Изпечатай

[mndsl]

Здравейте. Имам следния казус, който не знам как да реша.

Имам 3 ISP провайдъра с реални адреси и 2 сървъра, на всеки от който има по 1 адрес от всеки доставчик. Пренасочил съм един и същ порт от всеки от IP-адресите и от двата сървъра към 1 друг вътрешен сървър. Идеята е да се защити вътрешния сървър, другита сървъри са 2 за да се гарантира по-голяма надеждност, а се пренасочват всички IP-за да се гарантира връзка до вътрешния сървър през кой да е интернет доставчик.

Външните сървъри са с Linux, вътрешния е с Windows Server 2003.

На вътрешния сървър е настроен default gateway на единия сървър и пренасочването от вън през този сървър си работи. Проблема е, че пренасочването през дргугия сървър, който не е default gateway за вътрешния сървър не работи. Получава се това, че независимо през кой сървър влезе заявката, вътрешния сървър си ползва default gateway-a.

Ако добавя на вътрешния сървър втори gateway, работи, но със някакво закъснение от 10-15 секунди, докато се усети че първия гейт не върши работа. Но тези закъснения са недопустими.

Та въпроса е какво да се направи, за да може вътрешния сървър да работи и с двата едновременно?

[ntrance]

От това което прочетох , не виждам проблем да си  прекараш портовете към вътрешен комп. Няма значение  единствената причина поради която 2-рият не може да  прекара портовете към вътрешния ти сървър е да не може да го намери като ип  с една дума той насочва там където за него няма адрес. Имаш ли пинг до него ?

Ако приемем че  имаш някъв рутер  , към който  от 3-те лан карти ти излизат кабели и влизат в него и  теоретично ако вътрешната мрежа ти е 192.168.0.0/16 примерно   те са доспъпни един до друг. Ако  това си го направил добави и втори адрес на лан картата ! ТУк предполагам каква точно ти е връзката  . Кажи как си ги свързал  като мрежа за да ти  помогна да оправиш и портовете

[mndsl]

Да, всъщност не съм описал подробно проблема. Имам предвид че пренасочването от втория сървър не работи като цяло.

След като анализирах пакетите със wireshark установих, че втория сървър успешно пренасочва пакетите към вътрешния сървър и те пристигат до него, само че вътрешния сървър пуска пакета с отговора към първия сървър, а не към този от който е дошъл, т.е. към втория.

Ок, ето и как е организирана мрежата. На външните сървъри има 4 мрежови карти, 3 от които са външни адреси и една е от вътрешна мрежа 192.168.1.0/24. На вътрешния сървър има само 1 мрежова карта с IP от вътрешната мрежа.

[ntrance]

Намерих ти грешката   "вътрепния сървър има само 1 мрежова карта с IP от вътрешната мрежа."

Тук трябва са 2 лан карти   но може и с една сега ще се опитам да ти  обесня теоретично;
Значи  вътрешния ти сървър взема gataway i ip  от първия външен примерно  така за него не е проблем мда ти пренасочи портовете тъй  като пакетите минават през него и  той ги преобразува , до тук добре . Но ако изълниш заяка към втория ти външен сървър той правилно ще препрати пакетите към  вътрешния  " И тук идва проблема"  вътрешния ще  върне заявката но  пакетите минават през  първия външен сървър  , да но той от къде да знае каде трябва да иде обратната  заявка и тук е проблема . Схванали ? ми мисълта

[mndsl]

Получава се това, че независимо през кой сървър влезе заявката, вътрешния сървър си ползва default gateway-a.

Е аз съм го написал същото само че с други думи. На мен ми е ясно че това е проблема. Въпроса е как се решава.

[ntrance]

Ок щом ти е ясно Успех!!!

[laskov]

Отговорът е някъде тук: http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=364103812

[ntrance]

Ми не ...  Защо да  ползвам такъв срипт!   + това си има доста по  лесни начини  защо да пишем романи !!!  след като server 2003  може без проблем да си route  мрежи и тн !!!!

[mndsl]

Ок щом ти е ясно Успех!!!

Имам чувството че нещо си се обидил, не знам защо, но ако вината е в мен моля да ме извиниш. Ти всъшност си ми описал проблема по-подробно, но не си предложил решение. Аз както споменах знам какъв е проблема, но не знам как да го реша.

Ми не ...  Защо да  ползвам такъв срипт!   + това си има доста по  лесни начини  защо да пишем романи !!!  след като server 2003  може без проблем да си route  мрежи и тн !!!!

След като казваш че има по-лесни начини, моляте да споделиш с мен, какво и как трябва да се настрои на този Server 2003 за да работи нормално пренасочването.

[ntrance]

Така .... Ако знаеш проблема  къде е решението е лесно !!! Най  елемтарния начин при който може да го направиш ти да набиеш 2-ри адрес  на картата  на server2003(вътрешния сървър)  примерно 192.168.0.99 . До тук добре  и правиш едно правило  в сървър едно всичко що влезне в него от ип 192.168.0.99 или от  -s 192.168.0.99 -d destination ip : port  на Български казано
iptables -t nat -A PREROUTING -t nat -p tcp -d 192.168.0.99 --dport  80 -j DNAT --to ип-то на  втория ти сървър:80  (предполагам че този порт ще  го  управляваш) .  Така и по този начин вътрешния ти сървър няма се бърка.
Ако това не си разбрал обеснявам още един път!
Примерно ако искаш порт 80   правиш правило всичко що влиза да го пренасочи към ип 192.168.0.98.  , това ще да ти е първия ип адрес   на вътрешния сървър.
Отиваш на втория сървър и правиш същото правило но " само че  към  втория адрес на лан картата 192.168.0.99" и до тук предполагам няма да имаш проблем
При линукса се водят  eth0:  eth0:1  и така нататък!
Следваща  стъпка  отиваш на сървър 1  и му правиш  iptables  правило .! На български казано
"Всичко що влиза  ип 192.168.0.99 от порт 80 (нали него го приехме теоретично че искаме да го пренасочим) Да ходи  трафика към  ип-то на 2-я сървър.
5  минути работа ..
 

[ntrance]

Пък ако искаш също така да определяш трафик , колко мб   от възможни толкоз и тн   няма проблем!

[mndsl]

Така, прочетох ти поста и разбрах идеята. Всичко е просто и ясно до момента какво ще стане ако се скапе първия сървър, а заявките пристигат от втория?

Не напразно са два сървърите и НЕ трябва нито един от тях да зависи от другия. Така както си описал решението, функционалноста на вротия зависи от това , първия винаги да е на линия.

[ntrance]

Е да но той ти е gateway  и без това . Той ако падне   ти загиваш
За целта не се прави така както ти го правиш. Кажи за какво искаш да го направаиш каква ти е идеята и защо .!!! Има си други начини

[mndsl]

Значи на вътрешния сървър работи софтуер, който трябва да работи 99.99999% от времето. Спирания на нета са недопустими! На самия сървър не му трябва интернет, т.е. трябва му дотолкова доколкото клиентите да могат да се връзват с него, но самия той на вън не излиза, той приема само заявки от клиенти на един единствен порт и се връзва с един друг сървър, който се явява източник на данни за него, но е през вътрешната мрежа и там проблеми няма.

Пренасочването през двата линукс сървъра е с цел да се гарантира поне един работещ gateway с поне един работещ интернет. Всичко се случва и е допустимо един от тях да не работи. Същото важи и за интернета. Като цяло идеята е да се презапаси цялата система срещу хардуерни дефекти и прекъсване на някой от даставчиците, що се отнася до свързаноста със интернет.

Скапването на вътрешния сървър не е моя грижа, там се занимават други хора да си го пуснат в клъстер, моята задача е да гарантирам non-stop интернет.

Относно твоя коментар, ако умре default gateway-a не е проблем, стига през другия сървър клиентите да могат да се връзват. Ето защо двата линукса трябва да са напълно независими един от друг.

[ntrance]

Глупаво правиш тогава и до много!!!!! Остави си единия линукс . 2-та нет доставчика на 2 лан карти рутираш нета да работят като един  и единия да падне не е проблем. И 3-та лан карта към вътрешния.! Един як UPS  и това е .... Аз тука романи пиша  , пак той каде е била врътката. Линукса няма ти умре ако ще да е slack  (нищо лично).
Ако караме по твойта логика дай да ги навържем 10  компа ...!!! Няма смисъл само един е достатъчен