использование нескольких каналов интернет

[meinung]

здравствуйте! всех  с Новым годом! 
  в общем  вот такой  вот сабж!
вопрос: каим образом можно явно задать, какой компьютер   с какого внешнего интерфейса должен  брать интернет.
знаю что вопрос поставлен  странно,    поэтому  позволю пояснить.
 существует сеть  10.117.254.0/255.255.255.0
 это   локальная сеть, соединяющаяя все   компьютеры, ADSL  модем. Модем настроен в режиме моста. на этом его роль заканчивается.  Один из компьютеров сети  работает в  роли маршрутизатора. На нем установлена UBUNTU-SERVER 11.10  когда на нем был подключен  один интерфейс для доступа в интернет  все работало идеально. теперь их 2 и я не могу заставить их работать. Вы скажете,  что в вики есть  соответсвующая тема, но моя задача несколько иная. при  необходимости  указывать компьютерам- клиентам из какого интерфейса  они  бут брать интернет с помощью  IP   
итак  список  интерфейсов
eth0 -локалка

Код: [Выделить]

ra0  беспроводная сеть
ppp10  основной  канал
ppp11  вторй канал когда  я поднял  2 PPP   все  рухнуло и  понятно почему.  не  настроены  роуты.
я думал,  что   помогут следующие записи:

Код: [Выделить]

iptables -t nat -A PREROUTING -s адреса  компьютеров, которые  надо подключить сюда  через запятую -o ppp10 -j MAQUERADE
  у кого есть какие  идеи ? заранее спасибо!

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:1e:8c:1c:f4:61 
          inet addr:10.117.254.4  Bcast:0.0.0.0  Mask:255.255.255.0
          inet6 addr: fe80::21e:8cff:fe1c:f461/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10892 errors:0 dropped:5 overruns:0 frame:0
          TX packets:11795 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1574719 (1.5 MB)  TX bytes:7184990 (7.1 MB)
          Interrupt:43 Base address:0x4000

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:4 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:240 (240.0 B)  TX bytes:240 (240.0 B)

ppp10     Link encap:Point-to-Point Protocol 
          inet addr:85.173.211.112  P-t-P:83.239.153.139  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:1468 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5176 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:707500 (707.5 KB)  TX bytes:446479 (446.4 KB)

ppp11     Link encap:Point-to-Point Protocol 
          inet addr:31.180.150.122  P-t-P:83.239.153.139  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:3 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:30 (30.0 B)  TX bytes:462 (462.0 B)

ra0       Link encap:Ethernet  HWaddr f0:7d:68:6d:5f:61 
          inet addr:10.117.0.1  Bcast:0.0.0.0  Mask:255.255.255.0
          inet6 addr: fe80::f27d:68ff:fe6d:5f61/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:78 errors:0 dropped:0 overruns:0 frame:0
          TX packets:151 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3276 (3.2 KB)  TX bytes:9801 (9.8 KB)
          Interrupt:19

(Нажмите, чтобы показать/скрыть)

#! /bin/bash
ethtool -s eth0 wol g
route add -host 83.239.139.242 dev eth0
route add -net 224.0.0.0/4 dev eth0
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o ppp10 -s 10.117.254.2,10.117.0.2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp11 -s 10.117.0.3 -j MASQUERADE
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -t filter -A INPUT -i ppp10,ppp11 -p tcp -m multiport --dports 445,84,137,138,139,83,80  -j DROP
iptables -t nat -A PREROUTING -p tcp -i ppp10,ppp11  --dport 8383 -j DNAT --to-destination 10.117.254.4:83
exit

забыл добавить, что  шлюзы у PPP соединений иногда меняются 

[fisher74]

Метим таблесами по source-адресу и маршрутизируем по меткам средствами iproute2
Понять механизм работы можно из местного wiki

[meinung]

 а  для  этого  нужно ведь ставить  дополнительные модули  к  таблзу ?!
 и как  еще  и  ra0   маршрутизировать мне не свосем   ясно(((

Код: [Выделить]

iptables -t mangle -A POSTROUTING -o pppx -m connmark --mark 0 -j ROUTE
  как   видно из   кода тут  нада  ROUTE   а как наложить патч на  ядро я не  знаю(

[Гарри Кашпировский]

Вообще-то тут надо две таблицы маршутизации создать, для каждого из провайдеров, например ISP1 и ISP2 (в /etc/iproute2/rt_tables). Кроме того, в таблице main, записывается два шлюза (nexthop).
Таблица main

Код: (text) [Выделить]

default
        nexthop dev ppp10 weight 1
        nexthop dev ppp11 weight 1Первая таблица (ISP1)

Код: (text) [Выделить]

default dev ppp10  scope linkВторая таблица (ISP2)

Код: (text) [Выделить]

default dev ppp11  scope link

Код: (text) [Выделить]

iptables -t mangle -A PREROUTING -s one_net/28 -j MARK --set-xmark 0x1 # маркируем первую сетку
iptables -t mangle -A PREROUTING -s two_net/28 -j MARK --set-xmark 0x2 # маркируем вторую сетку
ip rule add from $(внешн_ip_ppp10) table ISP1 # добавляем адреса ppp10 и ppp11, что бы пакет пришедший
ip rule add from $(внешн_ip_ppp11) table ISP2 # на них, уходил через эту же таблицу
ip rule add fwmark 0x1 table ISP1 # добавляем маркер первой сети в таблицу ISP1
ip rule add fwmark 0x2 table ISP2 # то же самое для второй сети в таблице ISP2
Вот примерно так, первая сеть - one_net пойдет через таблицу ISP1, вторая - two_net, через таблицу ISP2.
Для трёх провайдеров (или трех сетей) будет три таблицы и три марки, три шлюза в main, для четырёх - четыре и т.д.

[meinung]

про   команды на маркировку  понятно. а вот  с таблицами  я так и не могу  понять
  сразу  после объявления таблицы  писать  прямо в rt_tables  "default  dev ..."  или  надо в этой папке  создать файлы  с этим содержанием.  пс я понимаю  вопрос наиглупейший наверно, но я  просто хочу вникнуть, в  решаемый  сабж, и у меня    не особо  получается,  маскировку как  я понимаю  надо добавлять с учетом   того   на какой  ppp  вешается  клиент ?

[Гарри Кашпировский]

Сразу после объявления таблиц маршутизации в /etc/iproute2/rt_tables, надо записывать маршруты в эти таблицы.
К примеру пусть в /etc/iproute2/rt_tables будут две таблицы

Код: (text) [Выделить]

root@localhost:~# cat /etc/iproute2/rt_tables
#
# reserved values
#
255     local
254     main
253     default
252     ISP1 # 1-я
251     ISP2 # 2-я
0       unspec
Следовательно записываем

Код: (text) [Выделить]

ip r a default dev ppp10 t ISP1
ip r a default dev ppp11 t ISP2
ip r a default nexthop dev ppp10 weight 1 nexthop dev ppp11 weight 1И дальше маркируем и записываем правила прохождения пакетов (ip rule).
Поскольку внешние интерфейсы создаются демоном pppd, то автоматизировать весь процесс, в том числе переключение канала в случае падения одного из линков, лучше всего в /etc/ppp/ip-up|down.d/

маскировку как  я понимаю  надо добавлять с учетом   того   на какой  ppp  вешается  клиент ?

Совершенно верно. Только следует учесть что сети записываются как CIDR.
Например есть внутренняя сетка 192.168.0.0/24, делим на два:
192.168.0.0/25 - все клиенты пойдут через ISP1
192.168.0.128/25 - пойдут через ISP2
Вот так, нехитрыми манипуляциями можно получить решение, которое у известных брендов позицинируется как small enterprise solution.

[meinung]

маскировку как  я понимаю  надо добавлять с учетом   того   на какой  ppp  вешается  клиент ?

Совершенно верно. Только следует учесть что сети записываются как CIDR.
Например есть внутренняя сетка 192.168.0.0/24, делим на два:
192.168.0.0/25 - все клиенты пойдут через ISP1
192.168.0.128/25 - пойдут через ISP2
Вот так, нехитрыми манипуляциями можно получить решение, которое у известных брендов позицинируется как small enterprise solution.

вот  только сетей в ви де локалки у нас  2-е
ra0  и eth0.

[Гарри Кашпировский]

Это ничего не меняет. У меня, вообще три подсети в локалке.

[meinung]

огромное спасибо,  наконец-то  все понятным русским языком,  и так, как я хотел    оказалось что никого  метить не надо  все  заработало  на одной маскировке после того, как   протисал таблицы что  вы дали 

[fisher74]

Вообще-то изначально вопрос несколько иначе:

но моя задача несколько иная. при  необходимости  указывать компьютерам- клиентам из какого интерфейса  они  бут брать интернет с помощью  IP

В приведённом решении используется распределение траффика без указания "кому откуда брать"

[meinung]

опять  все рухнуло
 после  создания второй  записи
iptables -t nat -A POSTROUTING -o ppp10 -s 10.117.254.4,10.117.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp11 -s 10.117.254.5 -j MASQERADE
  теперь отказывается  работать  пока не  убью  один из PPP

meinung@ubuntu:~$ cat /etc/iproute2/rt_tables
#
# reserved values
#
255     local
254     main
253     default
252     ISP1
251     ISP2
0       unspec
#
# local
#
#1      inr.ruhep
meinung@ubuntu:~$

[AnrDaemon]

существует сеть  10.117.254.0/255.255.255.0
 это   локальная сеть, соединяющаяя все   компьютеры, ADSL  модем. Модем настроен в режиме моста.

Настройте сеть нормально, потом будем разговаривать дальше.
Модем вынести отдельно от локальной сети, либо переключить в режим роутера.

[meinung]

 а чем мешает наличие  модема  в одной  сети ?     у нас ведь есть  компьютер с Ubuntu    про него идет речь во всех клиентских компх  как  о  default gateway про модем из них никто не знает    даже и сама Ubuntu.
пожалуйста поясните    ваш  аргумент, утверждающий,  что   адсл  модем, находящийся со всеми  компьютерами  а одном сегменте  сети  мешает работе  указаных   правил!

[AnrDaemon]

ADSL модем  _в режиме бриджа_.
Учимся читать ответы полностью, а не агриться на первую фразу.

[meinung]

 и все равно я не понимаю чем вам  мешает ADSL modem  настроеный в режиме   моста, суть его настройки как раз состоит в возведении прозрачного моста между eth  и nas  интерфейсами модема (я  через тельнет подсмотрел )