* [Comm] настройка сервера - мой первый бой @ 2008-11-29 12:37 Николай Коротинский 2008-11-29 12:49 ` Michael Shigorin 2008-11-30 15:25 ` Yuri Bushmelev 0 siblings, 2 replies; 7+ messages in thread From: Николай Коротинский @ 2008-11-29 12:37 UTC (permalink / raw) To: ALT Linux Community general discussions Доброе время суток. Есть задача, которую я пока не знаю как решить, т.к. я не админ. Поэтому прошу подсказать что копать и в какую сторону и где какие лежат грабли. А задача следующая. Дано: подключение urktelecom DSL (512кб/с), пока роутер воткнут в свич. подключение internet.beeline.ua VPN (5мб/с), пока воткнуто в XPшную машину. предположительно еще одно подключение к общегородской сетке VPN. выделенная старенькая машинка с кучей PCI слотов для сетевух и установленым altlinux server Задача завести все подключения через сервер и раздать внутрь. Я незнаю: Как поднять vpn Как раздать инет внутрь сетки Так как от укртелекома пока не отказываемся - билайн не дает возможности именть внешний IP, а у укртелекома хоть динамический, но всетаки внешний и нас видно извне по dyndns. ТО возможно ли при реализовать балансироваку нагрузки на эти два подключения, что бы иметь не 5 а 5,5 мб/с? Спасибо. -- With best regards, Nick Korotinsky ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] настройка сервера - мой первый бой 2008-11-29 12:37 [Comm] настройка сервера - мой первый бой Николай Коротинский @ 2008-11-29 12:49 ` Michael Shigorin 2008-11-29 17:48 ` Николай Коротинский 2008-11-30 15:25 ` Yuri Bushmelev 1 sibling, 1 reply; 7+ messages in thread From: Michael Shigorin @ 2008-11-29 12:49 UTC (permalink / raw) To: ALT Linux Community general discussions On Sat, Nov 29, 2008 at 02:37:31PM +0200, Николай Коротинский wrote: > Задача > завести все подключения через сервер и раздать внутрь. http://lartc.org > Я незнаю: > Как поднять vpn > Как раздать инет внутрь сетки > Так как от укртелекома пока не отказываемся - билайн не дает > возможности именть внешний IP, а у укртелекома хоть > динамический, но всетаки внешний и нас видно извне по dyndns. > ТО возможно ли при реализовать балансироваку нагрузки на эти > два подключения, что бы иметь не 5 а 5,5 мб/с? Может быть практичней взять какой Draytek 2910 и воткнуть в него два WAN, сконфигурировав УТК как бэкап для пчелайна. Оно умеет и балансировку, но плюс полмегабита через ещё один канал IMHO не столько решат проблем, сколько добавят. Для локалки может быть проще воткнуть её прям в LAN (хотя сильно зависит от того, фильтрует хоть как-то провайдер или тупые свичи) и прописать статический маршрут на маршрутизаторе или всех хостах. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] настройка сервера - мой первый бой 2008-11-29 12:49 ` Michael Shigorin @ 2008-11-29 17:48 ` Николай Коротинский 2008-11-29 18:59 ` Michael Shigorin 0 siblings, 1 reply; 7+ messages in thread From: Николай Коротинский @ 2008-11-29 17:48 UTC (permalink / raw) To: shigorin, ALT Linux Community general discussions 29 ноября 2008 г. 14:49 пользователь Michael Shigorin <mike@osdn.org.ua> написал: > On Sat, Nov 29, 2008 at 02:37:31PM +0200, Николай Коротинский wrote: >> Задача >> завести все подключения через сервер и раздать внутрь. > > http://lartc.org Спасибо >> Я незнаю: >> Как поднять vpn >> Как раздать инет внутрь сетки >> Так как от укртелекома пока не отказываемся - билайн не дает >> возможности именть внешний IP, а у укртелекома хоть >> динамический, но всетаки внешний и нас видно извне по dyndns. >> ТО возможно ли при реализовать балансироваку нагрузки на эти >> два подключения, что бы иметь не 5 а 5,5 мб/с? > > Может быть практичней взять какой Draytek 2910 и воткнуть в него > два WAN, сконфигурировав УТК как бэкап для пчелайна. Оно умеет > и балансировку, но плюс полмегабита через ещё один канал IMHO > не столько решат проблем, сколько добавят. Эээ... может быть и практичней, но... если бы это нужно было для оффиса, то можно было бы уломать босса и купить. Но это домашняя сетка, и самый главный бос там это я :) .... Мне что-то кажеться что я себя не уломаю :D > Для локалки может быть проще воткнуть её прям в LAN (хотя сильно > зависит от того, фильтрует хоть как-то провайдер или тупые свичи) > и прописать статический маршрут на маршрутизаторе или всех хостах. Вы имеете ввиду кабель билайна воткнуть в свитч? O_o Или вы имеете ввиду Draytek? -- With best regards, Nick Korotinsky ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] настройка сервера - мой первый бой 2008-11-29 17:48 ` Николай Коротинский @ 2008-11-29 18:59 ` Michael Shigorin 0 siblings, 0 replies; 7+ messages in thread From: Michael Shigorin @ 2008-11-29 18:59 UTC (permalink / raw) To: ALT Linux Community general discussions On Sat, Nov 29, 2008 at 07:48:44PM +0200, Николай Коротинский wrote: > > Может быть практичней взять какой Draytek 2910 и воткнуть > Эээ... может быть и практичней, но... если бы это нужно было > для оффиса, то можно было бы уломать босса и купить. Но это > домашняя сетка, и самый главный бос там это я :) .... Мне > что-то кажеться что я себя не уломаю :D Ааа :) > > Для локалки может быть проще воткнуть её прям в LAN (хотя > > сильно зависит от того, фильтрует хоть как-то провайдер или > > тупые свичи) и прописать статический маршрут на > > маршрутизаторе или всех хостах. > Вы имеете ввиду кабель билайна воткнуть в свитч? O_o Угу, но если всё равно городить свой рутер -- то неактуально. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] настройка сервера - мой первый бой 2008-11-29 12:37 [Comm] настройка сервера - мой первый бой Николай Коротинский 2008-11-29 12:49 ` Michael Shigorin @ 2008-11-30 15:25 ` Yuri Bushmelev 2008-12-01 11:07 ` Nickolay Korotinsky 1 sibling, 1 reply; 7+ messages in thread From: Yuri Bushmelev @ 2008-11-30 15:25 UTC (permalink / raw) To: ALT Linux Community general discussions В сообщении от Суббота 29 ноября 2008 Николай Коротинский написал(a): > Доброе время суток. > Есть задача, которую я пока не знаю как решить, т.к. я не админ. > Поэтому прошу подсказать что копать и в какую сторону и где какие > лежат грабли. Я могу описать все на уровне полу-практики.. То есть, конкретных команд для настройки не дам, ибо такими вещами под Linux ни разу не занимался (просто, обычно, у меня в таких местах стоит FreeBSD). Но сначала вопросы: > подключение urktelecom DSL (512кб/с), пока роутер воткнут в свич. DSL-роутер поднимает внутри себя pppoe или там без него обходятся? > подключение internet.beeline.ua VPN (5мб/с), пока воткнуто в XPшную > машину. Как именно это "подключение" физически осуществляется? usb-модем? телефон? Или там ethernet? Какой именно тип VPN используется (pptp/l2tp)? > предположительно еще одно подключение к общегородской сетке VPN. Опять же - как будет осуществляться подключение физически и логически? > выделенная старенькая машинка с кучей PCI слотов для сетевух и > установленым altlinux server > > Задача > завести все подключения через сервер и раздать внутрь. > > Я незнаю: > Как поднять vpn VPN-клиентом :) Каким именно, зависит от типа vpn-подключения. > Как раздать инет внутрь сетки Видимо, маскарадингом посредством iptables, если ничего другого не придумали :) > Так как от укртелекома пока не отказываемся - билайн не дает > возможности именть внешний IP, а у укртелекома хоть динамический, но > всетаки внешний и нас видно извне по dyndns. ТО возможно ли при > реализовать балансироваку нагрузки на эти два подключения, что бы > иметь не 5 а 5,5 мб/с? Потенциально - да. Например, делая маскарадинг на два ip-адреса для исходящих соединений (только, чтобы сессии с одного источника всегда мапились на один и тот же ip, иначе могут быть проблемы с некоторыми протоколами, вроде ftp). Но как это реализуется в iptables (или еще чем-то), я не знаю - вопрос к специалистам. Можно еще просто развесить сервисы на разные ip для исходящих запросов. То есть, например, прокси пусть ходит в дешевый и медленный канал, а DNS - в быстрый и дорогой. В обоих случаях, возможно, потребуется указать, с какого ip в какой канал слать пакетики. Хотя, возможно, тут ядро и само разберется.. Опять же, вопрос к специалистам. И еще один важный момент. Возможно, что в паре мест у вас пересекутся сети провайдеров. Например, "билайн" и "городской VPN" могут оказаться построенными на адресах из сети 10.*.*.*. Тогда, возможно, придется строить еще один NAT, чтобы различать, откуда пришли пакеты и как их отправлять обратно. Вот как-то так :) -- С уважением, Бушмелев Юрий ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] настройка сервера - мой первый бой 2008-11-30 15:25 ` Yuri Bushmelev @ 2008-12-01 11:07 ` Nickolay Korotinsky 2008-12-01 11:39 ` [Comm] простой iptables NAT (was: настройка сервера - мой первый бой) Michael Shigorin 0 siblings, 1 reply; 7+ messages in thread From: Nickolay Korotinsky @ 2008-12-01 11:07 UTC (permalink / raw) To: ALT Linux Community general discussions Yuri Bushmelev пишет: > В сообщении от Суббота 29 ноября 2008 Николай Коротинский написал(a): > >> Доброе время суток. >> Есть задача, которую я пока не знаю как решить, т.к. я не админ. >> Поэтому прошу подсказать что копать и в какую сторону и где какие >> лежат грабли. >> > > Я могу описать все на уровне полу-практики.. То есть, конкретных команд для > настройки не дам, ибо такими вещами под Linux ни разу не занимался (просто, > обычно, у меня в таких местах стоит FreeBSD). > > Но сначала вопросы: > > >> подключение urktelecom DSL (512кб/с), пока роутер воткнут в свич. >> > > DSL-роутер поднимает внутри себя pppoe или там без него обходятся? > DSL все сам поднимает >> подключение internet.beeline.ua VPN (5мб/с), пока воткнуто в XPшную >> машину. >> > > Как именно это "подключение" физически осуществляется? usb-модем? телефон? > Или там ethernet? Какой именно тип VPN используется (pptp/l2tp)? > > ethernet. Какой VPN точно не знаю, но вроде в винде используется какой то один. Мне под виндой те кто подключал все настроили, а слова линукс испугались. Сказали сам настраивай >> предположительно еще одно подключение к общегородской сетке VPN. >> > > Опять же - как будет осуществляться подключение физически и логически? > > Это пока не важно. Но насколько я понял там VPN нужен только для инета. Так что вопрос отпадает. >> выделенная старенькая машинка с кучей PCI слотов для сетевух и >> установленым altlinux server >> >> Задача >> завести все подключения через сервер и раздать внутрь. >> >> Я незнаю: >> Как поднять vpn >> > > VPN-клиентом :) Каким именно, зависит от типа vpn-подключения. > > >> Как раздать инет внутрь сетки >> > > Видимо, маскарадингом посредством iptables, если ничего другого не > придумали :) > > Слышал. Говорят страшная штука :) А она не съест мой мозг? >> Так как от укртелекома пока не отказываемся - билайн не дает >> возможности именть внешний IP, а у укртелекома хоть динамический, но >> всетаки внешний и нас видно извне по dyndns. ТО возможно ли при >> реализовать балансироваку нагрузки на эти два подключения, что бы >> иметь не 5 а 5,5 мб/с? >> > > Потенциально - да. Например, делая маскарадинг на два ip-адреса для > исходящих соединений (только, чтобы сессии с одного источника всегда > мапились на один и тот же ip, иначе могут быть проблемы с некоторыми > протоколами, вроде ftp). Но как это реализуется в iptables (или еще > чем-то), я не знаю - вопрос к специалистам. > > Можно еще просто развесить сервисы на разные ip для исходящих запросов. То > есть, например, прокси пусть ходит в дешевый и медленный канал, а DNS - в > быстрый и дорогой. > > В обоих случаях, возможно, потребуется указать, с какого ip в какой канал > слать пакетики. Хотя, возможно, тут ядро и само разберется.. Опять же, > вопрос к специалистам. > > И еще один важный момент. Возможно, что в паре мест у вас пересекутся сети > провайдеров. Например, "билайн" и "городской VPN" могут оказаться > построенными на адресах из сети 10.*.*.*. Тогда, возможно, придется строить > еще один NAT, чтобы различать, откуда пришли пакеты и как их отправлять > обратно. > > А оно кажется так и есть *Автор чешет затылок* > Вот как-то так :) Спасибо. ^ permalink raw reply [flat|nested] 7+ messages in thread
* [Comm] простой iptables NAT (was: настройка сервера - мой первый бой) 2008-12-01 11:07 ` Nickolay Korotinsky @ 2008-12-01 11:39 ` Michael Shigorin 0 siblings, 0 replies; 7+ messages in thread From: Michael Shigorin @ 2008-12-01 11:39 UTC (permalink / raw) To: ALT Linux Community general discussions; +Cc: sysadmins On Mon, Dec 01, 2008 at 01:07:33PM +0200, Nickolay Korotinsky wrote: > >> Как раздать инет внутрь сетки > >Видимо, маскарадингом посредством iptables, если ничего > >другого не придумали :) > Слышал. Говорят страшная штука :) А она не съест мой мозг? Не факт; самое простое включение подразумевает три строчки (здесь подразумевается, что default route -- через eth0): iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sysctl -w net.ipv4.ip_forward=1 http://www.opennet.ru/docs/HOWTO/Masquerading-Simple-HOWTO/summary.html PS 2 community@: вообще по слову "iptables" тоже стоит сразу подсказывать, что может быть осмысленно с [частичным] обсуждением перебираться в sysadmins@ -- равно как и по словам squid, apache, postfix, clamav... :) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2008-12-01 11:39 UTC | newest] Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2008-11-29 12:37 [Comm] настройка сервера - мой первый бой Николай Коротинский 2008-11-29 12:49 ` Michael Shigorin 2008-11-29 17:48 ` Николай Коротинский 2008-11-29 18:59 ` Michael Shigorin 2008-11-30 15:25 ` Yuri Bushmelev 2008-12-01 11:07 ` Nickolay Korotinsky 2008-12-01 11:39 ` [Comm] простой iptables NAT (was: настройка сервера - мой первый бой) Michael Shigorin
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git