Помогите настроить маршрутизацию. (Если вообще это возможно в моём случае)

[BDmV]

ОС: Ubuntu 22.04
Сеть:

Во внутренней сети 192.168.126.0 поднят DNS для обслуживания внутренних сервисов.
Необходимо:
1. Весь основной трафик в инет должен идти через интерфейс enp1s0f0 (31.x.y.z)
2. Трафик для домена org.ru должен идти через enp1s0f1 (10.128.58.0)
В принципе данная конфигурация легко решается след. настройкой сети:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

network:
    version: 2
    ethernets:
        enp3s0:
            addresses: ['192.168.126.5/23']
        enp1s0f0:
            addresses: ['31.x.y.125/29']
            nameservers:
                addresses: [192.168.126.6, 8.8.8.8, 10.4.1.1, 10.4.1.2, 10.10.51.3, 10.10.52.3]
                search: [myorg.ru]
            routes:
              - to: default
                via: 31.x.y.121
              - metric: 5
                to: 10.4.0.0/16
                via: 31.x.y.121
        enp1s0f1:
            addresses: ['10.128.58.1/28']
            nameservers:
                addresses: [10.10.51.3, 10.10.52.3]
                search: [org.ru]
            routes:
              - metric: 40
                on-link: true
                to: 10.4.126.0/24
                via: 10.128.58.14
              - metric: 80
                on-link: true
                to: 10.0.0.0/8
                via: 10.128.58.14
              - metric: 100
                on-link: true
                to: 185.120.188.0/22
                via: 10.128.58.14


не знаю на сколько настройка правильна, но работает

Проблема заключается в следующем:
Оказалось, что наша вышестоящая организация открывает для нас не все ресурсы внутри своей сети и доступ к ним мы можем получить ТОЛЬКО из сети инет. т.е. например
mf.reb.org.ru, dsp.org.ru мы можем получить через интерфейс enp1s0f1
а stat.mef.org.ru, nsi.org.ru нам доступна Только через интерфейс enp1s0f1

Вот я и ломаю голову, как настроить сеть так, чтобы можно менять маршрут для конкретных сайтов.

ЗЫ. ходить по раб.станциям и менять hosts не очень охота. 

ппы. Сеть провайдера 10.4.0.0/16 (адрес 31.x.y.125 - это псевдореальный ip)
Сеть вышестоящей организации тоже 10.0.0.0

[bezbo]

поднят DNS

а что мешает в DNS указать правильные IP веб сервисов?

[BDmV]

Я не знаю правильных IP для зоны org.ru их я получаю с их внутренних DNS. И только если их DNS не отдаёт IP мне приходится его "пробивать" через инет и прописывать в hosts раб.станции (до того момента, когда их DNS заново начнёт отдавать нужный IP)

зы и если честно, то с настройками моего DNS тоже траблы... с внутренними именами и инетом он работает нормально. Но вот зону org.ru форвардить не желает.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

...
zone "myorg.ru" in {
type master;
file "/var/lib/named/master/myorg.ru.hosts";
notify yes;
allow-update { key rndc-key; };
    allow-transfer { slave; };
    allow-query { any; };
};
zone "126.168.192.in-addr.arpa" in {
type master;
file "/var/lib/named/master/192.168.126.0.rev";
allow-update {
key rndc-key;
};
        allow-transfer { slave; };
        allow-query { any; };
notify yes;
};

zone "org.ru" in {
type forward;
forwarders {
10.10.51.3;
10.10.52.3;
};
forward first;
};

nslookup mf.org.ru                                                                         
 ╤хЁтхЁ:  server6.myorg.ru
 Address:  192.168.126.6
*** server6.myorge.ru не удалось найти mf.org.ru: Server failed

nslookup mf.org.ru 10.10.51.3
╤хЁтхЁ:  KR01-DC-03.dp.org.ru
Address:  10.10.51.3
╚ь :     mf.org.ru
Address:  10.10.20.1

[AnrDaemon]

Нет такого понятия, как "трафик для домена". Есть "трафик на определённые подсети".
Пользователь добавил сообщение 28 Сентября 2023, 20:28:09:

Но вот зону org.ru форвардить не желает.

forward only;

10.x.x.x - это реальные адреса DNS?

[BDmV]

C forward`ом разобрался.
по совету всемирной паутины помог

dnssec-validation no;

Нет такого понятия, как "трафик для домена". Есть "трафик на определённые подсети".

Это я понимаю. Вот только не могу понять как сказать ubunte, что если пользователь лезет на сайт site1.org.ru то его адрес нужно получить с внешнего DNS сервера и направить через enp1s0f0 (например: для site1.org.ru внутренний DNS отдаёт 10.110.127.15, а внешний DNS 185.120.121.131 и по внешнему ip у меня доступ есть, а по внутреннему нет, но раб.станции я упорно получает ip с внутреннего dns (в настройках винды пришлось дописать внутренние DNS головной организации) и ubunta, естественно, трафик разворачивает на enp1s0f1)

10.x.x.x - это реальные адреса DNS?

Адреса реальные. Эти DNS`ки сидят внутри сети и отдают адреса работающих систем. Могут выдать белый адрес, а могут и серый, в зависимости от того для кого предназначена услуга.

[AnrDaemon]

если пользователь лезет на сайт site1.org.ru то его адрес нужно получить с внешнего DNS сервера

Никак. Имя домена имеет левое отношение к IP адресу.
Пользователь добавил сообщение 29 Сентября 2023, 20:23:29:

Адреса реальные. Эти DNS`ки сидят внутри сети и отдают адреса работающих систем. Могут выдать белый адрес, а могут и серый, в зависимости от того для кого предназначена услуга.

В смысле? Для вас какие адреса выдаются?
Вы сами им написать не можете, и уточнить их подсети?

[BDmV]

Никак. Имя домена имеет левое отношение к IP адресу.

Имя сайта я привожу к примеру.
Естественно IP этого сайта известен и внутренний и внешний.
И я не понимаю, как и почему в первую очередь проверяется внутренний DNS org.ru (в списке проверяемых на раб. станции он стоит последним)
и этот внутренний DNS отдаёт IP 10.110.x.y, который заблочен для меня.(заблочен конкретный адрес).
Если я на тот же сайт лезу с мобильника, то адрес получаю с внешнего DNS`а и нормально захожу.

зы. на своём DNS настроил forward зону на org.ru теперь и со своего сервера получаю внутренние адреса. Хотя хочется, для особо особо, получать внешние адреса и отправлять раб.станции, запрашивающие эти сайты на интерфейс провайдера, а не внутрь вышестоящёй организации

[AnrDaemon]

Настрой на сервере форвардинг так, как тебе надо. И не надо ковырять настройки раб. станций.

[BDmV]

Настрой на сервере форвардинг так, как тебе надо. И не надо ковырять настройки раб. станций.

Вот я и спрашиваю: "Как???", чтоб не ковырять раб. станции.
Инет завален инструкциями Как настроить netplan на 2 првайдера, один из которых Резервный.
Мне резервный не нужен, Мне нужен параллельно работающий, причём для определённой сети да ещё с исключениями.

[AnrDaemon]

При чём тут netplan ?

[BDmV]

При чём тут netplan ?

Так, вроде netplan в ubuntu отвечает за маршруты. И в нём прописываются какие сети куда направлять.
Ещё начитался, что каким-то образом маркируются пакеты и задействуется iptables.

ps. Вообщем я в этом во всём запутался и поэтому прошу помощи.

[F12]

Так, вроде netplan в ubuntu отвечает за маршруты.

https://netplan.io/

   ... собственно, что такое Netplan, как это работает и как этим пользоваться

[BDmV]

.. собственно, что такое Netplan, как это работает и как этим пользоваться

...это всё понятно, и что такое, конкретно netplan и как им пользоваться тоже понятно, даже есть структура netplan`а.
Не понятно, как развести две сети в разные стороны,
1. чтоб через шлюз 10.4.160.1 (31.x.y.121) уходил трафик в Инет (сеть провайдера 10.4.160.0) (провайдер выдал псевдореальные ip 31.x.y.125 и шлюз 31.x.y.121)
2. чтоб через шлюз 10.128.58.14 уходил трафик org.ru (сеть организации 10.0.0.0)
3. чтоб определённые адреса из сети org.ru уходили через шлюз 10.4.160.1

У меня сейчас получается: если сайт находится в org.ru и DNS из org.ru возвращает адрес инета 185.120.x.y, то пакеты идут в 10.128.58.14, а должны к провайдеру уходить в 10.4.160.1

ЗЫ. Мне непонятно, что куда прописать, чтоб работало по феншую. Что в .yaml прописать, что в iptables, может куда нить ещё. Или вообще такое не настраивается...

[AnrDaemon]

1. man ip-route
2. man dhcp-options
3. option routers
4. option ms-classless-static-routes
5. option rfc3442-classless-static-routes

[BDmV]

1. man ip-route
2. man dhcp-options
3. option routers
4. option ms-classless-static-routes
5. option rfc3442-classless-static-routes

Спасибо большое за помощь, но...
Если б я понимал как это всё можно использовать в моей конкретной ситуации, я бы здесь вопросов не задавал.
зы. и не совсем понятно, при чём тут DHCP он у меня выдаёт правильные настройки шлюза, DNS`ов и т.п.

ззы. да и вписывать каждый раз новый маршрут, удалять устаревшие... Вобщем менять маршрутизацию на раб.станциях, помоему тоже не кашерно, если только от безысходности.

зззы. Не знал, что через DHCP можно routing настраивать на рабах..