LINUX.ORG.RU
решено ФорумAdmin

Маршрутизация на две внешние сети по DNS-имени

 , ,


1

1

Имеется: локальная сеть 192.168.66.0/24 с маршрутом по умолчанию 192.168.66.2 (простая машинка с двумя сетевыми интерфейсами, пробрасывающая пакеты из локалки на интерфейс с подключением к провайдеру Интернет; ubuntu server, настроенные «прозрачный» proxy, DHCP-сервер на локалку, DNS-forwarding и пр.).

Требуется: настроить на 192.168.66.2 дополнительный маршрут на закрытую (недоступную по публичным каналам интернет) корпоративную сеть, доступную по интерфейсу 192.168.66.1, обеспечив фильтрацию пакетов (соединений) по DNS-именам из зоны *.company.com. Т.е. на 192.168.66.2 обеспечить прокидку соединений с *.company.com на интерфейс 192.168.66.1, а всех прочих - на маршрут по умолчанию. Сервер DNS на зону company.com настроен на 192.168.66.1.

Помогите, пожалуйста, с решением задачи.


Я бы на Вашем месте убрал 66.1 из 66.0, подцепил бы его на 3 интерфейс ну и статичный роутинг на корп. Сеть

fjfalcon ★★★ ()

конечно, странная задача...

иди по такой схеме:

- нужно по какому-то критерию (*.company.com) КАК-ТО отметить эти пакеты
- перенаправить пакеты куда нужно.

обычно в более простых случаях это на раз делается iptables CONNMARK и ip rule fwmark

но тут у тебя чуть ли не регекспы в пакетах...

знаю, что циски могут.

uspen ★★★★★ ()

Я думаю что это никак не реализовать простыми способами. У тебя /24 сеть, а следовательно, твои хосты в лок. сети будут достигать 66.1 минуя твой роутер.

DALDON ★★★★★ ()

Что-то мне кажется, надо не столько маршрутизацию, сколько DNS правильно сделать.

Elyas ★★★★★ ()

А есть ли какие-либо причины зацикливаться на DNS? Пробрось порт, это даже домашние коробочки умеют.

Bagrov ★★★★★ ()
Ответ на: комментарий от fjfalcon

Логично. Сам бы так сделал, но есть проблема в том, что точки подключения (в Интернет и в корпоративную сеть) разнесены по зданию, а здание старое и прокладка каких-либо кабелей сильно затруднена.

Mammoth ()
Ответ на: комментарий от DALDON

Средствами DHCP всем машинам в локалке раздается маршрут по умолчанию 192.168.66.2 (на котором и предполагаю разруливать дальнейшую маршрутизацию). Пользователи, конечно же могут прописать у себя статичный IP-адрес и иной маршрут, но на это я не заморачиваюсь.

Mammoth ()

Ну и причём тут *.company.com? К маршрутизации он совершенно не должен относиться. Если в маршрутизации что-то большее чем диапазоны IP-адресов, то сделано не правильно.

У тебя за 192.168.66.1 отдельная подсеть 192.168.Х.*? Если да, то это и укажи в настройках шлюза (66.2)

AlexVR ★★★★★ ()
Ответ на: комментарий от Elyas

Это не совсем верно. «Маршрут по умолчанию» - это прежде всего широкополосный доступ в Интернет, «Маршрут на корпоративную сеть» - это довольно узкий канал на корпоративные ресурсы, в т.ч. на корпоративные сервера лицензий продуктов Microsoft. Оба канала важны.

Mammoth ()
Ответ на: комментарий от Mammoth

Тогда отдельный влан на старый офис. Иначе у вас будет 2 шлюза в одной серии, что есть не очень хорошо

fjfalcon ★★★ ()
Ответ на: комментарий от Mammoth

Средствами DHCP всем машинам в локалке раздается маршрут по умолчанию 192.168.66.2

Маршрут по-умолчанию не будет задействован для обращения к хосту 192.168.66.1 при маске /24.

DALDON ★★★★★ ()
Ответ на: комментарий от Mammoth

«Маршрут на корпоративную сеть» - это довольно узкий канал на корпоративные ресурсы, в т.ч. на корпоративные сервера лицензий продуктов Microsoft.

Твоя корпоративная сеть на 99,999% определяется конкретным диапазоном IP-адресов (например, 192.168.0.0\16). Так что твоя задача на шлюзе (66.2) прописать статический маршрут на неё.

http://www.opennet.ru/base/net/ubuntu_route.txt.html

З.Ы.: Если хочешь более сложно, то раздавай статические маршруты по DHCP https://wiki.linux.by/index.php/FAQ_DHCP_routes

З.З.Ы.: Забудь о домене *.company.com - это тебя отвлекает и не несёт никакой полезной информации. В маршрутизации используются только голые IP-адреса!!!

AlexVR ★★★★★ ()
Ответ на: комментарий от AlexVR

Наверняка сделано неправильно. Собственно и создал тему для получения рекомендаций что исправить.

У тебя за 192.168.66.1 отдельная подсеть 192.168.Х.*? Если да, то это и укажи в настройках шлюза (66.2)

Не совсем так. За 192.168.66.1 сеть 10.0.0.0/8 (не уверен в маске, надо уточнить). В этой сети есть важные ресурсы (сервера лицензий), к которым надо обеспечить доступ. Доступ к ресурсам предоставлен по *.company.com. Адресация в сети 10.0.0.0/8, а также привязка ресурсов к ip вне сферы моей компетенции, поэтому хотел сохранить максимальную гибкость, обеспечив «разруливание» соединений на уровне «*.company.com»/«не *.company.com».

Mammoth ()
Ответ на: комментарий от AlexVR

Ок, наверное ты прав. Сейчас покурю и подумаю как разрулить на уровне диапазонов адресов.

Mammoth ()
Ответ на: комментарий от Mammoth

192.168.Х.* или 10.0.0.0/8 сути не меняет. Так и пропиши на шлюзе статический маршрут для 10.0.0.0/8 через 192.168.66.1.

Только важно, либо на 66.1 должен стоять NAT, либо в 10.0.0.0/8 должны знать маршрут к твоей сети 192.168.66.0\24

Т.е. на корпоративном шлюзе 66.1 у тебя явно есть два интерфейса: 192.168.66.1 и 10.X.Y.Z. Ты должен обеспечить связь в обе стороны. NAT частично решает эту проблему, но вот сервера лицензий могут и не захотеть регистрировать узлы за NAT-ом.

AlexVR ★★★★★ ()
Ответ на: комментарий от Mammoth

Если не углубляться в DNS и маскарадинг, то собственно задача решается указанием маршрута на 10/ сеть на .2, включением ICMP redirect на нём, и приёмом ICMP redirect на прочих.

Elyas ★★★★★ ()
Ответ на: комментарий от AlexVR

Большое спасибо! Решил вопрос прописыванием статических маршрутов через DHCP. Проблема решена.

Mammoth ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.