маршрутизация (через несколько nat серверов)

[bull-dog]

имеется
комп1..комп9
они идут через шлюз1
комп1..комп9 -> шлюз1 -> inernet

требуется
комп1..комп9 -> шлюз0 -> шлюз1 -> шлюз2 -> inernet
шлюз1 это глупый роутер
по этому хочу поднять сервер (шлюз0) который через шлюз2 зарулит весь трафик в internet.
на шлюзе2 поднимаем нат
iptables -v -t nat -A POSTROUTING -o $EXTERNAL_INTERFACE -s $IP -j MASQUERADE

осталось настроить нат на шлюзе0, есть у кого нить соображения как зарулить трафик через шлюз2?

[DSS]

имеется
комп1..комп9
они идут через шлюз1
комп1..комп9 -> шлюз1 -> inernet

требуется
комп1..комп9 -> шлюз0 -> шлюз1 -> шлюз2 -> inernet
шлюз1 это глупый роутер
по этому хочу поднять сервер (шлюз0) который через шлюз2 зарулит весь трафик в internet.
на шлюзе2 поднимаем нат
iptables -v -t nat -A POSTROUTING -o $EXTERNAL_INTERFACE -s $IP -j MASQUERADE

осталось настроить нат на шлюзе0, есть у кого нить соображения как зарулить трафик через шлюз2?

Непонятно, зачем городить такие огороды.
Может проще шлюз1 заменить?

[Alex2ndr]

имеется
комп1..комп9
они идут через шлюз1
комп1..комп9 -> шлюз1 -> inernet

требуется
комп1..комп9 -> шлюз0 -> шлюз1 -> шлюз2 -> inernet
шлюз1 это глупый роутер
по этому хочу поднять сервер (шлюз0) который через шлюз2 зарулит весь трафик в internet.
на шлюзе2 поднимаем нат
iptables -v -t nat -A POSTROUTING -o $EXTERNAL_INTERFACE -s $IP -j MASQUERADE

осталось настроить нат на шлюзе0, есть у кого нить соображения как зарулить трафик через шлюз2?

А зачем вам нат на шлюзе0 ? Это все делается через маршрутизацию. Нат нужен только в случае одного внешнего ip ( т е нехватки внешних ip адресов) - в вашей внутренней сети такой проблемы нет.
По поводу маршрутизации - читайте соответствующие книги/статьи и думайте - для понимающего вопрос проблема небольшая. Пишите сюда конкретную конфигурацию, адреса и ваши наброски - думаю помогут.

PS согласен с DSS - может проблема решается проще?

[danger08]

Распишите все подробнее, думаю без "шлюз1" можно обойтись.

[bull-dog]

А зачем вам нат на шлюзе0 ? Это все делается через маршрутизацию. Нат нужен только в случае одного внешнего ip ( т е нехватки внешних ip адресов) - в вашей внутренней сети такой проблемы нет.
По поводу маршрутизации - читайте соответствующие книги/статьи и думайте - для понимающего вопрос проблема небольшая. Пишите сюда конкретную конфигурацию, адреса и ваши наброски - думаю помогут.

PS согласен с DSS - может проблема решается проще?

нат на шлюзе0 требуется чтобы все клиенты(комп1..комп9) ходили именно через шлюз0 (дополнительный контроль).
шлюз1 так же будет дополнительным оборудованием на случай отказа шлюза0.

по поводу настройки шлюза0

iptables -v -t nat -A POSTROUTING -o $EXTERNAL_INTERFACE -s $IP -j MASQUERADE

осталось додумать ещё один ключик чтобы весь трафик шел через $EXTERNAL_INTERFACE на ip шлюза2

[bull-dog]

Распишите все подробнее, думаю без "шлюз1" можно обойтись.

можно обойтись но я собираюсь оставить, так быстрее будет восстановить работу сети если шлюз0 откажет...

и к тому же проблема именно в настройки маршрутизации потому что у шлюза 1 тоже есть свой шлюз3 и в случае отказа от шлюза1, шлюз0 перенимает настройки шлюза1 и сам идет через шлюз3, что опять возникает такая же самая проблема.

[KiWi]

О, господи, что за бред понаписан... Контроль... Куча натов...

Подробную схему сети(вместе со свитчами) и задачу.

[bull-dog]

О, господи, что за бред понаписан... Контроль... Куча натов...

Подробную схему сети(вместе со свитчами) и задачу.

я в теме для начинающих мне простительно, но постараюсь исправиться.

комп
ip 192.168.1.3
gateway 192.168.1.1

роутер
ip 192.168.1.1
gateway 192.168.2.1

в этой схеме комп идет через роутер в inet через gateway 192.168.2.1

требуется идти в инет через gateway 192.168.3.1
для этого я собираюсь поставить дополнительный

сервер
ip 192.168.1.2
gateway 192.168.1.1

и трафик компа пусть через сервер.
проблема настройки заключается в том что бы пустить трафик компа с сервера на gateway 192.168.3.1 через роутер 192.168.1.1
если опять ничего не понятно могу никидать схемку.

[Alex2ndr]

я в теме для начинающих мне простительно, но постараюсь исправиться.

комп
ip 192.168.1.3
gateway 192.168.1.1

роутер
ip 192.168.1.1
gateway 192.168.2.1

в этой схеме комп идет через роутер в inet через gateway 192.168.2.1

требуется идти в инет через gateway 192.168.3.1
для этого я собираюсь поставить дополнительный

сервер
ip 192.168.1.2
gateway 192.168.1.1

и трафик компа пусть через сервер.
проблема настройки заключается в том что бы пустить трафик компа с сервера на gateway 192.168.3.1 через роутер 192.168.1.1
если опять ничего не понятно могу никидать схемку.

Много чего непонятно - например где тут какой шлюз, их порядок и зачем все это (в смысле такое количество шлюзов) нужно.

[KiWi]

Так, а теперь по порядку -- gateway -- это тот узел, через который посылаются данные для адресов, расположенных в ДРУГОЙ подсети. Это не какой-то промежуточный узёл.

А теперь -- внимание вопрос -- все компьютеры в одной подсети? Судя по описанию -- да. А, учитывая это, что мешает на компьютере напрямую задать нужный шлюз?

Или всё-таки хочется сделать так, чтобы компьютеры подключались к одному роутеру, а дальше роутеры уже между собой динамически строили маршрутизацию? И в случае отказа одного из маршрутизаторов всё перестраивалось(при условии наличии колец)?
Так это нужно смотреть в сторону quagga.

[bull-dog]

Так, а теперь по порядку -- gateway -- это тот узел, через который посылаются данные для адресов, расположенных в ДРУГОЙ подсети. Это не какой-то промежуточный узёл.

А теперь -- внимание вопрос -- все компьютеры в одной подсети? Судя по описанию -- да. А, учитывая это, что мешает на компьютере напрямую задать нужный шлюз?

Или всё-таки хочется сделать так, чтобы компьютеры подключались к одному роутеру, а дальше роутеры уже между собой динамически строили маршрутизацию? И в случае отказа одного из маршрутизаторов всё перестраивалось(при условии наличии колец)?
Так это нужно смотреть в сторону quagga.

192.168.3.2 находится в другой подсети и по этому не получится настроить напрямую.
по этому я и поднимаю 192.168.1.2 (можно было бы убрать 192.168.1.1 но проще оставить и просто настроить 192.168.1.2)
192.168.3.2 уже настроен.
осталось настроить 192.168.1.2.

[KiWi]

192.168.3.2 находится в другой подсети и по этому не получится настроить напрямую.

В таком случае что-то явно не договаривается, ибо у маршрутизаторов при таком раскладе должно быть 2 адреса.

[bull-dog]

192.168.3.2 находится в другой подсети и по этому не получится настроить напрямую.

В таком случае что-то явно не договаривается, ибо у маршрутизаторов при таком раскладе должно быть 2 адреса.

все верно 192.168.1.1 это его внутрений ип а внешний 192.168.2.2 который виден с 192.168.3.2

у меня работает похожая ситуация
iptables -v -t nat -A POSTROUTING -o $EXTERNAL_INTERFACE -s $IP -j MASQUERADE
тут весь трафик с $IP направляется на eth0. только $IP из своей подсети и виден напрямую.

хочет что то типа этого, чтоб с $IP(192.168.1.3) трафик направляется через $EXTERNAL_INTERFACE(gw 192.168.1.1) на 192.168.3.2

маршрутизация правильно работает когда например на 192.168.1.3 настроена прокси на 192.168.3.2.
тогда 192.168.1.3 стучится на 192.168.3.2 через пограничные роутеры, а 192.168.3.2 берет из инета данные и возвращает 192.168.1.3.
а требуется чтобы весе пакеты и без дополнительной настройки на клиенте.

[Venegance]

Такая проблема обычно решается через динамическую маршрутизацию. Необходимо на маршрутизаторах поднять какой-нибудь протокол динамической маршрутизации(диаметр сети меньше 16 прыжков, так что подойдёт rip). И еще вопрос: шлюзом для 192.168.1.3 служит 192.168.1.2? А для 192.168.1.2 - 192.168.1.1? Такого быть не могёт, так как они в одной подсети лежат.

[bull-dog]

Такая проблема обычно решается через динамическую маршрутизацию. Необходимо на маршрутизаторах поднять какой-нибудь протокол динамической маршрутизации(диаметр сети меньше 16 прыжков, так что подойдёт rip). И еще вопрос: шлюзом для 192.168.1.3 служит 192.168.1.2? А для 192.168.1.2 - 192.168.1.1? Такого быть не могёт, так как они в одной подсети лежат.

это сделано специально т.к. 192.168.1.1 это обычный роутер, а требуется дополнительный контроль. и я выше говорил что требуется именно такая схема.
настроить нужно отправляющий сервер 192.168.1.2 и принимающий сервер 192.168.3.2, доступ до других роутеров нету.
пример с прокси явно показывает что требуется.

[Alex2ndr]

Имхо в такой схеме NAT не сыграть. Фактически здесь требуется задать шлюз по умолчанию из другой подсети. Я слышал что где-то такое можно - но где и как не знаю. Мне кажется нормальным вариантом будет поднятие vpn тунеля от 192.168.1.2 до 192.168.3.2. Затем комп на другом конце тунеля (192.168.3.2) указывается на 192.168.1.2 как шлюз по умолчанию и все работает как хочется топикстартеру. Не знаю насколько такой вариант приемлим.

[bull-dog]

Имхо в такой схеме NAT не сыграть. Фактически здесь требуется задать шлюз по умолчанию из другой подсети. Я слышал что где-то такое можно - но где и как не знаю. Мне кажется нормальным вариантом будет поднятие vpn тунеля от 192.168.1.2 до 192.168.3.2. Затем комп на другом конце тунеля (192.168.3.2) указывается на 192.168.1.2 как шлюз по умолчанию и все работает как хочется топикстартеру. Не знаю насколько такой вариант приемлим.

это даже наверное возможно реализовать только вот проблема с настройкой, я вообще не представляют как это организовать...

[Alex2ndr]

это даже наверное возможно реализовать только вот проблема с настройкой, я вообще не представляют как это организовать...

Т к особых требований к этому туннелю нет, кроме факта его наличия, то я бы сделал через pptpd - но я не очень большой знаток в этом. Может кто посоветует более простой способ организации туннеля.

[DSS]

нат на шлюзе0 требуется чтобы все клиенты(комп1..комп9) ходили именно через шлюз0 (дополнительный контроль)

Любой комп, идущий в ДРУГУЮ сеть, ОБЯЗАТЕЛЬНО проходит через маршрутизатор, совершенно независимо от того, поднят на нём NAT или нет.

шлюз1 так же будет дополнительным оборудованием на случай отказа шлюза0.

Без шлюза0 клиент не сможет попасть на шлюз1

Для решения Вашей проблемы, на самом деле, надо нарисовать схему не того, какое решение Вы придумали, а того, как есть сейчас, указав обязательно, к какими устройствами в сети Вы имеете доступ. И изложить "что я хочу".

[ArhAngel]

проблема настройки заключается в том что бы пустить трафик компа с сервера на gateway 192.168.3.1 через роутер 192.168.1.1

Согласно вашей схеме......

А вы пробовали маршрутизатору 192.168.2.1 сказать, что всё что приходит с 192.168.1.2 роутить на 192.168.3.2, а всё другое отбрасывать?
вообще здесь действительно легче поднять RIP.
И СЛЕДИТЕ ЗА ТЕМ, ЧТОБЫ СЕТИ ЗНАЛИ ДРУГ О ДРУГЕ ТОЛЬКО ТО, ЧТО НУЖНО. Если хотите бэкапить схему ещё и водить трафик "прибитыми" путями вам нужно быть ООООЧЕНЬ ВНИМАТЕЛЬНЫМ при составлении маршрутов на маршрутизаторах. Не исключено, что надо будет писать статические маршруты индивидуально для каждого SOURCE и DESTINATION
В вашей схеме нужно только 2 НАТа, это на маршрутизаторе 2.1 и 3.1