PF + NAT

Обсуждаем OS FreeBSD и сервисы на ней.

PF + NAT

Сообщение amasis » 02 мар 2009, 11:29

Добрый день! Ситуация такова :
2 канала к 2 провайдерам - заходят в один интерфейс (разделены вланами)
vlan0 -195.0.0.1
vlan1 - 195.1.1.1
em0 - 10.0.0.1 - внутреннийй интерфейс
На сервере установлена Quagga - настроены сессии к обоим провайдерам - все работает
На этом же сервере установлена часть биллинга - агент доступа и скрипт управляющий фаерволом
Также - ipfw+pf_nat
Не получается настроить pf_nat - что необходимо указывать в конфиге ?
если указываеш ip автономки не работает
городить PBR ?
amasis
новичок
 
Сообщения: 40
Зарегистрирован: 02 мар 2009, 11:12

Re: Quagga+pf_nat

Сообщение root » 02 мар 2009, 17:50

amasis писал(а):Не получается настроить pf_nat - что необходимо указывать в конфиге ?

а что прописано сейчас ?
покажи конфиг и расскжи по шагам что ты делал.

amasis писал(а):если указываеш ip автономки не работает

всмысле IP адрес принаджащий твоей ASке ?

amasis писал(а):городить PBR ?

если ты пытаешся запустить NAT на своих адресах, то PBR не нужен.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Quagga+pf_nat

Сообщение amasis » 02 мар 2009, 20:26

До получения автономки было настроено следующим образом :
vlan0 - 195.0.0.1 - default route 195.0.0.10
vlan1 - 195.1.1.1 -
на vlan1 - все отправлялось через статические маршруты
pf.conf
nat on vlan0 from <localnet> to any -> 195.0.0.1
nat on vlan1 from < localnet> to any -> 195.1.1.1
После получения автономки стал вопрос о настройки pf_nat
есть ip автономки - он прописывается в конфиге quagga ( или его необходимо поднять на каком-либо интерфейсе ?)
на какой ip теперь натить ( пробовал указать ip автономки - tcpdump показывает присутствие фейковых ip на внешних интерфейсах ) нат не работает
amasis
новичок
 
Сообщения: 40
Зарегистрирован: 02 мар 2009, 11:12

Re: Quagga+pf_nat

Сообщение lehisnoe » 02 мар 2009, 20:33

Имхо, работа автономки от NAT'a вообще никак не зависит (наоборот - да, согласен: если про AS инет не знает, то проблемы будут, но не только с NAT'ом).
Сервисы NAT и BGP живут на одной машине (на сколько я понял)?
Логично было бы сделать такую схему:
Добавить на ифейс (например, vlan2) смотрящий "вниз" (в локалку) IP_из_твоей_AS, а потом:
Код: Выделить всё
nat on vlan2 from < localnet> to any -> IP_из_твоей_AS.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: Quagga+pf_nat

Сообщение root » 02 мар 2009, 20:51

amasis писал(а):vlan0 - 195.0.0.1 - default route 195.0.0.10

зачем тебе default route если у тя BGP ? Ты принимаешь не full-view ?

тебе нужно повесить NAT на свои IP-адреса, адреса твоей ASки.

Ну например, допустим, что выданный тебе префикс: 172.16.0.0/20
Ты порезал выданный диапазон и под NAT откусил кусочек, ну допустим 172.16.0.0/29 и хочешь поднять NAT на IP-адресе 172.16.0.1
в твоем случае:
Код: Выделить всё
ifconfig em0 add 172.16.0.1/29


pf.conf:
Код: Выделить всё
nat_if = "em0"
nat_ip = "172.16.0.1"
cl="192.168/16"

nat on $nat_if from $cl to any -> $nat_ip
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Quagga+pf_nat

Сообщение amasis » 02 мар 2009, 21:15

root писал(а):зачем тебе default route если у тя BGP ? Ты принимаешь не full-view ?
- так было до получения автономки
full-view - от обоих
я взял диапозон /30 и прописал в конфиге quagga ip из этого диапазона
мне необходимо поднять еще один ip автономки и на него натить ?
если использовать ip который прописан в конфиге quagga - тогда какой интерфейс указывать в pf " nat on ? " ?
amasis
новичок
 
Сообщения: 40
Зарегистрирован: 02 мар 2009, 11:12

Re: Quagga+pf_nat

Сообщение root » 02 мар 2009, 21:58

amasis писал(а):full-view - от обоих

тогда можно default gateway долой.

amasis писал(а):я взял диапозон /30

да хоть /32 :)

amasis писал(а):мне необходимо поднять еще один ip автономки и на него натить ?

ты можешь натить во сколько угодно IP-адресов.
http://openbsd.org/faq/pf/nat.html

amasis писал(а):если использовать ip который прописан в конфиге quagga - тогда какой интерфейс указывать в pf " nat on ? " ?

ну так ты там же его тоже на интерфейс повесил. Какой ? Ты мой пример смотрел ?
этот IP пингуется из инета ?
с него Инет доступен ?
Код: Выделить всё
ping -S ТВОЙ_IP www.google.ru


З.Ы. А почему PF NAT, а не скажем ipfw+natd ? Большой трафик ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Quagga+pf_nat

Сообщение amasis » 04 мар 2009, 00:19

на данный момент:
vlan0 - 195.0.0.1
vlan1 - 195.1.1.1
em0 - 10.0.0.1
195.88.x.x - автономка
Поднял ip из автономки на другом интерфейсе em1 - 195.88.x.1/30
PF - если прописываю эти строки :
сначала к первому провайдеру:
nat on vlan0 from <localnet> to any -> 195.0.0.1 - работает
затем отключаю первого и прописываю второго:
nat on vlan1 from <localnet> to any -> 195.1.1.1 - работает
Но если прописываю ip автономки
nat on em1 from <localnet> to any -> 195.88.x.1 - не работает
amasis
новичок
 
Сообщения: 40
Зарегистрирован: 02 мар 2009, 11:12

Re: Quagga+pf_nat

Сообщение lehisnoe » 04 мар 2009, 09:28

Вероятные причины:
1. IP адреса из автономки не доступны из инета (т.е., проблема с BGP).
2. Фаерволом (вероятнее всего, тем же PF'ом) "зарезаны" все адреса, кроме разрешенных(в число которых не входят адреса из автономки).

P.S. А где ответы на вопросы:
root писал(а):этот IP пингуется из инета ?
с него Инет доступен ?
Код: Выделить всё
ping -S ТВОЙ_IP www.google.ru
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: Quagga+pf_nat

Сообщение root » 04 мар 2009, 11:06

+1 к lehisnoe
был ещё один вопрос:
root писал(а):З.Ы. А почему PF NAT, а не скажем ipfw+natd ? Большой трафик ?

м.б. все же, для начала, попробовать на NATD поднять ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

След.

Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5

cron