Zentyal Forum, Linux Small Business Server

International => Russian => Topic started by: rubic on May 15, 2012, 09:04:10 am

Title: 2-й WAN, проблемы с доступом извне к сервисам Zentyal
Post by: rubic on May 15, 2012, 09:04:10 am

Использую Zentyal как почтовый сервер подключенный одновременно к 2-м провайдерам.
WAN1: 195.xxx.xxx.134/30 GW 195.xxx.xxx.133 (default)
WAN2: 95.yyy.yyy.50/30 GW 95.yyy.yyy.49
Не могу понять, это так и задумано, что если извне подключаешься через WAN2 к Zentyal, то ответы летят через WAN1 (default gateway), или настроил криво?
Проблемы никакой нету. Фактически Zentyal стоит в DMZ и роутер, который перед ним, эту ситуацию легко разруливает. Просто в статистике того интерфейса роутера, который смотрит на WAN2 Zentyal, заметил странное - отправленных пакетов куча, а принятых от Zentyal - 0. Стал разбираться, так и есть - ответы от Zentyal летят через WAN1 с адресом источника 95.yyy.yyy.50. Это нормально, если не настроить толком маршрутизацию (ну так например http://lartc.org/howto/lartc.rpdb.multiple-links.html), но не нормально для дистрибутива, который официально поддерживает multiwan.
Может ли кто-нибудь, кто использует Zentyal с 2-мя провайдерами, подтвердить или опровергнуть то, что к сервисам Zentyal нельзя подключиться извне через тот интерфейс, шлюз которого не является для Zentyal шлюзом по умолчанию?

Title: Re: 2-й WAN, проблемы с доступом извне к сервисам Zentyal
Post by: atikhonov on May 16, 2012, 10:43:31 am

В данном случае наверно нужно смотреть в сторону динамической маршрутизации.
Из соображений безопасности я бы не стал выставлять наружу консоль управления, а сделал бы к ней доступ посредством VPN. Сам не пробовал, но интересно проверить, будет ли работать VPN через второй WAN-интерфейс.

Title: Re: 2-й WAN, проблемы с доступом извне к сервисам Zentyal
Post by: rubic on May 16, 2012, 10:57:27 am

Там не только в консоли дело (вопрос безопасности другими средствами решается), но и сам диалог SMTP, если чужой сервер шлет моему письмо через WAN2, идет асимметрично. Запросы извне идут на WAN2, а ответы postfix zentyal - через WAN1. Я просто прогнозирую ситуацию, что если бы перед zentyal не стоял мой умница-роутер, то через WAN2 ни к консоли, ни по SMTP и вообще ни к какому сервису zentyal никто бы подключиться не мог из-за треугольного роутинга.

Title: Re: 2-й WAN, проблемы с доступом извне к сервисам Zentyal
Post by: atikhonov on May 16, 2012, 11:13:07 am

Тогда, судя по всему, динамическая маршрутизация. Или Ваш вариант.

Title: Re: 2-й WAN, проблемы с доступом извне к сервисам Zentyal
Post by: rubic on May 18, 2012, 02:25:38 pm

Вопрос снимается. Поставил zentyal на виртуалку - 2 WAN через разные роутеры. Все работает и через default gateway и через не default. На рабочем сервере пришлось удалить все gateways и завести по-новой. Теперь трафик четко прилипает к интерфейсам.

Title: Re: 2-й WAN, проблемы с доступом извне к сервисам Zentyal
Post by: KV1s on June 13, 2012, 05:38:47 pm

Аналогичная проблема. Только с RDP.
Через WAN1(где default gateway) всё корректно подключается, через WAN2 никак.

Удалил все gateway. Проблема осталась.
Может из-за того что WAN2 (это PPPOE) и Zentyal создаёт его автоматом???
подскажите куда копать?

Title: Re: 2-й WAN, проблемы с доступом извне к сервисам Zentyal
Post by: KV1s on June 13, 2012, 06:19:08 pm

Удалил ppp из /etc/zentyal/network.conf
ifaces_to_ignore = sit,tun,tap,lo,irda,virbr,vboxnet,ppp

Сделал проброс портов непосредственно из ppp0.
Результат такой же. Ответ идёт только через default-wg.

Стойкое ощущение, что надо копать в сторону отключения маскарадинга ppp0 который Zentyal делает по умолчанию, но что конкретно делать не понимаю.

Title: Re: 2-й WAN, проблемы с доступом извне к сервисам Zentyal
Post by: KV1s on June 19, 2012, 10:32:46 am

Не разобрался с маскарадингом :(

Настроил модем роутером.
Сделал в модеме DMZ.
Прописал в интерфейсе Zentyala IP DMZ.
Порт форвардинг заработал.