2 VPN-сервера. Организация доступа.

Статическая и динамическая, протоколы

2 VPN-сервера. Организация доступа.

Сообщение Андрей » 19 ноя 2009, 08:51

Приветствую.
Остро встала задача тестирования сервера доступа.
Суть проста и сводится к тому, что надо проверить авторизацию пользователей и отдачу инфы по трафику на биллинг.
Вроде все легко, но столкнулся с одной проблемой.
Есть сеть (см. рис. 1)
Необходимо сделать такую которая на рис.2. Но вопроса бы не было, если бы была возможность завязать NAS + NAT на шлюз провайдера. Сеть у меня /30, т.е. всего могут быть только 2 машины. Пробовал говорить с провайдером - сказали что если мы хотим добавить еще ip, скажем *.*.*.187 и немного расширить сеть, то надо оформлять как новое подключение.
Есть ли какой-то способ решения проблемы?

Очень не хочется завязывать NAS + NAT на действующий биллинг и по средствам этого подключения выпускать подключившихся к NAS в инет через биллинг. (надеюсь поняли что хотел сказать).

Средствами вилана разрулить возможно?

Заранее благодарен.
Вложения
2.JPG
1.JPG
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 19 ноя 2009, 12:30

Андрей писал(а):Средствами вилана разрулить возможно?

мдя... видимо за 14-ть страниц темы VLAN 802.1Q ты так и не понял что такое VLAN...

что сходу пришло в голову - решения вопроса четыре:
1. попросить провайдера ещё сеточку /30 (ил чуть побольше) и чтобы он её пророутил через уже существующую подсеть /30 к тебе на сервер, а ты потом пророутишь её у себя уже куда надо.
2. продолжать просить прова раздвинуть /30 до /29
3. отдать единственный реальник серверу NAS+NAT, а биллинг убрать на серый IP-адрес
4. если необходимо чтобы веб морда биллинга была видна из Инета, то сделать п.3, но к нему добавить процесс nat`а с redirect`ом 80-го порта на реальнике с сервера NAS+NAT на серый адрес биллинга
что бы все запросы на единственный реальник по 80-му порту бросались на машину с биллингом (ну или по тому же принципу пробрасывать любой нужный порт на биллинг сервере)
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1881
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 19 ноя 2009, 13:00

root писал(а):мдя... видимо за 14-ть страниц темы VLAN 802.1Q ты так и не понял что такое VLAN...

я то как думал. Чтобы сделать Ip на вилане *.*.*.186 а на него роутить другой вилан, но похоже тоже огород будет.
root писал(а):1. попросить провайдера ещё сеточку /30 (ил чуть побольше) и чтобы он её пророутил через уже существующую подсеть /30 к тебе на сервер, а ты потом пророутишь её у себя уже куда надо.

Ну у меня есть сеть белых ip /24, но я не думаю, что провайдер захочет у себя её роутить.
root писал(а):2. продолжать просить прова раздвинуть /30 до /29

Не согласится. Пробовали.
root писал(а):3. отдать единственный реальник серверу NAS+NAT, а биллинг убрать на серый IP-адрес

Ну все к этому и сводится в итоге.
root писал(а):4. если необходимо чтобы веб морда биллинга была видна из Инета

В этом нет необходимости.

Может еще что-нить возможно?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 19 ноя 2009, 13:15

Андрей писал(а):Чтобы сделать Ip на вилане *.*.*.186 а на него роутить другой вилан, но похоже тоже огород будет.

:shock: ты вообще о чем ? :shock:
влан нельзя роутить, это L2, а не L3
я уже не знаю как тебе ещё объяснить...
роутить можно IP-адреса
будет не огород, будет полный бред, который не будет работать

Андрей писал(а):Ну у меня есть сеть белых ip /24

тогда я вообще не понимаю в чем твоя проблема
если у тя есть адреса, ну так и развернись на них

Андрей писал(а):но я не думаю, что провайдер захочет у себя её роутить.

опять ничего не понимаю
так что же это тогда за "твои адреса" ? кто тебе их дал раз не пров ? (что то я не помню, чтобы у тя была своя AS и свой блок адресов)
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1881
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 19 ноя 2009, 13:42

root писал(а):так что же это тогда за "твои адреса" ? кто тебе их дал раз не пров ? (что то я не помню, чтобы у тя была своя AS и свой блок адресов)

В райпе заказали блок адресов, но(!) они не из под сети /30.
IP на которой работает мой НАС на биллинге 83.*.*.186/30.
IP шлюза прова 83.*.*.185/30.
Сеть, которую я в райпе взял 89.*.*.*/24

Вариант с авторизацией нового NAS на биллинге отпадает сразу.
Если я клиенту даю внешний адрес, то у него получается 89.*.*.* а гейт - адрес ната.

Может я чего не допонял, или просто объясниться не могу?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 19 ноя 2009, 15:40

Андрей писал(а):В райпе заказали блок адресов, но(!) они не из под сети /30.

это понятно что они не /30, таких подсетей RIPE и не выдает
раз ты заказал адреса, то от чьей автономки они будут оглашаться ?

Андрей писал(а):Вариант с авторизацией нового NAS на биллинге отпадает сразу.

нипонял ааааще о чем речь. кто где авторизуется ?
клиенты NAS`а у тя авторизуются в radius - это да

Андрей писал(а):Если я клиенту даю внешний адрес, то у него получается 89.*.*.* а гейт - адрес ната.

если клиент подключается к NAS`у по pptp то гейт для него один - это противоположный конец туннеля и нат тут не причем

Андрей писал(а):Может я чего не допонял, или просто объясниться не могу?

видимо ты просто сам не понимаешь ещё чего хочешь, а посему и объяснить не можешь
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1881
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 19 ноя 2009, 18:38

root писал(а):раз ты заказал адреса, то от чьей автономки они будут оглашаться ?

Посмотрел в райпе.

Код: Выделить всё
...
% Information related to '89.*.0.0/*'
route:           89.*.*.*/18
descr:           *
origin:          *
mnt-by:          *-MNT
source:          RIPE # Filtered
% Information related to '89.*.*.0/*'
route:           89.*.*.0/21
descr:           *
origin:          *
mnt-by:          *-MNT
source:          RIPE # Filtered


Не нужное я закомментировал.

root писал(а):видимо ты просто сам не понимаешь ещё чего хочешь

Я понимаю, только изложение довольно проблемное для меня. Тем более, когда с этим первый раз сталкиваюсь.

root писал(а):а посему и объяснить не можешь

Я как собака - всё понимаю, только сказать не могу. (С)
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 19 ноя 2009, 18:58

Андрей писал(а):Не нужное я закомментировал.

я бы сказал наоборот: все НУЖНОЕ ты закоментировал :lol:

раз у тебя нет своего номера AS. а блок адресов у тя есть, то кем то он должен оглашаться в Инет
этот "кто-то" (номер AS) описывается полем "origin", по номеру можно узнать кому принадлежит автономка
вот кто анонсит твою подсетку, тот и должен её тебе пророутить
нафиг тебе своя сеть, если ты не можешь ею пользоваться ?

и ты говорил про /24, а объект route, как я вижу, на /21
Андрей писал(а):route: 89.*.*.0/21


получается сетка все же не твоя, а тебе просто кто то откусил кусочек этой сети
если эта сетка принадлежит твоему прову, найди этого "кого-то" у своего провайдера и попроси пророутить эту сетку на твой адрес 83.*.*.186/30
и ты сможешь ею пользоваться

Андрей писал(а):Я как собака - всё понимаю, только сказать не могу. (С)

а телепатов среди нас тоже нету

либо ты называешь все исходные данные либо мы тут и дальше будем гадать на кофейной гуще
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1881
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 19 ноя 2009, 20:32

root писал(а):получается сетка все же не твоя, а тебе просто кто то откусил кусочек этой сети

Код: Выделить всё
% Information related to '89.237.0.0/18AS28745'
route:           89.237.0.0/18
descr:           SUTTK
origin:          AS28745
mnt-by:          SUTTK-MNT
source:          RIPE # Filtered
% Information related to '89.237.32.0/21AS28745'
route:           89.237.32.0/21
descr:           SUTTK Orsk
origin:          AS28745
mnt-by:          SUTTK-MNT
source:          RIPE # Filtered

Вот отрывок.
В принципе я понял что надо. попробую сделать.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 20 ноя 2009, 01:23

Андрей писал(а):Вот отрывок.

это отрывок без объяснений опять же ниочем

все что я могу сказать по нему:
    AS28745 имеет аллокейтнутую RIPE`ом сеть 89.237.0.0/18
    далее она была разбита на более мелкие подсети
    одна из мелких подсетей это 89.237.32.0/21
    соответственно "родителем" всех подсетей для этой сети является AS28745
    и это Southern Urals TransTelecom - всем известный ТрансТелеКом, но его Уральская версия :)
    и как мы все понимаем, что ТТК это не ты :)
    далее вижу, что полный префикс 89.237.0.0/18 не анонсится, а анонсится только кусок и это 89.237.0.0/21
    а также что AS28745 является клиентом большого (московского) ТТК ибо as-path пролегает через AS20485

если они тебе откусили подсеть /24, из своего куска 89.237.0.0/21, то все они зароутят без проблем, это же ТТК, а не какая нить контора "из подвала"
либо ты их не просил, либо просил, но не так
попроси их зароутить выделенную тебе сетку 89.*.*.*/24 (если они действительно тебе её выделили, хотя в RIPE о меньших подсетях (как ты говоришь /24) ни слова) на IP-адрес 83.*.*.186/30
вот и все, получив сетку (когда они пропишут у себя роутинг) крути её у себя внутри как хочешь
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1881
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

След.

Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4