2 VPN-сервера. Организация доступа.

Статическая и динамическая, протоколы

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 20 ноя 2009, 06:49

root писал(а):это отрывок без объяснений опять же ниочем

А выше идет только ip моей сети, адрес конторы и описана персона. Вот и все.
Я так понял, что 89.237.37.0/24 (это моя сеть), её очень грубо выгрызли из /21 сети и передали на имя нашей компании.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 20 ноя 2009, 15:03

для того, что бы ты получил эту сетку, они должны её тебе пророутить
ты бы посмотрел, м.б. они давно уже это сделали ;)
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 20 ноя 2009, 20:48

root писал(а):ты бы посмотрел, м.б. они давно уже это сделали

Они говорят что зароучена, но я это не вижу.
Чет или я на самом деле чего-то не понимаю или что.
Средствами биллинга я прописываю клиентам те ip, которые у них должны быть.
172.16.0.0/16 или какой-то внешний 89... Так я раздаю клиентам белые айпы.

Вытащил машину в инет, прописал ей адрес из сети 89... дефолтроутером сделал Ip своего текущего NAS.
выполнил
Код: Выделить всё
/etc/netstart restart
и мне пишет, что мой шлюз недостижим.
Указал гейт провайдера, перезапустил, получаю ответ, что снова шлюз недостижим.

Я что-то не так делаю?
Или мне надо прописать еще статик роут, на текущем NAS'е, для нового NAS'а?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 21 ноя 2009, 12:00

Андрей писал(а):Они говорят что зароучена, но я это не вижу.

честно, ты меня иногда поражаешь.....
вопрос такой: а куда ты сморишь ? если "там" не видишь

нет ничего проще, чем ответить на вопрос "как посмотреть зароучена ли подсеть ко мне или нет ?", все что для этого нужно это ping
ну раз ты сам не можешь сообразить, подскажу:
Андрей писал(а):Я так понял, что 89.237.37.0/24 (это моя сеть)

гуд что ты понял, а теперь проверим так ли это:
    1. берем абсолютно любой IP из этой подсети, ну скажем 89.237.37.150
    на этом IP и бум "тренироваться" и нам абсолютно пофигу, что он нигде не прописан
    2. открываем любой Looking Glass с возможность пинговать из этого списка, допустим вот этот http://lg.transtk.ru/ (твоего же по сути прова)
    3. Идем на свой сервер, в твоем случае это тот у которого IP 83.*.*.186/30, т.к. подсеть, если она зароучена то на него
    вводим команду:
    Код: Выделить всё
    tcpdump -ni IFACE host 89.237.37.150 and icmp

    где IFACE - имя интерфейса смотрящего в сторону провайдера
    4. возвращаемся к окну LG. Где в поле напротив кнопки "Ping" вводим свой тестовый IP 89.237.37.150 и жмем кнопку
    5. смотрим в консоль своего сервера с запущенной командой tcpdump и если мы там видим:
    11:52:42.676410 IP ХХ.ХХ.ХХ.ХХ > 89.237.37.150: ICMP echo request, id 256, seq 256, length 40
    11:52:43.676819 IP ХХ.ХХ.ХХ.ХХ > 89.237.37.150: ICMP echo request, id 256, seq 512, length 40
    11:52:44.677979 IP ХХ.ХХ.ХХ.ХХ > 89.237.37.150: ICMP echo request, id 256, seq 768, length 40

    то можно со 100% уверенностью сказать, что пров зарулил эту сетку на тебя, т.к. ты получаешь пакеты для хоста из заруленной сети, а если бы они не зарулили, то ты бы ничего не получил
    тот же эксперимент можно проделать для первого и последнего хоста из выделенной тебе подсети, чтобы убедиться в том, что пров зароутил подсеть с той маской, с которой и требовалось.
    для твоего случая и подсети 89.237.37.0/24:
      89.237.37.1 - первый хост в подсети
      89.237.37.254 - последний хост в подсети
вот и все ничего архи сложного

Андрей писал(а):Чет или я на самом деле чего-то не понимаю или что.

в точку
на сколько я вижу ты не понимаешь как взаимодействуют между собой хосты в IP сети и как естественное следствие этого ты не понимаешь как работает роутинг, раз ты пишешь и делаешь подобные вещи:
Андрей писал(а):Указал гейт провайдера


без понимания как ЭТО работает ты ничего не сделаешь, либо сделаешь абы как, но первая же проблема и ты не сможешь с ней справиться

Андрей писал(а):Вытащил машину в инет, прописал ей адрес из сети 89... дефолтроутером сделал Ip своего текущего NAS.

какой IP ты указал на машине ? какая маска ? какой IP у NAS ты указал ? какая маска ?

Андрей писал(а):и мне пишет, что мой шлюз недостижим

какой шлюз ты указал на машине ?

Андрей писал(а):Указал гейт провайдера, перезапустил, получаю ответ, что снова шлюз недостижим.

:shock: мдя....
ессно он не достижим для этой машины, она же не напрямую подключена к шлюзу прова, а там CIDR /30 (маска 255.255.255.252)
нельзя указать шлюз, который не лежит в пределах IP-подсети и маски указанной на сет. карте

Андрей писал(а):Или мне надо прописать еще статик роут, на текущем NAS'е, для нового NAS'а?

прочти как взаимодействуют хосты в IP сетях, весь процесс
берем гугл и читаем хотя бы это: Протокол межсетевого взаимодействия IP, затем вникаем и осознаем
затем нарисуй, то что ты пытаешся сделать, указав на рисунке IP-адреса и маски и только после осознания КАК это работает приступай к реализации
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 21 ноя 2009, 12:40

root писал(а):ессно он не достижим для этой машины, она же не напрямую подключена к шлюзу прова, а там CIDR /30 (маска 255.255.255.252)нельзя указать шлюз, который не лежит в пределах IP-подсети и маски указанной на сет. карте

Вот к этому все и свелось, или сводилось.

Вот смысл мне выпускать новый NAS через мой текущий NAS, если на текущий NAS и так нагрузка бешенная.
Я расчитывал на то, что я подключу новый NAS одним ифейсом в в инет, другим в локалку и все заведется.
Получается выражение "зароученная сеть" - это не то, что я себе представлял.
В итоге решением остается только расширение сети до /29. Так что придется ждать.

Извиняюсь за дурость, которую спрашивал.
Спасибо за помощь.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 21 ноя 2009, 12:54

Андрей писал(а):Получается выражение "зароученная сеть" - это не то, что я себе представлял.

а что ещё можно представлять под роутингом ?

Андрей писал(а):В итоге решением остается только расширение сети до /29. Так что придется ждать.

это не так. если ты не можешь что то разрулить, то это не значит, что это единственное решение.
честно не понимаю смысла ждать /29 (8 адресов), если есть аж /24 (256 адресов)
видимо поэтому теюе и отказывают в расширении до /29 т.к. не понимают они, ведь уже дали тебе /24
тогда откажись от /24, скажи им, что она тебе не нужна и думаю тогда они без вопросов раздвинут текущую до /29
но тогда твоим абонентам не видать реальников никогда

Андрей писал(а):Вот смысл мне выпускать новый NAS через мой текущий NAS, если на текущий NAS и так нагрузка бешенная.

если нагрузка растет, то пора модернизировать свой узел
поставь какой нить железный роутер, хотя бы тот же Cisco Catalyst 3560G или 3550, можно и БУшный купить
он будет разруливать маршрутизацию, а ты имея подсетку /24 уже не будешь так стеснен в IP-адресах
или на крайняк ещё один сервер, назови его BORDER и он будет разруливать трафик между подсетями
/24 порубишь на более мелкие подсети, часть оставишь под свои сервера на узле, часть отдашь под абонентов
тебе нарисовать схему ? или ты понимаешь что я предлагаю ?

Андрей писал(а):Извиняюсь за дурость, которую спрашивал.

"дурость" от непонимания, читай и учись, тем более что я многое для тебя разжевываю досканально
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 21 ноя 2009, 14:36

root писал(а):поставь какой нить железный роутер, хотя бы тот же Cisco Catalyst 3560G или 3550

Я вроде слышал, что на MPD5 и до 2х тысяч абонентов держат. Ну да ладно.
CISCO 7507 с RSP-2 подойдет ?
Сейчас у меня 200 единовременных сессий и канал под 30 мбит/с среди которых около 15 человек "кушают" по 1 мбит/с, 2 по 5-7 мбит/с и 2 по огставшемуся от 30 мбит/с.

root писал(а):а что ещё можно представлять под роутингом ?

Я понимал что это (извиняюсь за сравнение) как роутинг между виланами. Т.е. из сети 192.168.0.0/16 в сеть 10.10.0.0/16 через 192.168.0.1 для 192.168.0.0/16 или 10.10.0.1 для 10.10.0.1/16. Следовательно так как 83.*.*.186/30 понимает что такое 89.237.37.0/24 по этому я и думал что для 89.237.37.0/24 использовать в качестве гейта 83.*.*.186/30 (хотя это дурь, т.к. он не принадлежит сети 83.*.*.184/30, да и в сети 89.237.*.* нет гейта, который бы отправил к 83.*.*.186).

root писал(а):тебе нарисовать схему ? или ты понимаешь что я предлагаю ?

Понимать-то я понимаю что предлагается, но если не трудно - нарисуй.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 22 ноя 2009, 12:44

Андрей писал(а):как роутинг между виланами

роутинг происходит между IP подсетями и не важно где они "висят" на влане или прямо на интерфейсе

Андрей писал(а):нет гейта, который бы отправил к 83.*.*.186).

гейтом может является та железка, которая подключена к нескольким подсетям, если на железке активирована функция роутинга

Андрей писал(а):CISCO 7507 с RSP-2 подойдет ?

ессно подойдет

я не знаю сколько у тебя есть интерфейсов в 7507 и каких, посему, для лучшего понимания сначала нарисовал три.
net_shema.png
схема #1

я взял подсеть 89.237.37.0/24 и разбил ее на подсети:
    89.237.37.0/28 - выделил под сервера, разбив её на две подсети: 89.237.37.0/29 и 89.237.37.8/29, по одной подсети на каждый интерфейс "вниз"
    89.237.37.16/28 - пока свободна
    89.237.37.32/27 - пока свободна
    89.237.37.64/26 - пока свободна
    89.237.37.128/25 - под пользователей, подсеть пророучена на 89.237.37.2

вот и всего делов то, довольны все
и ты - у тебя под сервера есть подсеть из 16-ти ипов (по 8-мь за каждым интерфейсом)
и под пользователей выделено 128 IPшников, которые они смогут получить подключаясь по PPTP (или PPPoE) к NAS серверу), думаю пока хватит, а если нет, пророутишь ещё одну подсетку, например 89.237.37.64/26

если портов в 7507 меньше, то добавив свич с поддержкой вланов, можно разрулить эту проблему:
net_shema2.png
схема #2

теперь у тебя под сервера есть опять же 16-ть ипов, но существующие сервера уже находятся в одной IP-подсети, добавление нового сервера означает воткнуть его в свич, добавить его порт в тот же влан и дать ему след. по счету IP. Если не хватит, то потом можно раздвинуть маску до /27, поглотив свободную подсеть 89.237.37.16/28 и тем самым увеличить кол-во IP-адресов для серверов

более того, достаточно чтобы в 7507 был всего ОДИН интерфейс ;)
все линки воткнуть в свич, разделив по разным вланам прова и сервера, а на 7507 подавать транк, в котором будет жить пров и твои сервера на разных сабинтерфейсах, главное чтобы пропускной способности порта хватило.

default gateway на 7507 смотрит на прова (83.*.*.185)
Код: Выделить всё
ip route 0.0.0.0 0.0.0.0 83.*.*.185

даем на cisco, для верности, две команды:
Код: Выделить всё
ip classless
ip routing

и схема работает
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 23 ноя 2009, 07:08

Насколько я понял, из всего выше сказанного, CISCO 7507 будет являться роутером между подсетями 83.*.*.184/30 и 89.237.37.0/24 (точнее её осколками).
Мне это не подходит по одной простой причине. CISCO 7507 кушает почти 3.5А, и в случае отключения питания у меня, и переходе на резервное, генератор не вытянет мои сервера, даже если я отключу менее важные сервера (ну это уже больше вопрос организации питания, а не роутинга).
Да и нужда держать Биллинг в сети 89.237.37.0/24 у меня потом отпадает, я его на серый переведу.

Завтра - послезавтра буду заводить этого бегемота (Киски по 75 Кг не весят)
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 24 ноя 2009, 11:59

Андрей писал(а):Насколько я понял, из всего выше сказанного, CISCO 7507 будет являться роутером между подсетями 83.*.*.184/30 и 89.237.37.0/24 (точнее её осколками).

нет, ты понял не правильно
CISCO 7507 будет являться роутером между твоей подсетью 89.237.37.0/24 и всем остальным внешним миром

Андрей писал(а):Мне это не подходит по одной простой причине. CISCO 7507 кушает почти 3.5А

да не вопрос
Андрей писал(а):Сейчас у меня 200 единовременных сессий и канал под 30 мбит/с

30 мбит/с совсем смешной трафик
соответственно вместо циски может выступать тот же сервер биллинга или сервер NAS и схема принципиально не меняется
просто через выбранный сервер будет проходить весь трафик для подсети 89.237.37.0/24 вот и все
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Пред.След.

Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 18