Маршрутизация на две внешние сети по DNS-имени

Я бы на Вашем месте убрал 66.1 из 66.0, подцепил бы его на 3 интерфейс ну и статичный роутинг на корп. Сеть

конечно, странная задача...

иди по такой схеме:

- нужно по какому-то критерию (*.company.com) КАК-ТО отметить эти пакеты
- перенаправить пакеты куда нужно.

обычно в более простых случаях это на раз делается iptables CONNMARK и ip rule fwmark

но тут у тебя чуть ли не регекспы в пакетах...

знаю, что циски могут.

Я думаю что это никак не реализовать простыми способами. У тебя /24 сеть, а следовательно, твои хосты в лок. сети будут достигать 66.1 минуя твой роутер.

Что-то мне кажется, надо не столько маршрутизацию, сколько DNS правильно сделать.

А есть ли какие-либо причины зацикливаться на DNS? Пробрось порт, это даже домашние коробочки умеют.

Логично. Сам бы так сделал, но есть проблема в том, что точки подключения (в Интернет и в корпоративную сеть) разнесены по зданию, а здание старое и прокладка каких-либо кабелей сильно затруднена.

Средствами DHCP всем машинам в локалке раздается маршрут по умолчанию 192.168.66.2 (на котором и предполагаю разруливать дальнейшую маршрутизацию). Пользователи, конечно же могут прописать у себя статичный IP-адрес и иной маршрут, но на это я не заморачиваюсь.

Ну и причём тут *.company.com? К маршрутизации он совершенно не должен относиться. Если в маршрутизации что-то большее чем диапазоны IP-адресов, то сделано не правильно.

У тебя за 192.168.66.1 отдельная подсеть 192.168.Х.*? Если да, то это и укажи в настройках шлюза (66.2)

Это не совсем верно. «Маршрут по умолчанию» - это прежде всего широкополосный доступ в Интернет, «Маршрут на корпоративную сеть» - это довольно узкий канал на корпоративные ресурсы, в т.ч. на корпоративные сервера лицензий продуктов Microsoft. Оба канала важны.

Тогда отдельный влан на старый офис. Иначе у вас будет 2 шлюза в одной серии, что есть не очень хорошо

Средствами DHCP всем машинам в локалке раздается маршрут по умолчанию 192.168.66.2

Маршрут по-умолчанию не будет задействован для обращения к хосту 192.168.66.1 при маске /24.

«Маршрут на корпоративную сеть» - это довольно узкий канал на корпоративные ресурсы, в т.ч. на корпоративные сервера лицензий продуктов Microsoft.

Твоя корпоративная сеть на 99,999% определяется конкретным диапазоном IP-адресов (например, 192.168.0.0\16). Так что твоя задача на шлюзе (66.2) прописать статический маршрут на неё.

http://www.opennet.ru/base/net/ubuntu_route.txt.html

З.Ы.: Если хочешь более сложно, то раздавай статические маршруты по DHCP https://wiki.linux.by/index.php/FAQ_DHCP_routes

З.З.Ы.: Забудь о домене *.company.com - это тебя отвлекает и не несёт никакой полезной информации. В маршрутизации используются только голые IP-адреса!!!

Наверняка сделано неправильно. Собственно и создал тему для получения рекомендаций что исправить.

У тебя за 192.168.66.1 отдельная подсеть 192.168.Х.*? Если да, то это и укажи в настройках шлюза (66.2)

Не совсем так. За 192.168.66.1 сеть 10.0.0.0/8 (не уверен в маске, надо уточнить). В этой сети есть важные ресурсы (сервера лицензий), к которым надо обеспечить доступ. Доступ к ресурсам предоставлен по *.company.com. Адресация в сети 10.0.0.0/8, а также привязка ресурсов к ip вне сферы моей компетенции, поэтому хотел сохранить максимальную гибкость, обеспечив «разруливание» соединений на уровне «*.company.com»/«не *.company.com».

Ок, наверное ты прав. Сейчас покурю и подумаю как разрулить на уровне диапазонов адресов.

Логично. Думал разрулить это на уровне iptables/iproute на 192.168.66.2.

192.168.Х.* или 10.0.0.0/8 сути не меняет. Так и пропиши на шлюзе статический маршрут для 10.0.0.0/8 через 192.168.66.1.

Только важно, либо на 66.1 должен стоять NAT, либо в 10.0.0.0/8 должны знать маршрут к твоей сети 192.168.66.0\24

Т.е. на корпоративном шлюзе 66.1 у тебя явно есть два интерфейса: 192.168.66.1 и 10.X.Y.Z. Ты должен обеспечить связь в обе стороны. NAT частично решает эту проблему, но вот сервера лицензий могут и не захотеть регистрировать узлы за NAT-ом.

Если не углубляться в DNS и маскарадинг, то собственно задача решается указанием маршрута на 10/ сеть на .2, включением ICMP redirect на нём, и приёмом ICMP redirect на прочих.

Большое спасибо! Решил вопрос прописыванием статических маршрутов через DHCP. Проблема решена.