sky_at_home Опубликовано 12 апреля, 2013 Жалоба Share Опубликовано 12 апреля, 2013 Не суть чего, хоть там сайт крутится просто на 80м порту. Чтобы снаружи на него заходить как http://77.77.77.77 , так и http://88.88.88.88 Я не любитель циско, а пользователь оной)) Не понимаю почему обыкновенная проброска порта (2шт) работать не будет? то есть ip nat inside source static tcp 192.168.0.100 80 77.77.77.77 80 extendable ip nat inside source static tcp 192.168.0.100 80 88.88.88.88 80 extendable не тяни) открой секрет?) Ссылка на комментарий Поделиться на другие сайты More sharing options...
sky_at_home Опубликовано 12 апреля, 2013 Жалоба Share Опубликовано 12 апреля, 2013 Кстати вот новые роутеры 800 серии с 4мя управляемыми портами и еще там чем то по 500р http://www.ebay.com/itm/Cisco-831-Ethernet...=item4ac2b845dd это к вопросу о дороговизне. Ссылка на комментарий Поделиться на другие сайты More sharing options...
ovm48 Опубликовано 13 апреля, 2013 Автор Жалоба Share Опубликовано 13 апреля, 2013 Продолжаем. Возможно я чего-то пока не понимаю в маршрутизации на цисках, но покуда ихняя ось унаследована от Юниксов, как и Линух, то проблематика должна быть аналогичной. Итак, углубимся в тонкости маршрутизации, встреченные на Дебиане. Маршрутизация (транзит) на никсах вообще происходит в 3 стадии. 1. PREROUTING 2. ROUTING 3. POSTROUTING (4. profit ) 1. PREROUTING - IP-пакет пришёл через некий сетевой интерфейс. На этом этапе можно правилом файрлвола (iptables) перенаправить его на другой адрес назначения. Конкретно в нашем случае когда некий Вася снаружи с адреса 100.100.100.100 приходит к нам на 77.77.77.77, то его пакет из 100.100.100.100 => 77.77.77.77 переделывается в 100.100.100.100 => 192.168.0.100 Заметьте, что если Вася пришёл к нам через второго провайдера, то есть 100.100.100.100 => 88.88.88.88, то его пакет после модификации в nat prerouting выглядит точно также 100.100.100.100 => 192.168.0.100 Видите проблему ? Отданный внутрь локалки пакет потерял информацию о том, через какого из двух провайдеров он пришёл. Однако, продолжаем, стадия 2: 2. ROUTING - это собственно маршрутизация, то есть просто выбор того сетевого интерфейса, на который дальше надо переложить данный пакет согласно действующей таблицы маршрутов. Покуда наш пакет сюда уже дошёл как 100.100.100.100 => 192.168.0.100 то он, очевидно, направляется на сетевой интерфейс локальной сети. Вообще, в данном примере таблица маршрутизации роутера имеет вид: до 0.0.0.0/0 через интерфейс первого провайдера до 0.0.0.0/0 через интерфейс второго провайдера до 192.168.0.x/24 через интерфейс локальной сети Да-да, два главных маршрута в инет через двух одновременно активных провайдеров, но пока на этом не заостряемся. 3. POSTROUTING - когда пакет уже готов уйти через определённый на предыдущем этапе интерфейс, но его перед выходом можно при необходимости ещё немного модифицировать, а именно поменять у него адрес источника. В нашем случае этого делать не надо, отправляющийся внутрь локалки 100.100.100.100 => 192.168.0.100 не надо больше модифицировать, его адрес источника должен оставаться исходным 100.100.100.100, чтобы локальный сервер видел, что это именно Вася с внешнего адреса 100.100.100.100. Итак, локальный сервер на 192.168.0.100 получил пакет и отдаёт ответ на него 192.168.0.100 => 100.100.100.100 сюда же на маршрутизатор. Пришедший из локалки пакет также проходит стадии PREROUTING-ROUTING-POSTROUTING, но как бы в обратном порядке в том смысле, что обратные трансляции к тому, что было в PRE делаются в POST и наоборот. В PRE с ним ничего не происходит. В RO он пришёл как есть 192.168.0.100 => 100.100.100.100 и вот тут не ясно, через какого провайдера его отдавать наверх. Если бы RO мог заглянуть вперёд в POST и увидеть, что там этот пакет ожидает правило обратной трансляции, которое на словах можно сформулировать просто: что идёт "с 192.168.0.100 на 100.100.100.100", то перед выходом должно поменять адрес на: "с 77.77.77.77 на 100.100.100.100", то он бы догадался, что этот пакет надо отдавать через первого провайдера. Но в Линухе нет такого механизма, RO действует только по таблице маршрутизации. Ладно, предположим, что первый провайдер был угадан верно. Пакет передаётся на интерфейс первого провайдера и перед выходом в POST у него адрес источника 192.168.0.100 меняется на 77.77.77.77. Всё корректно, Вася обращался снаружи к 77.77.77.77, его обращение было передано в локалку на 192.168.0.100, а ответ перед выходом вытранслирован обратно от адреса 77.77.77.77 и отдан Васе. Всё хорошо, не считая того, что через второго провайдера у Васи зайти так не получится. Его ответный пакет от адреса второго провайдера будет отдан через первого и там зарублен. Что же делать, чего же тут не хватает ? А не хватает тут одной маленькой хитрости. На локальном сервере надо выделить второй адрес из этой же локалки. Пусть на нём будет два адреса: 192.168.0.100 и 192.168.101. Тогда на маршрутизаторе что приходит снаружи на 77.77.77.77 будет перенаправляться на 192.168.0.100, а что на 88.88.88.88 - то на 192.168.0.101. На ту же машину, но на второй её адрес. Вот она, хитрая маркировка того, через какого провайдера пришло соединение. Ну и в таком случае на маршрутизаторе должен работать advanced routing, (policy based routing) то есть возможность строить правила маршрутизации не только по адресу назначения, но и по адресу источника. Наша табличка расширяется до: c 192.168.0.100 до 0.0.0.0/0 через интерфейс первого провайдера c 192.168.0.101 до 0.0.0.0/0 через интерфейс второго провайдера до 0.0.0.0/0 через интерфейс первого провайдера до 0.0.0.0/0 через интерфейс второго провайдера до 192.168.0.x/24 через интерфейс локальной сети Вот и всё. Это работает. На Линухе. А что же у вас на Циске со всей этой проблематикой ? Ссылка на комментарий Поделиться на другие сайты More sharing options...
sky_at_home Опубликовано 13 апреля, 2013 Жалоба Share Опубликовано 13 апреля, 2013 http://habrahabr.ru/post/117573/ вот подробная статья с картинками как это сделать на циске. да. она через полиси базед роутинг. Ссылка на комментарий Поделиться на другие сайты More sharing options...
ovm48 Опубликовано 14 апреля, 2013 Автор Жалоба Share Опубликовано 14 апреля, 2013 Максимально ! Экстремально максимально ВНИМАТЕЛЬНО, сцуко, прочитай моё первое сообщение : > Теперь нам присылают HUISCO ASA 5510 > и говорят - вы должны защитить ею свою сеть. > Стал разбираться, железка дорогая, > но она не умеет Advanced Routing > (policy based routing [pbr] в терминологии циско), > итого на ней всегда активен только один провайдер, > а на второго главный маршрут может перейти если первый упадёт. > И всё. > И чё теперь делать с этой циско ??!?! Ссылка на комментарий Поделиться на другие сайты More sharing options...
sky_at_home Опубликовано 14 апреля, 2013 Жалоба Share Опубликовано 14 апреля, 2013 Максимально ! Экстремально максимально ВНИМАТЕЛЬНО, сцуко, прочитай моё первое сообщение : > Теперь нам присылают HUISCO ASA 5510 > и говорят - вы должны защитить ею свою сеть. > Стал разбираться, железка дорогая, > но она не умеет Advanced Routing > (policy based routing [pbr] в терминологии циско), > итого на ней всегда активен только один провайдер, > а на второго главный маршрут может перейти если первый упадёт. > И всё. > И чё теперь делать с этой циско ??!?! не тормози. Ссылка на комментарий Поделиться на другие сайты More sharing options...
kenika Опубликовано 14 апреля, 2013 Жалоба Share Опубликовано 14 апреля, 2013 О том, какое же оно говно: http://www.anticisco.ru/blogs/?p=19 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Buranovsky Ded Опубликовано 20 октября, 2014 Жалоба Share Опубликовано 20 октября, 2014 Cisco ASA 5510 + Cisco 881 + n-providers ip nat inside, ip nat outside, route-map, pbr........... Египтическая силищща !!!!!!!!! Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.