[РЕШЕНО] PPPoE+маршрутизация+2 реальных ІР
Здравствуйте Уважаемые!
Есть для меня огромная проблема. Помогите пожалуйста решить.
Есть шлюз gentoo з днс, почтой, маскарадингом и т.д., две сетевые карточки:
1. внешняя eth1 - на провайдера через оптику, прописан внешний реальный REAL_IP1, реальний gw шлюз.
2. внутренняя eth3 - воткнута в локальную сеть с внутренними адресами.
Перед нами у провайдера с другой стороны оптики стоял ADSL-модем, который поднимал рррое-соединение и для нас этот модем был как реальным gw шлюзом.
Вчера модем убрали, включили нас уже в провайдерскую cisco, то есть напрямую без модема. Соотвественно рррое уже поднимаем у себя, посему есть:
1. внешний интерфейс eth1 - на провайдера, прописан тот же внешний реальный REAL_IP, шлюза нет.
2. внутренний интерфейс eth3 - локальная сеть
3 рррое-соединение ppp0 - соединение на провайдера c вторым реальным REAL_IP2, через рррое получаем шлюз.
В iptables теперь стоит
iptables -t nat -A POSTROUTING -s LOCALNET -o ppp0 -j MASQUERADE
все работает.
Но вот как раз !!БЕДА!! весь наш трафик уходит через рррое с ЕГО REAL_IP2, котороая в черных списках по спаму, соответственно вся почта в черных списках. Да и весь выходной трафик значится с REAL_IP2, а не с нашей старой REAL_IP1.
На просьбу к провайдеру, чтоб через рррое получать свою старую REAL_IP1 - провайдер сделать ничего не может, как есть.
Как сделать чтобы хоть почта отправлялась со старого REAL_IP1, и желательно весь трафик. То есть направлять все на интерфейс eth1, а с него ПЕРЕНАПРАВЛЯТЬ на рррое (если правильно понимаю). То есть выходным в трафика стояла старая REAL_IP1. Это более касается почтового сервера, что размещен на самом шлюзе.
Благодарю за Ваше внимание и Ваше время.
- Для комментирования войдите или зарегистрируйтесь
Как вы себе представляете
Как вы себе представляете себе возврат пакетов в таком варианте, как вы предлагаете?
Вы отсылаете пакет с другим ip адресом отправителя, который отличается от вашего pppoe ip. В ответ вам отсылается пакет на ip адрес отправителя, который не принадлежит вашему pppoe. Как я понимаю, этот пакет будет отвергнут вашим провайдером и вы его не получите.
Почему нельзя просто работать через ваш eth1? Вам провайдер раздает интернет только через pppoe? Тогда зачем он выдает вам на eth1 маршрутизируемый статический ip?
Не понятно общее построение вашей сети.
Что вы называете РЕАЛЬНЫМ ip? Покажите его без последних двух групп десятичных чисел.
Сначала действительно пропишу
Сначала действительно пропишу реальные адреса
1. старий REAL_IP1 = x.x.252.126
2. адрес РРРоЕ = x.x.249.190
Соотвественно адрес х.х.252.126 является маршрутизрованой, пингуется с внешней стороны, прописаны в DNS записи А и МХ, прописан на интерфейсе eth1. На запрос host [наш домен]получаем ответ о нашей IP (х.х.252.126). Посему могу и ошибатся, то если наш х.х.252.126 видно с внешней стороны, то и пакеты с х.х.252.126 можна отправлять и ответ тоже придет. Если таки пойдет с адреса х.х.249.190, то все равно вернется уже на рррое, а там уже фаервол с маскрадингом обрабатывает. Могу ошибатся, поскольку до сих пор с подобным не сталкивался, это только из теории, нет опыта на двух IP.
С удовольствием я б просто работал через eth1, как было до сих, но провайдер раздает ТОЛЬКО через рррое.
Старый адрес оставили без изменений, до сих пор сложно понять почему нельзя на рррое выставить наш старый х.х.252.126. для меня это загадка.
Общее построение сети (на даний момент)
Физически: провайдер cisco -> оптический медиаконвертер -> оптический кабель -> оптический медиаконвертер -> сетевая карта в нашем gentoo сервере на интерфейсе eth1
Логически: внутреняя сеть -> интерфейс eth3 -> iptables + MASQUERADE на ррр0 -> интерфейс ppp0 х.х.249.190 -> шлюз провайдера х.х.252.235
В то же время на интерфейсе eth1 прописан адрес х.х.252.126
Пробовал делать iptables + MASQUERADE на eth1 (то есть как было раньше), добавил интерфейс ppp0 в правила iptables по принципу интерфейса loopback (то есть все ACCEPT - не уверен в правильности) - работало, но не все хорошо, как в случае iptables + MASQUERADE на ррр0.
Посему вот такая задача, че делать - не знаю, пока адрес х.х.249.190 добавил в днс зоны - может тогда почта при проверке адресата заработает.
Если где ошибаюсь - буду очень признателен, если подправите и укажете на ошибки.
Спасибо за Ваше время и Ваш труд.
Еще вдогонку - пров
Еще вдогонку - пров рекомендует у себя запустить dummy интерфейс, чтоб была следующая цепочка iptables + MASQUERADE на eth1 (х.х.252.126) -> dummy интерфейс с ip х.х.252.125 (такой шлюз был ранее на модеме) -> рррое х.х.249,190. В таком случае пакеты будут идти уже с нашей старой реально х.х.252.126.
Спасибо за Ваше время и Ваш труд
Уважаемый, Вас просили
Уважаемый, Вас просили показать первые 2 октета Ваших IP, а не последние 2 :)
Вероятно, чтобы выяснить "серость" Ваших IP. Хотя, из вышесказанного следует понимать, что адреса "белые".
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Прошу простить за оплошность,
Прошу простить за оплошность, поскольку второй день ищу выход.
Уж лучше так.
Мой основной ip - 212.86.252.126
рррое - 212.86.249.190
Спасибо.
Оба адреса, судя по всему,
Оба адреса, судя по всему, одна подсеть. Без маски не понятно.
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Да, одна подсеть - маска
Да, одна подсеть - маска 255.255.255.252
Провайдер рекомендует с поднятием dummy интерфейса сделать цепочку
212.86.252.126 -> 212.86.252.125 -> 212.86.252.235
наш реальный ip фиктивный шлюз реальный шлюз провайдера
Почему так - ранее стоял у провайдера модем (212.86.252.125), который поднимал рррое-сесию с ip 212.86.249.190 и дальшим шлюзом 212.86.252.235
Може Вам поможет эта инфа?
P.S. Сайт нашей фирмы я не делал, прошу не пинать. :)
Вот эта маска -
Вот эта маска - 255.255.255.252 - для eth1 с ip адресом 212.86.252.126?
Вам эти настройки выдал провайдер? Вы получаете их по DHCP или выставляете руками?
Ваш ip 212.86.252.126 снаружи сейчас не трейсится и не пингуется.
Трейс доходит до адреса 212.86.252.235, дальше нет ответа.
Если ваша машина сейчас в сети, у провайдера нет маршрута к вашему сетевому интерфейсу. То есть, с такими настройками почта извне на MX с ip 212.86.252.126 ходить не будет никогда.
Разберитесь точно, что выдал вам провайдер в качестве настроек для eth1.
Если ваш провайдер раздает инет через pppoe, то возможно предполагается, что ваш eth1 вообще не должен иметь никакого ip.
MVG написал(а): Вот эта маска
Да, выдал провайдер, настройки правильные, ранее с ними и работали 4 года, когда был модем как шлюз 212.86.252.125
Прошу меня простить, поскольку сейчас последний час игрался с dummy интерфейсом, как советовал провайдер, сервер был отключен от сети. Если Вам будет не тяжело - попробуйте снова пропинговать, уже наигрался с интерфейсами, отключать не буду и сервер будет в сети. А пингуется с внешней стороны точно на 212.86.252.126 и даже 212.86.249.190, поскольку проверял неоднократно при работающем интернете с внешних адресов. Еще прошу простить, что так невовремя отключался.
Золотые слова. Сам прекрасно понимаю, что через рррое провайдер должен выдать мне мою IP 212.86.252.126 и дело с концами, тогда все было б хорошо, а на eth1 можна было б прописать все, что угодно, поскольку есть рррое. Но к сожалению виходит так - ка есть, у меня на сервер две ІР, провайдер СКАЗАЛ оставить мою 212.86.252.126 на eth1 (загадка), провайдер ничего менять не будет.
Спасибо за Ваше время, что уделяете моей странной проблеме.
Проблема действительно
Проблема действительно странная.
Да и не в проблеме проблема, простите за каламбур, - провайдер у Вас какой-то неадекватный.
Предложенное провайдером решение, конечно, имеет право на жизнь. Но если я хоть что-то смыслю в устройстве NetFilter, в таком случае все пакеты будут проходить все цепочки фильтров дважды, что есть очень нерационально. Да и костыль это какой-то, ей-богу.
Есть другое решение - аппаратное. Поставить между Вашим сервером и провайдером какой-нить дохленький системник и настроить в качестве шлюза/фаервола. Но тут тоже есть свои очевидные недостатки. Однако и преимуществ не мало.
Ну и последнее - попытаться настроить маршрутизацию. Но я не настолько хорошо в этом разбираюсь, чтоб однозначно утверждать применимость такого решения. :)
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Youshi написал(а):Проблема
Не одни Вы с этим согласились, много чего наслышался от других админов за эти два дня по поводу этой странной проблемы. В том числе и по поводу неадекватности.
То же мне и провайдер предлагал, да и друзья-админы - с этим немного сложно, поскольку выделять еще один системник - мое начальство меня с трудом поймет, единственный весомый аргумент - можна без модема наращивать скорость симетрично, да все-таки дополнительная защита извне. Тут попытаюсь убедить, если нет - тогда уж лучше вернутся на модем - я буду по ночам спать спокойно. :)
С этим как раз игрался - пробовал сделать у себя дополнительный dummy интерфейс и маршрутизацию - никак не могу понять как провести трафик через три интерфейса вместо одного:
eth1 -> dummy -> pppoe
Поскольку у меня так и не получилось создать шлюзы для каждого интерфейса, чтоб все прошло по цепочке интерфейсов и ушло в мир. Ну и конечно обратно вернулось. :)
Спасибо Вам еще раз за уделенное внимание сей странной проблеме.
Оба ваших ip пингуются, но
Оба ваших ip пингуются, но трассировка работает только до 212.86.252.235.
Если у вас все работало 4 года, это не значит, что ничего не могло измениться сейчас.
Когда вы делаете ping на 212.86.252.126, на каком интерфейсе вы видите входящий ICMP трафик? На eth1 или ppp0?
А вы не пробовали просто прописать 212.86.252.125 в качестве gw для eth1 и назначить его как маршрут по умолчанию?
Насчет трасировки согласен.4
Насчет трасировки согласен.
4 года работало так:
config_eth1=( "212.86.252.126 netmask 255.255.255.252 brd 212.86.252.255" )
routes_eth1=( "default gw 212.86.252.125" )
где 212.86.252.125 - был модем у провайдера, который поднимал сам рррое. Я просто перенаправлял все на модем.
Сейчас модем сняли, 212.86.252.125 нету.
За пинг не смотрел, но в логах все приходит с ррр0
* default gw 212.86.252.125 ...
SIOCADDRT: No such process [ !! ]
насчет интерфейсов делал следующее:
1.config_dummy0=( "212.86.252.125 netmask 255.255.255.252 brd 212.86.252.255" )
2. /etc/init.d/net.dummy0 start
3. net add 212.86.252.126 gw 212.86.252.125
4. поднимаю рррое без 'defaultroute'
5. net add 212.86.252.125 gw 212.86.252.235
все вышеуказаное пингуется, далее (8.8.8.8) - не проходит unreacheable (уже точно не помню)
пробовал задать net add default gw 212.86.252.125 -> уже без ошибки unreacheable (небольшой успех) -> просто уже не пингуются, подозрение что не могут вернутся правильно пакеты назад по цепочке.
route -n
212.86.252.125 212.86.252.235 255.255.255.255 UG 0 0 0 ррр500
212.86.252.126 212.86.252.125 255.255.255.255 UG 0 0 0 dummy0
212.86.252.235 0.0.0.0 255.255.255.255 UH 0 0 0 ppp500
212.86.252.124 0.0.0.0 255.255.255.252 U 0 0 0 eth1
212.86.252.124 0.0.0.0 255.255.255.252 U 0 0 0 dummy0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 212.86.252.125 0.0.0.0 UG 0 0 0 dummy0
где ррр500 - поднятое рррое.
Спасибо Вам.
А вы не пробовали
А вы не пробовали использовать -j SNAT для локальных процессов?
Добавить что-то вроде:
iptables -t nat -A POSTROUTING -o ppp0 -s 127.0.0.1/32 -d 0/0 -j SNAT --to-source 212.86.252.126Поскольку адрес пингуется, и трафик приходит с ppp-интерфейса, очень может быть, что это решит проблему с почтой. ИМХО
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Youshi написал(а):А вы не
Пробовал и ранее, и сейчас только что попробовал.
iptables stop, запуск скрипта, iptables save, iptables start, на всякий случай postfix restart (начинал команду с /etc/init.d/...)
ответ от сервера адресата пришел незамедлительно:
host mxs.mail.ru[94.100.176.20] said: 550 We do not accept mail from dynamic IPs (212.86.249.190). Please contact (in reply to RCPT TO command)Спасибо Вам за ответы и Ваше время.
Можно попробовать завернуть
Можно попробовать завернуть пакеты c 212.86.252.126 в ppp500 при помощи iproute2.
Установите iproute2.
Создайте в /etc/iproute2/rt_tables запись вида:
Выполните команды:
И запустите ваш postfix на адресе 212.86.252.126.
Теперь у вас все пакеты с адресом отправителя 212.86.252.126 будут маршрутизироваться через таблицу table-ppp500, для которой шлюзом по умолчанию является ваш pppoe интерфейс ppp500.
Все же, посмотрите, на какой интерфейс приходят пинги если пинговать снаружи 212.86.252.126.
Может быть так, что ваш провайдер маршрутизирует вам ip 212.86.252.126 через ваше pppoe соединение.
Если это так, то не присваивайте eth1 ip адрес вообще, а для ppp500 сделайте alias с ip 212.86.252.126 и поднимайте ваши postfix и squid на этом ip.
Спасибо Вам за очень ценный и
Спасибо Вам за очень ценный и интересный совет.
[ebuild R ] sys-apps/iproute2-2.6.31 USE="berkdb -atm -minimal" 0 kB
# reserved values
#
255<--->local
254<--->main
253<--->default
0<----->unspec
#
# local
#
#1<---->inr.ruhep
500<--->table-ppp500
Сделано так
1 ip route add default via 212.86.252.235 table table-ppp500 dev ppp500
1 успешно
2 ip rule add from 212.86.249.190 table table-ppp500
2 успешно
3 ip rule add from 212.86.252.126 table table-ppp500
3 отключается почта и прокси, отключается доступ к службам, что запущены на шлюзе 212.86.252.126, но пинги и торент работают.
4 ip route flush cache
4 успешно
в фаерволе действуют правила
Здесь уже не хватает знаний, так не совсем понимаю что надо сделать. Если не затруднит - уточните пожалуйста.
Наверное лучшая новость за день! :)
Проверил, все внешние пакеты приходят только с ррр500
Провайдер говорил о маршрутизации, и сам так думал, что параметры eth1 не задействованны, потому полностью согласен с Вашым предположением, осталось только проверить на практике, что смогу сделать позднее - удалю записи на eth1, подниму рррое и проверю доступность 212.86.252.126.
Здесь также не хватает знаний, потому не совсем понимаю, если не затруднит - уточните пожалуйста.
Еще раз благодарю за Ваше Терпение и знания. :)
Olegmk написал(а): Проверил,
Понятно, делайте alias.
Как привязать postfix к определенному ip почитайте в документации, опция smtp_bind_address.
Создать ip alias можно так:
или так
Посмотреть, что получилось можно так:
Только для начала опустите ваши eth1 и ppp500, и в /etc/conf.d/net уберите все упоминания о eth1. Ссылку /etc/init.d/net.eth1 тоже необходимо удалить. При запуске pppoe ваш eth1 поднимется сам, но уже без присвоения ему какого либо ip.
ПОЛУЧИЛОСЬ!!! РАБОТАЕТ!!!
Приветствую MVG
Спасибо Вам за ценный совет, что попросту можна прописать вручную другую ІР на ррр500, что маршрутизируемая 212.86.252.126 привязана к рррое, и что меня не надо прописывать у себя на интерфейсах eth, у провайдера просто прописано, что при поднятии определенного рррое (нашего рррое с нашим логином и паролем) клиент имеет адрес 212.86.252.126. Без этого совета - и дальше можна было долбится головой в стену. Вашы знания убедили меня, что это вполне возможно и можно отталкиватся дальше, указали мне направление к решению проблеммы и Ваш совет существенно облегчил ситуацию.
Сегодня снова попробовал, не все получалось, после команди
ip addr add 212.86.252.126 dev ppp500получал такую запись
101: ppp500: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3 link/ppp inet 212.86.249.190 peer 212.86.252.235/32 scope global ppp500 inet 212.86.252.126/32 scope global ppp500Тут мне подсказали еще совет и прописал немного иным путем
ifconfig ppp500 212.86.252.126 pointopoint 212.86.252.235В этом случае пропадает шлюз, потому следующая команда
route add default gw 212.86.252.235 dev ppp500Bсе! РАБОТАЕТ! B трафик, и почта ввыходит с 212.86.252.126
Теперь уж осталось дело за совсем малым - автоматизировать. Нужно уж подумать, чтоб при следуещем поднятии рррое все работало. Я думаю изменить скрипт /etc/init.d/net.ppp500, то есть убрать символьную ссылку создать скрипт, который вышеописаное будет испольнять.
Если есть другие варианты, например с правкой /etc/ppp/ip-up, или другие альтернативы - буду премного благодарен, поскольку тут еще не придумал что и как, буду читать мануалы, поскольку мой вариант со скриптом далек от идеала.
Еще раз огромные ВСЕМ РЕСПЕКТ и БЛАГОДАРНОСТЬ, особенно MVG за Вашы ценные советы, Ваше терпение и помощь. Этип опусом еще раз доказано гибкость linux, и что почти все можна решить. СПАСИБО! Думаю можна ставить РЕШЕНО на теме.
Не надо изобретать
Не надо изобретать велосипедов. Для этого уже есть необходимые средства.
Просто добавьте в
/etc/conf.d/netИ вообще советовал бы очень внимательно изучить
/usr/share/doc/openrc-X.X.X/net.example, где X.X.X - версия openrc.Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Прописал
Прописал в настройках сети
При запуске с новыми настройками
ИМХО, не уверен, но наверное это относится к интерфейсам типа eth, что уже есть в системе.
Забыл уточнить. А туннель до
Забыл уточнить. А туннель до провайдерского сервера как поднимается?
Возможно, будет правильнее использовать функцию postup():
config_ppp500=...... postup() { if [ "${IFACE}" = "ppp500" ]; then ifconfig ppp500 212.86.252.126 pointopoint 212.86.252.235 route add default gw 212.86.252.235 dev ppp500 fi }Что-то вроде этого. Не уверен в правильности синтаксиса.
Она будет выполнена после поднятия (надо уточнить: всех или каждого по одтельности) интерфейсов.
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Если оба адреса снаружи
Если оба адреса снаружи доступны, то чем не устраивает -j SNAT ?
Пдобное уже делал
Пдобное уже делал, это подходит для внутренней сети.
iptables -t nat -I POSTROUTING 1 -o ppp0 -s 192.168.100.0/24 -d 0/0 -j SNAT --to-source 212.86.252.126
Но главное что почтовый сервер находится на шлюзе и смотрит в обе стороны. И нужно, чтобы почта как раз исходила с ір 212.86.252.126. С этим пока пробую в самом почтовым сервере postfix прописать.
Да и еще прокси-сервер, да много там чего.
--
--
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Запутался окончательно. На
Запутался окончательно.
На каком шлюзе находится ваш почтовый сервер? Разве он находится не на машине с ip 212.86.252.126?
У меня трудна ситуация,
У меня трудна ситуация, потому не сложно запутатся.
У меня почтовый сервер находится на машине, которая имеет два реальных IP - 212.86.252.126, на которую прописан NS i MX (прописан на вручную на eth1), а также получаю от провайдера рррое другую ІР (зачем?) - 212.86.249.190, с которой вся почта и уходит. Подключается к интернету через рррое.
Задача - как отправлять почту с 212.86.252.126, котроая белая во всех списках.
Я уже второй вечер не могу понять логику провайдера, а также как сделать, то чего по канону никто и не делает. Я должен на сервере получить через рррое (канал в интернет) всего одну ір 212.86.252.126 и дело с концом. Вместо этого - делать как всегда через одно место.