сервер ubuntu и 2 провайдера

[AnrDaemon]

maleo, вы топик вообще читали? Я дал ссылку на рабочее решение.

[maleo]

maleo, вы топик вообще читали? Я дал ссылку на рабочее решение.

Куда-то в ЖЖ?
Открыл, так и висит, видимо, в соседних вкладках.
Ща пойду, почитаю...

Не, прям ща не пойду! В понедельник!
ВСЕХ С ПРАЗДНИКОМ!!!

[Sliver]

Я дал ссылку на рабочее решение.

Я что-то пропустил ?
Настроил по ссылке два рррое соединения, но с одним провайдером с одинаковым DNS. Установил в качестве шлюза по умолчанию IP первого рррое соединения, при этом инет есть и реальный IP доступен из инета. Но когда устанавливаю в качестве шлюза по умолчанию реальный IP второго рррое соединения, то конфигурация сбивается, рррое выдаёт вместо реального IP какой-то внутренний IP вместо реального, инет пропадает и не один реальный адрес не доступен из инета. Подозреваю, что данная проблема связана с тем, что в настройках второго рррое соединения закомментирован параметр defaultroute.
Подскажите, как правильно настроить оба рррое соединения для последующей конфигурации с балансировкой каналов при помощи Shorewall? Стандартная утилита pppoeconf не позволяет этого выполнить и зависает на первом найденном коммутаторе рррое.
Заранее спасибо .

[AnrDaemon]

https://forum.ubuntu.ru/index.php?topic=194890.msg1948684#msg1948684
Пользователь решил продолжить мысль 25 Февраля 2015, 20:27:10:

Стандартная утилита pppoeconf

…не имеет никакиго отношения к роутингу.

[Sliver]

AnrDaemon, к сожалению к настройке роутинга не могу приступать, пока не разберусь с настройками сетевых интерфейсов .
Я прочёл множество материалов по настройке балансировки каналов и переключения на резервный, но ни в одном нет подробной информации, как настроить несколько рррое и несколько DHCP интернет-подключений. Везде только варианты со статическими IP и в основном серыми. Знаю, как настроить на каком-то MicroTik или Cisco, но для Linux Ubuntu Server и вообще для Linux нет примера нескольких подключений кроме статических IP. Я уже заплатил за дополнительное рррое подключение, что бы избавиться от DHCP одного из провайдеров, но решения всё нет. Все предлагают решения с настройкой роутинга маркировкой пакетов или настройкой метрик, но никто ничего не говорит про случай, если интернет соединения не по средствам статических IP.
При помощи ppppoeconf пытался настроить этим мастером два своих соединения, но он пишет, что могут возникнуть ошибки и отрубается .

[koshev]

Sliver, вы нигде не найдёте таких примеров, потому что это частные случаи. Однако могу сказать, что работать будет независимо от типа подключения, хоть бы DHCP+DHCP,DHCP+PPP,PPP+PPP. Это не имеет ровно никакого значения.
Для всех этих комбинаций используются вспомогательные скрипты в /etc/ppp/ip-{up,down}.d/ либо в /etc/dhcp/dhclient-{enter,exit}-hooks.d/ откуда и берут значения динамически присвоенных атрибутов сети. Решение вопроса с резервированием и балансировкой зависит только от Вас, тем более что готовые решения, как Вы понимаете, стоят несколько больше чем "на шару".

[AnrDaemon]

AnrDaemon, к сожалению к настройке роутинга не могу приступать, пока не разберусь с настройками сетевых интерфейсов .
Я прочёл множество материалов по настройке балансировки каналов и переключения на резервный, но ни в одном нет подробной информации, как настроить несколько рррое и несколько DHCP интернет-подключений.

Потому что настройка интерфейсов не имет никакого отношения к роутингу.

Знаю, как настроить на каком-то MicroTik или Cisco, но для Linux Ubuntu Server и вообще для Linux нет примера нескольких подключений кроме статических IP.

Настройка ничем не отличается вообще. Маршрутизация - она и в африке маршрутизация.

Я уже заплатил за дополнительное рррое подключение, что бы избавиться от DHCP одного из провайдеров

Смешно.

Все предлагают решения с настройкой роутинга маркировкой пакетов или настройкой метрик, но никто ничего не говорит про случай, если интернет соединения не по средствам статических IP.

Нет никакой разницы.

При помощи ppppoeconf пытался настроить этим мастером два своих соединения, но он пишет, что могут возникнуть ошибки и отрубается .

Естественно. Ибо ppoeconf - тупой скрипт для простых случаев.
Ваш случай далёк от простых, и простые решения тут не сработают.

[Sliver]

тем более что готовые решения, как Вы понимаете, стоят несколько больше чем "на шару".

Спасибо за пояснения, а то ни как не мог понять, почему для всего есть решение, а под Linux во всем инете ни слова .

Нет никакой разницы.

Может и так... Два рррое соединения мне поднять удалось. Но не могу понять, нужен ли вообще параметр defaultroute или его надо везде убрать для случая, когда маршрутизация будет настроена при помощи Shorewall? Инструкцию к Shorewall изучил подробно, но к сожалению в примерах там тоже про параметр defaultroute ни слова .

[AnrDaemon]

Везде убрать.
шорвал к роутингу тоже не имеет прямого отношения.

Не пытайтесь найти одно решение для всех проблем. Это Linux, тут комбайны не в почёте.

У вас три проблемы (ну ладно, две проблемы и одна задача)

1. Работа интерфейсов.
2. Фильтрация трафика
3. Маршрутизация.

Каждая задача решается своим инструментом.
И, да, верните DHCP - это предпочтительный вариант настройки интерфейсов, всегда.

[Sliver]

Настроил Shorewall 4.4.6 следующим образом:
Сетевые зоны для фаервола fw, провайдера net, локалки loc, виртуальных машин kvm, реальной подсети ip адресов bgp /etc/shorewall/zones:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#ZONE IPSEC OPTIONS IN OUT
# ONLY OPTIONS OPTIONS
fw firewall # Firewall
net ipv4 # ISP
loc ipv4 # Network
kvm ipv4 # Virtual Machines
bgp:net ipv4 # Сеть IP от провайдера

Сетевые интерфейсы eth0 и мост br0 для доступа к виртуальной машине, пока ненастроенные интерфейсы eth1 и eth2 для реальной подсети IP адресов по двум каналам, поднятые рррое-соединения ppp0 и ppp1 по тем же каналам, а также локальный интерфейс eth3, смотрящий в локальную сеть, но в будущем планируется для поднятия третьего канала второго провайдера/etc/shorewall/interfaces:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#ZONE INTERFACE BROADCAST OPTIONS
kvm eth0
bgp eth1
bgp eth2
loc eth3 - dhcp
kvm br0 detect routeback
net ppp0 detect
net ppp1 detect

Провайдеры isp1 и isp2, точнее два оптоволоконных канала связи одного провайдера, но есть ещё один, который пока не описан в /etc/shorewall/providers:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#NAME NUMBER MARK DUPLICATE INTERFACE GATEWAY OPTIONS COPY
isp1 1 1 main ppp0 80.250.230.117 track,balance
isp2 2 2 main ppp1 80.250.250.113 track,balance

Политика обработки пакетов по умолчанию /etc/shorewall/policy:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#SOURCE DESTINATION POLICY LIMIT:BURST
net net DROP
fw all ACCEPT
kvm all ACCEPT
loc all ACCEPT
all all REJECT

Правила фаервола /etc/shorewall/rules:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT(S) PORTS(S) DEST
ACCEPT all all udp domain
ACCEPT all all tcp 20000
ACCEPT all all tcp 10000
ACCEPT all all tcp https
ACCEPT all all tcp http
ACCEPT all all tcp imaps
ACCEPT all all tcp imap
ACCEPT all all tcp pop3s
ACCEPT all all tcp pop3
ACCEPT all all tcp ftp-data
ACCEPT all all tcp ftp
ACCEPT all all tcp domain
ACCEPT all all tcp submission
ACCEPT all all tcp smtp
ACCEPT all all tcp ssh


Ну и самое главное, настройка маршрутизации через два канала, в котором прописаны маршруты с локального интерфейса eth3 через первое isp1 и второе isp2 рррое-соединение с приоритетом 1000 /etc/shorewall/route_rules:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#SOURCE DEST PROVIDER PRIORITY
eth3 - isp1 1000
eth3 - isp2 1000

Настройка рррое-соединения для первого канала /etc/ppp/peers/isp1

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Minimalistic default options file for DSL/PPPoE connections

noipdefault
#defaultroute
#replacedefaultroute
hide-password
#lcp-echo-interval 30
#lcp-echo-failure 4
noauth
persist
mtu 1492
persist
#maxfail 0
#holdoff 20
unit 0
plugin rp-pppoe.so eth1
usepeerdns
user "user1"

Для второго канала /etc/ppp/peers/isp2

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Minimalistic default options file for DSL/PPPoE connections

noipdefault
#defaultroute
#replacedefaultroute
hide-password
#lcp-echo-interval 30
#lcp-echo-failure 4
noauth
persist
mtu 1492
persist
#maxfail 0
#holdoff 20
unit 1
plugin rp-pppoe.so eth2
usepeerdns
user "user2"

Настройка сетевых интерфейсов Linux /etc/network/interfaces:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# This file describes the network interfaces available on your syste
# and how to actvate them. For more information, see interfaces(5).

# The loopback network interface
auto lo br0 eth0 eth1 eth2 eth3 isp1 isp2
iface lo inet loopback

# The primary network interface
iface eth0 inet manual

iface br0 inet static
address 192.168.0.254
netmask 255.255.255.0
network 192.168.0.0
bridge_ports eth0

iface eth1 inet manual

iface eth2 inet manual

iface isp1 inet ppp
pre-up /sbin/ifconfig eth1 up # line maintained by pppoeconf
provider isp1

iface isp2 inet ppp
pre-up /sbin/ifconfig eth2 up # line maintained by pppoeconf
provider isp2

iface eth3 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255
network 192.168.0.0


Локальные маршруты Linux ip route show:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

80.250.220.55 dev ppp0  proto kernel  scope link  src 80.250.230.117
80.250.220.56 dev ppp1  proto kernel  scope link  src 80.250.250.113
192.168.0.0/24 dev eth3  proto kernel  scope link  src 192.168.0.1
192.168.0.0/24 dev br0  proto kernel  scope link  src 192.168.0.254

При запуске shorewall выдаётся следующая ошибка:

Код: [Выделить]

Adding Providers...
RTNETLINK answers: File exists
   ERROR: Command "ip -4 route add table 1 192.168.0.0/24 dev br0 proto kernel scope link src 192.168.0.254" Failed
Running /sbin/iptables-restore...
Terminated Как заставить shorewall работать?
Схема сервера прикреплена

[koshev]

Не очень понятно почему был выбран именно Шоревалл. Ну да ладно. Я, например, никогда им не пользовался и не очень хорошо себе представляю его работу, но предполагаю, что это вся та же надстройка над iptables и ip.
Сразу бросилось в глаза наличие двух сетей с одинаковой адресацией на eth3 и br0, это не есть хорошо.
Давайте попробуем показать команды, которые более менее понятны.
ip -4 route show table all type unicast
ip rule show
iptables-save

[Sliver]

но предполагаю, что это вся та же надстройка над iptables и ip.

Именно так, только iptables2 и iproute2. Пытался обойтись без Shorewall с использованием настройки роутинга для multiple uplinks, но у меня два рррое-соединения и мне не ясно, какую подсеть и через какой шлюз маршрутизировать пакеты, т.к. при подключении рррое выдаётся реальный IP, а шлюз P-t-P постоянно меняется при перезагрузке сервера или перезапуске сети .

Сразу бросилось в глаза наличие двух сетей с одинаковой адресацией на eth3 и br0, это не есть хорошо.

Интерфейс eth3 планирую перестроить для ещё одного канала всязи от второго провайдера, который выдает одинаковый реальный IP по DHCP. А пока его пришлось поднять для доступа к серверу через локальную сеть, т.к. поднятый мост br0 с адресом локальной сети от ненастроенного интерфейса eth0 позволяет получать доступ только к виртуальным машинам, управляемым Cloudmin, но не к самому Ubuntu Server LTS 10.04.4 . Через инет доступа тоже пока нет, т.к. не установлен шлюз по умолчанию.

ip -4 route show table all type unicast

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@ubuntu:~# ip -4 route show table all type unicast
80.250.220.56 dev ppp0  proto kernel  scope link  src 80.250.230.117
80.250.220.57 dev ppp1  proto kernel  scope link  src 80.250.250.113
192.168.0.0/24 dev eth3  proto kernel  scope link  src 192.168.0.1
192.168.0.0/24 dev br0  proto kernel  scope link  src 192.168.0.254


ip rule show

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@ubuntu:~# ip rule show
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default


iptables-save

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@ubuntu:~# iptables-save
# Generated by iptables-save v1.4.4 on Thu May 28 11:34:46 2015
*filter
:INPUT ACCEPT [1504193:743805214]
:FORWARD ACCEPT [57847:14887383]
:OUTPUT ACCEPT [220473:331168930]
COMMIT
# Completed on Thu May 28 11:34:46 2015
# Generated by iptables-save v1.4.4 on Thu May 28 11:34:46 2015
*mangle
:PREROUTING ACCEPT [1969075:900859121]
:INPUT ACCEPT [1647635:873045474]
:FORWARD ACCEPT [68654:15922928]
:OUTPUT ACCEPT [290948:438085063]
:POSTROUTING ACCEPT [359602:454007991]
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu May 28 11:34:46 2015


P.S. В инете пишут, что ошибка связана конечно же с присутствием нескольких шлюзов по умолчанию, но если удалить определённые маршруты вручную и запустить снова shorewall, ошибка снова выдается.

[koshev]

Пытался обойтись без Shorewall с использованием настройки роутинга для multiple uplinks, но у меня два рррое-соединения и мне не ясно, какую подсеть и через какой шлюз маршрутизировать пакеты, т.к. при подключении рррое выдаётся реальный IP, а шлюз P-t-P постоянно меняется при перезагрузке сервера или перезапуске сети .

Вам в Вашем случае маршрутизация нужна только через интерфейс.

Код: [Выделить]

ip route add default dev $PPP_IFACE table {a,b,c}Даже если удалённый шлюз имел бы какое-либо значение, найти его можно в /etc/ppp/ip-up под переменной $PPP_REMOTE и использовать вместе с $PPP_IFACE в /etc/ppp/ip-{up,down}.d/scriptname.

(Нажмите, чтобы показать/скрыть)

Код: (bash) [Выделить]

#!/bin/sh

# file /etc/ppp/ip-up.d/scriptname

# my variables
isp1=myname
isp2=myname2
tbl1=mytable1
tbl2=mytable2
BGP_NET1=
BGP_NET2=

case $PPP_IPPARAM in
       $isp1)
         # first uplink. Default route
         ip route add default dev $PPP_IFACE table $tbl1
         ip route add default dev $PPP_IFACE table default metric 10
         ip rule add from $PPP_LOCAL table $tbl1
         ip rule add $BGP_NET1 from table $tbl1
       ;;
       $isp2
         # second uplink. Reserve.
         ip route add default dev $PPP_IFACE table $tbl2
         ip route add default dev $PPP_IFACE table default metric 20
         ip rule add from $PPP_LOCAL table $tbl2
         ip rule add from $BGP_NET2 table $tbl2
       ;;
       *)
         exit 1
       ;;
esac

exit $?

Код: (bash) [Выделить]

#!/bin/sh

# file /etc/ppp/ip-down.d/scriptname

# my variables
isp1=myname
isp2=myname2
tbl1=mytable1
tbl2=mytable
BGP_NET1=
BGP_NET2=

case $PPP_IPPARAM in
       $isp1)
         ip rule del from $PPP_LOCAL table $tbl1
         ip rule del from $BGP_NET1 table $tbl1
       ;;
       $isp2)
         ip rule del from $PPP_LOCAL table $tbl2
         ip rule del from $BGP_NET1 table $tbl2
       ;;
       *)
         exit 1
       ;;
esac

exit $?Как видите, никакой шоревал тут не нужен.

пока его пришлось поднять для доступа к серверу через локальную сеть, т.к. поднятый мост br0 с адресом локальной сети от ненастроенного интерфейса eth0 позволяет получать доступ только к виртуальным машинам, управляемым Cloudmin, но не к самому Ubuntu Server LTS 10.04.4 .

Совершенно неважно. У Вас СЕЙЧАС две ОДИНАКОВЫЕ сети.
И да, шоревалл у вас похоже не работает, увы тут ничего подсказать не могу.

[Sliver]

Даже если удалённый шлюз имел бы какое-либо значение, найти его можно в /etc/ppp/ip-up под переменной $PPP_REMOTE и использовать вместе с $PPP_IFACE в /etc/ppp/ip-{up,down}.d/scriptname.

Благодарю за Ваше подробнейшее пояснение в настройке маршрутизации рррое-соединений. Со вчерашнего вечера пытаюсь уяснить весь синтаксис работы скрипта из примера и связать с Вашей статьёй про BIRD . В папке /etc/ppp/ip-up.d/ обнаружил и другие скрипты, в частности 0dns-up, теперь понятно, кто на моём сервере вбивает DNS провайдера при подключении
Единственное пока не уяснил, в таблице маршрутизации /etc/iproute2/rt_tables необходимо объявлять таблицы из примера с именем tbl1 и tbl2 или mytable1 и mytable2? Присвоенные имена myname1 и myname2 переменным isp1 и isp2 - имя рррое-соединений, лежащие в /etc/ppp/peers/ ? Параметры BGP_NET1 и BGP_NET2 - реальная подсеть адресов, маршрутизируемая по каналу рррое?

[AnrDaemon]

Имена таблиц значения не имеют.
Это просто символьные метки для облегчения написания скриптов.