Monk
  • **
  • Posts: 86
  • Karma: +12/-1
    • View Profile
Там не только в консоли дело (вопрос безопасности другими средствами решается), но и сам диалог SMTP, если чужой сервер шлет моему письмо через WAN2, идет асимметрично. Запросы извне идут на WAN2, а ответы postfix zentyal - через WAN1. Я просто прогнозирую ситуацию, что если бы перед zentyal не стоял мой умница-роутер, то через WAN2 ни к консоли, ни по SMTP и вообще ни к какому сервису zentyal никто бы подключиться не мог из-за треугольного роутинга.

atikhonov

  • Moderator
  • Zen Monk
  • *****
  • Posts: 89
  • Karma: +6/-0
    • View Profile
Тогда, судя по всему, динамическая маршрутизация. Или Ваш вариант.
Алексей Тихонов, ZeCA
Персональные администраторы - Официальный партнер Zentyal (Россия)
http://www.facebook.com/p.admins
http://padmins.com

rubic

  • Zen Monk
  • **
  • Posts: 86
  • Karma: +12/-1
    • View Profile
Вопрос снимается. Поставил zentyal на виртуалку - 2 WAN через разные роутеры. Все работает и через default gateway и через не default. На рабочем сервере пришлось удалить все gateways и завести по-новой. Теперь трафик четко прилипает к интерфейсам.

KV1s

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Аналогичная проблема. Только с RDP.
Через WAN1(где default gateway) всё корректно подключается, через WAN2 никак.

Удалил все gateway. Проблема осталась.
Может из-за того что WAN2 (это PPPOE) и Zentyal создаёт его автоматом???
подскажите куда копать?

KV1s

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Удалил ppp из /etc/zentyal/network.conf
ifaces_to_ignore = sit,tun,tap,lo,irda,virbr,vboxnet,ppp

Сделал проброс портов непосредственно из ppp0.
Результат такой же. Ответ идёт только через default-wg.

Стойкое ощущение, что надо копать в сторону отключения маскарадинга ppp0 который Zentyal делает по умолчанию, но что конкретно делать не понимаю.
« Last Edit: June 19, 2012, 07:47:43 pm by KV1s »

KV1s

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Не разобрался с маскарадингом :(

Настроил модем роутером.
Сделал в модеме DMZ.
Прописал в интерфейсе Zentyala IP DMZ.
Порт форвардинг заработал.
« Last Edit: June 19, 2012, 07:48:20 pm by KV1s »