LINUX.ORG.RU
ФорумAdmin

Маршрутизатор с несколькими WAN на одном кабеле

 ,


0

1

Hi, folks!

Представьте такую ситуацию. Есть маршрутизатор, скажем с 4-мя физическими интерфейсами: WAN, LAN1, LAN2, LAN3. К LAN* отдельными кабелями подключены 3 подсети 192.168.{1,2,3}/24. Если у нас есть 1 белый IP - то все просто - вешаем его на WAN, делаем SNAT/DNAT etc и все работает. Допустим у нас есть не 1 а 3 белых IP - 11.11.11.{1,2,3} и мы хотим во-первых SNATить каждую подсеть в свой IP: например 

192.168.1.0/24 -j SNAT --to-source 11.11.11.1
192.168.2.0/24 -j SNAT --to-source 11.11.11.2
итд
во вторых, мы хотим сделать DNAT на соответствующие сервера находящиеся в LAN* : 
-d 11.11.11.1 --dport 22 -j DNAT --to-destination 192.168.1.1:40022
-d 11.11.11.2 --dport 22 -j DNAT --to-destination 192.168.2.1:40022
итд
В этой ситуации, правильно ли я понимаю, чтобы это работало нужно 1 физический WAN разбить на 3 тегированных VLAN, и в этих VLAN уже поднять нужные белые IP - eth0.100 - 11.11.11.1; eth0.101 - 11.11.11.2 etc?

Или есть другой способ? Надеюсь понятно выразил мысль.

Планирование реализации Backup'а
Как заблокировать выход с локальной сети, через OpenVPN сервер, на OpenVPN клиента.

Тебе данные тегировать вовсе не обязательно. На маршуртизаторе достаточно одного физического интерфейса - вполне подойдет cisco1720. Все разруливается на подинтерфейсах.

andrew667 ★★★★★
()

Мысль ты свою скорее всего выразил непонятно. VLANы тут не нужны, просто не забудь про маршруты для каждой сети.
Что такое субинтерфейсы на линупсе мне кстати любопытно

zolden ★★★★★
()

правильно ли я понимаю, чтобы это работало нужно 1 физический WAN разбить на 3 тегированных VLAN

Нет, не нужно разбивать

Нужно на WAN-интерфейсе создать псевдонимы и потом iptables-ом и iproute-ом уже разбрасывать трафик. Если коротко - в iptables mangle маркируете трафик, в nat делаете snat по маркировке

*mangle
-A PREROUTING -s 192.168.0.0/24 -i LAN1 -j MARK --set-xmark 101
-A PREROUTING -s 192.168.1.0/24 -i LAN2 -j MARK --set-xmark 102
...
*nat
-A POSTROUTING -m mark --mark 101 -j SNAT --to-source NATADDR1
-A POSTROUTING -m mark --mark 102 -j SNAT --to-source NATADDR2

В iproute добавляете таблицы и делаете что-то типа

/sbin/ip route add default via GATEWAY1 dev WAN table TBL1
/sbin/ip route add default via GATEWAY2 dev WAN table TBL2
...
/sbin/ip rule add fwmark 101 table TBL1
/sbin/ip rule add fwmark 102 table TBL2
anonymous
()

Если провайдеры разные, то лучше свитчем с VLAN-нами разделять. Совать всех в один бродкаст домен чревато разборками с провайдерами.

Например, в случае если dhcp/pppoe сервер одного провайдера окажется в сети другого провайдера тебя могут запросто отключить, возможно навсегда. :)

Rost ★★★★★
()
Ответ на: комментарий от Rost

Провайдер один и тот же и целиком выдает сеть /29.

trancefer ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Планирование реализации Backup'а
Admin
Как заблокировать выход с локальной сети, через OpenVPN сервер, на OpenVPN клиента.