LINUX.ORG.RU
ФорумAdmin

policy routing (вроде)


0

0

Здравствуйте

Раньше интернет раздавал через сервак на linux с поднятым nat'ом Сейчас ситуация изменилась.

Надо поставить циску (871) которая поднимает ipsec тунель. Доступа к циске нет (не дают).

Надо сделать так, чтоб остался и интернет и чтоб в опрделенную сеть все шло через циску.

я решил для этого поставить еще одну сетевую карту на linux серваке. eth0 - подцеплена к провайдеру 10.106.17.31 eth1 - локалка 192.168.0.1 eth2 - решил подцепить к циске 2.2.2.2 у циске адрес (внеший) 3.3.3.3, внутренний 2.2.2.1

как организовать чтоб все что касается vpn ходило на eth2 все что в интернет через eth0

Сейчас работает только интернет. (циска не подцеплена) Проблема в том, что нельзя отрубать интернет надолго, поэтому экспериментировать на серваке нельзя.

я почитал и написал: echo 100 vpn>> /etc/iproute2/rt_tables echo 200 internet >> /etc/iproute2/rt_tables

P1_NET=2.2.2.144 IF1=eth2 IP1=2.2.2.2 P1=2.2.2.1

P2_NET=10.106.17.0 IF2=eth0 IP2=10.106.17.31 P2=10.106.17.1

ip route add $P1_NET dev $IF1 src $IP1 table vpn ip route add default via $P1 table vpn ip route add $P2_NET dev $IF2 src $IP2 table internet ip route add default via $P2 table internet

ip route add $P1_NET dev $IF1 src $IP1 ip route add $P2_NET dev $IF2 src $IP2

ip route add default via $P2

ip rule add from $IP1 table vpn ip rule add from $IP2 table internet

ip route flush cache

насколько это правильно?

И что нужно написать в iptables что-б это работало? (я так понимаю надо сделать snat на адрес 2.2.2.2 для всех исходящих в vpn сеть) а все что в инете на 10.106.17.31

Может надо использовать fwmark?

anonymous

Re: policy routing (вроде)

Здравствуйте

Раньше интернет раздавал через сервак на linux с поднятым nat'ом Сейчас ситуация изменилась.

Надо поставить циску (871) которая поднимает ipsec тунель. Доступа к циске нет (не дают).

Надо сделать так, чтоб остался и интернет и чтоб в опрделенную сеть все шло через циску.

я решил для этого поставить еще одну сетевую карту на linux серваке. eth0 - подцеплена к провайдеру 10.106.17.31
eth1 - локалка 192.168.0.1
eth2 - решил подцепить к циске 2.2.2.2 у циске адрес (внеший) 3.3.3.3, внутренний 2.2.2.1

как организовать чтоб все что касается vpn ходило на eth2 все что в интернет через eth0

Сейчас работает только интернет. (циска не подцеплена) Проблема в том, что нельзя отрубать интернет надолго, поэтому экспериментировать на серваке нельзя.

я почитал и написал:
echo 100 vpn>> /etc/iproute2/rt_tables
echo 200 internet >> /etc/iproute2/rt_tables

P1_NET=2.2.2.144
IF1=eth2
IP1=2.2.2.2
P1=2.2.2.1

P2_NET=10.106.17.0
IF2=eth0
IP2=10.106.17.31
P2=10.106.17.1

ip route add $P1_NET dev $IF1 src $IP1 table vpn
ip route add default via $P1 table vpn
ip route add $P2_NET dev $IF2 src $IP2 table internet
ip route add default via $P2 table internet

ip route add $P1_NET dev $IF1 src $IP1
ip route add $P2_NET dev $IF2 src $IP2

ip route add default via $P2

ip rule add from $IP1 table vpn
ip rule add from $IP2 table internet

ip route flush cache

насколько это правильно?

И что нужно написать в iptables что-б это работало? (я так понимаю надо сделать snat на адрес 2.2.2.2 для всех исходящих в vpn сеть) а все что в инете на 10.106.17.31

Может надо использовать fwmark?

форматирование :(

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.