Zentyal Forum, Linux Small Business Server
International => Russian => Topic started by: vshtopor on May 02, 2012, 12:30:38 am
-
В приложении карта сети.
Был сервачёк на генту с 2,5 интерфейсами.
1-й интерфейс (eth1 192.168.1.2) в модем (192.168.1.1) с двумя комплектами vpi vci. Один vpi vci bridge для VPN организованный средствами "провайдера 1" соединяющей нас с "одними" удалёнными офисами (подсеть 192.168.1.0/24) и второй vpi vci router белый IP для инета (squid, NAT gentoo), входящие\исходящие для почтового сервера (gentoo), входящие подключения для OpenVPN сервера принимающего соединения от "других" удалённых офисов (подсеть 192.168.10.0) и домашних клиентов не имеющих белого IP.
2-й интерфейс (eth2 192.168.0.254) локалка (192.168.0.0/24)
И пришло новое счастье\горе
0-й интерфейс, к lan подключен Wi-Fi (режим ethernet adapter eth0 10.10.10.10), серый IP, GATE, DNS получаю по DHCP от "провайдера 0" с безлимитным интернетом 512k
В gentoo я не очень силён, так что решил не страдать, а поменять os на zentyal.
Сейчас в лёгком недоумении, сделал временно eth0 внешним, инет раздаётся, но считаю это неверным решением т к не знаю даже как этот OpenVPN принимать с eth1.
Задача:
1) squid, почти весь интернет трафик zentyal (обновление самого zentyal) пустить через eth0 ибо безлимитка
2) https internet bank с привязкой к белому IP, OpenVPN, VPN от провайдера, почту, и другие входящие соединения (ssh, https...) на белый IP через eth1
3) локальный трафик, трафик от VPN провайдера и OpenVPN офисов, должен взаимодействовать с eth2
Реализация
4) Подозреваю что необходимо объявить все интерфейсы внутренними
5) eth1 сделать основным шлюзом и DNS (точнее модем с ip 192.168.1.1)
6) маскарадить необходимые порты и ip через него, также заработает OpenVPN.
Но не совсем понятно как это сделать через вэб морду.
7) При таком раскладе не понимаю как завернуть весь трафик squid через eth0
Прошу помочь с направлениями поиска. Стараюсь делать всё через вэбморду zentyal, в консоль не лезу боюсь поломать вэбуправление.
В приложении карта сети.
-
Модем сам устанавливает соединение с провайдером1? Модель модема.
-
huawei mt800
да устанавливает сам
-
Сложно, но сделать что-нить можно. Безлимит только на файфае? Чета мне все это севера напоминиет, в особенности Тарко-Сале...
1) Если интернет будет только через вайфай (eth0), то его в настройках интерфейса укажи как внешний
2) Интерфейс eth1 можно указать как внутренний (если необходим интернет с модема, то можно указать IP модема в качестве шлюза -- Сеть -> Шлюзы -> добавить)
также нужно прописать маршрут, разрешающий сети 192.168.0.0/24 бегать в сеть 192.168.1.0/24. Для этого идем в Сеть -> Статические маршруты -> Добавить и пишем сеть 192.168.1.0/24 шлюз 192.168.1.1
Продолжу после обеда
-
Сложно, но сделать что-нить можно. Безлимит только на файфае? Чета мне все это севера напоминиет, в особенности Тарко-Сале...
безлимит только wi-fi
Тарко-Сале... посмотрел в википедии, далеко.
1) Если интернет будет только через вайфай (eth0), то его в настройках интерфейса укажи как внешний
так и сделано, но это неверно ибо
2) https internet bank с привязкой к белому IP, OpenVPN, VPN от провайдера, почту, и другие входящие соединения (ssh, https...) на белый IP через eth1
прописал 3 ip банка в таблицу маршрутизации, не пашет, банк ругается.
2) Интерфейс eth1 можно указать как внутренний (если необходим интернет с модема, то можно указать IP модема в качестве шлюза -- Сеть -> Шлюзы -> добавить)
внутренний, в таблицу думал писать не писать, настраиваю по удалёнке, подозреваю ехать придётся.
также нужно прописать маршрут, разрешающий сети 192.168.0.0/24 бегать в сеть 192.168.1.0/24. Для этого идем в Сеть -> Статические маршруты -> Добавить и пишем сеть 192.168.1.0/24 шлюз 192.168.1.1
а вот это не правильно. модем работает в 2 режимах, router для инета, и bridge для vpn. т е все 192.168.1.0/24 адреса видятся и так. а если кого в инет послать тогда указываем ip модема в качастве шлюза и dns.
p.s. всё что хочу: squid через eth0 wi-fi, остальной инет траффик в eth1 через router 192.168.1.1
-
Если VPN проходит через зентал, подгрузи модули
ip_nat_pptp
ip_conntrack_pptp
ip_gre
p.s. всё что хочу: squid через eth0 wi-fi, остальной инет траффик в eth1 через router 192.168.1.1
Если у тебя один внешний интерфейс, с которого сам зентал получает интернет, то и squid в интернет пропустит через него.
На тему правильно или неправильно создавать маршрут из сети 192.168.0.0/24 в сеть 192.168.1.0/24 можно часами спорить, если не знать подробностей. Где устанавливается VPN для бриджа по vci:vpi, на самом модеме или на клиентских тачках? Если на клиентских тачках, загружай указанные выше модули в Zentyal, если модем сам поднял соединение, то скорее всего маршрут необходим.
-
Если VPN проходит через зентал, подгрузи модули
ip_nat_pptp
ip_conntrack_pptp
ip_gre
это не то, vpn провайдера для нас прозрачный (аппаратный). ничего из этого ставить ненужно, так работает.
p.s. всё что хочу: squid через eth0 wi-fi, остальной инет траффик в eth1 через router 192.168.1.1
Если у тебя один внешний интерфейс, с которого сам зентал получает интернет, то и squid в интернет пропустит через него.
2 у меня внешних интерфейса я и карту нарисовал специально и в тексте объяснил :(
eth0 безлимитка, через него squid
eth1 тоже внешка, принимаем openvpn и почту
На тему правильно или неправильно создавать маршрут из сети 192.168.0.0/24 в сеть 192.168.1.0/24 можно часами спорить, если не знать подробностей.
так как сети локальные zentyal эти маршруты сам делает.
Где устанавливается VPN для бриджа по vci:vpi, на самом модеме или на клиентских тачках? Если на клиентских тачках, загружай указанные выше модули в Zentyal, если модем сам поднял соединение, то скорее всего маршрут необходим.
vpn провайдера делается оборудованием провайдера и нашими модемами.
маршрут не нужен, работает так.
повторюсь у нас 2 vpn:
vpn провайдера и openvpn на серваке, это разные вещи
-
Чета я вконец запутался... Ты в настройках Zentyal в качестве внешнего интерфейса указал eth0 c адресом 10.10.10.10, пусть шлюз у него 10.10.10.9. А eth1 192.168.2.1 указал как внутренний, шлюз у него 192.168.2.1. Правильно? Следовательно для Zentyal ты указал единственный внешний интерфейс, с дефолтным шлюзом 10.10.10.9.
Если у тебя безлимит на eth0, то пусть все в интернет ходют по нему. А интернет на модеме держи как резервный.
https internet bank с привязкой к белому IP, OpenVPN, VPN от провайдера, почту, и другие входящие соединения (ssh, https...) на белый IP через eth1
Все входящие по белому адресу 90.90.90.90 приходят на модем. Переброс всех портов DMZ с модема на Zentyal сделан?
-
Второй вариант. Я уже не успеваю за своими мыслями.
1) eth0 и eth1 указать как внешний интерфейс
eth0 - 10.10.10.10 netmask 255.255.255.0
eth1 - 192.168.1.2 netmask 255.255.255.0
2) В качестве шлюза указать ip шлюза провайдера wi-fi, Zentyal будет через него в интернет пускать
3) Правила фильтрации из внешних сетей на внутренние сети -> Добавить 192.168.1.0/24:any:any:comment; 192.168.160.0/24:any:any:OpenVPN
4) Добавить ip 192.168.1.2 в демилитаризованную зону в фаерволе модема, чтобы перенаправить все входящие соединения на белый ip 90.90.90.90 и 192.168.1.1 на шлюз Zentyal;
-
Спасибо, за ответы. С праздниками разберусь и отпишусь.