Помогите настроить сервер

[TED_7]

Доброго времени суток.
Настраиваю Ubuntu Server 14.04 LTS. На сервере 3 сетевые карты:
eth0 - смотрит в локальную сеть и собственно раздает интернет
etn1 - основной провайдер
eth2 - резервный
Настроил сетевые интерфейсы:
       

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

auto lo
iface lo inet loopback

# The  local network interface
auto eth0
iface eth0 inet static
   address 192.168.1.135
   netmask 255.255.255.0
#   gateway 192.168.0.155
   up ip route add 192.168.1.0/24 via 192.168.0.129

# The primary internet interface alesta
auto eth1
iface eth1 inet dhcp



#post-up /sbin/ip route add default via 192.168.0.155 table net_tattelecom

# The secondary internet interface multinet
auto eth2
iface eth2 inet dhcp
   post-up /etc/nat

Настроил нат:
   

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
 
#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
 
#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT
 
#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT
 
#Включаем NAT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE
iptables -t nst -A POSTROUTING -o eth2 -s 192.168.1.0/24 -j MASQUERADE
 
#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth1 -o eth0 -j REJECT

# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i eth0 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.135:3128

Все работает, инет есть и сервер его раздает. Стоит задача, при отсутствии инета с основного провайдера, автоматически переключаться на резервного и обратно. Тем на эту тему давольно много в интернете, нашел скрипт на баше и закинул его в cron (изменив его под себя, в шапке банально прописав свои IP):
 

(Нажмите, чтобы показать/скрыть)

#! /bin/bash

 MAIN=192.168.0.155
 SECOND=192.168.0.113
 HOST=8.8.8.8

 # Получаем текущий роутер по умолчанию.
 CURRENT=$(route -n | tail -1 | awk '{ print $2}')

 #echo $CURRENT

 # Проверяем, пингуется ли основной роутер.
 if ping -c4 $HOST > /dev/null 2>&1; then
 # echo "MAIN working"
   # Если пингуется, проверяем, является ли он
   # сейчас роутером по умолчанию.
   if [ $MAIN = $CURRENT ]; then
      # Если да, то просто выходим
      # echo "MAIN current. Exit"
      exit 0
   else
      # Если нет, то меняем маршрут на основной  роуер.
      # echo "MAIN not Current, switch yo MAIN"
      route del default 2> /dev/null
      route add default gw $MAIN
      logger "Default route switch to MAIN: $MAIN"
      # echo "Default route switched to MAIN: $MAIN"
      exit 0
   fi
 else
  # echo "MAIN not working"
   # Если MAIN не является маршрутом по умолчанию
   # Проверяем, является ли SECOND маршрутом по умолчанию.
   if [ $SECOND = $CURRENT ]; then
      # Если является, то ничего не далаем.
      # echo "Second = Current. Exit"
      exit 0
   else
      # Если не является, то меняем маршрут
      # на вспомогательный роутер/
      # echo "Second not Current. switch to Second"
      route del default 2> /dev/null
                route add default gw $SECOND
                logger "Default route switch to SECOND: $SECOND"
      # echo "Default route switched to SECOND: $SECOND"
                exit 0
   fi
 fi

Проверяю, выдернув кабель из eth1 - инета нет. Запускаю скрипт (предварительно дав ему права на исполнение sudo chmod 777 inet.sh):
sudo ./inet.sh
Но инета нет, включаю кабель на место, инета нет, только перезагрузка сервака. Подскажите что не так в скрипте или может быть в nat.
Заранее благодарен!

[fisher74]

Во-первых, правила в netfilter желательно грузить до подьёма физических интерфейсов, а потому предлагаю перенести команду на loopback-интерфейс
Во-вторых: если шлюз сам является прокси, то рекомендуется использовать действие REDIRECT, вместо DNAT (меньше нагрузки на ядро)

Теперь по сути вопроса: судя по переменным MAIN и SECOND у Вас неприятная ситуация, когда у двух провайдеров одинаковая подсеть. Причём в обоих случаях используется dhcp, а потому строка

Код: [Выделить]

route -n | tail -1 | awk '{ print $2}'может указывать на шлюз, полученный по dhcp последним.
А потому этот скрипт под Вашу ситуцию не подходит.

[TED_7]

Спасибо за быстрый ответ.
На самом деле это не адреса провайдеров, настраиваю сервер в своей подсети, дабы затем без потери времени поменять сервера на выходных. Подскажите, если я задам ip статикой, поможет ли это решить проблему? (хотя они останутся в одной подсети)

[fisher74]

Если "внешние" сетевые в одной подсети, то IP-адрес шлюза будет одинаков. А значит скрипт опять бесполезен.
Разным будет интерфейс.

Тут нужно для себя определиться что именно резервируется. Если физическое состояние состояние порта, то проблема решается буквально метрикой дефолтного шлюза для разных интерфейсов (учитывая статику это вообще беспроблемно). Если же на более высоких уровнях, тот тут уже нужно, конечно, скриптоваться.

[TED_7]

Извините не понял Вас....

У меня есть сервер, ПК и ноут, связаны через хаб, организована своя подсеть со статическими IP (192.168.1.*)
eth0 подключен к хабу (он и раздает инет).
eth1 и eth2 подключены к корпоративной сети имеют адресацию 192.168.0.* ("внешние")
Почему IP-адрес шлюза будет одинаковым? Ведь насколько я понимаю для моей подсети (192.168.1.*)
шлюзом выступает eth1 либо eth2 (которые действительно находятся в одной подсети, но имеют разные IP)?

[fisher74]

Вы себя путаете и других пытаетесь запутать.
Для Вашей сети щлюзом будет eth0. Про eth1 и eth2 Ваши подопечные вообще не знают и не будут знать (да и не нужно им это). Про вашу локалку вообще речь не идёт, с ней всё ясно.

Вы настраиваете внешнюю сеть, вот и давайте говорить про неё. eth1 и eth2 тоже в один коммутатор включены? Или это всё-таки совершенно разные сети и подсети?

[TED_7]

Я не пытался никого запутать, я сам запутался ))))))
Да действительно, шлюз будет eth0....
К сожалению, eth1 и eth2 действительно подключены к одному маршрутизатору D-Link и имеют единую подсеть.

[fisher74]

Можно спросить? Какова преследуется цель? Защита только витой пары? А стоит ли овчинка выделки?
И да, в таком случае решается метрикой.
Только вот если тот маршрутизатор лягет (зависон, питание и т.п.), то сети всё равно не будет... Резервирование тапочек - не более.

[TED_7]

Вообще преследуется цель заменить существующий сервак Windows Server 2008 + керио. На горячую настраивать нет возможности, предприятие работает и в выходные, поэтому было принято решение предварительно настроить и проверить сервер на Ubuntu. Необходимо, чтобы интернет был всегда, при отключении основного сервер переключается на резервный и обратно. В принципе, устроит и вариант с IP-балансировкой (объединение двух каналов), инструкцию нашел, буду пробовать.
Если честно, мне не понятно, почему интернет не появляется обратно....
Отбросим клиентские машины, рассмотрим только сервер. При отключении витой пары из интерфейса eth1 на серваке (эмулируем отключение инета с основного провайдера) пропадает интернет, не на клиентской машине а на серваке, скрипт отрабатывает интернета нет (спасибо, Вы объяснили почему не работает), затем я подключаю обратно витую пару в eth1 - интернет не появляется, запускаю скрипт - не появляется, только при перезагрузке начинает работать. Не смогли бы подсказать, почему интернет не появляется?

[bukass]

TED_7,
Если у основного и резервного провайдера сети разные (в смысле как сейчас?), почему не смоделировать ситуацию на стенде?

[TED_7]

bukass,
Да у провайдеров сети разные. Вас не затруднит, по-подробнее рассказать о стенде и каким образом можно смоделировать ситуацию? Буду благодарен!

[bukass]

TED_7,
Свич D-link как понял? Управление твое есть?

На самом деле вариантов несколько.
Пример, как сделал бы я:

Поднять на тестовой машинке на линуксе (подойтет и роутер микротик) два интерфейса на одном физическом - vlan 100 и vlan 101 повесить адреса на vlan100 192.168.1.1/24 на vlan101 192.168.2.1/24

Подключаем машинку с портом на котором висят вланы в 25 порт свича - Закидываем влан на свич

Код: [Выделить]

create vlan test t 100

Код: [Выделить]

config vlan test add tagged 25

Код: [Выделить]

config vlan test add untagged 1

Код: [Выделить]

create vlan test1 t 101

Код: [Выделить]

config vlan test1 add tagged 25

Код: [Выделить]

config vlan test1 add untagged 2

Все, в первом порту настройки сети 192.168.1.2 gw 192.168.1.1 mask 255.255.255.0
Во втором настройки сети 192.168.2.2 gw 192.168.2.1 mask 255.255.255.0

[TED_7]

Спасибо! Буду пробовать

[AnrDaemon]

Виртуалки отменили?…

[TED_7]

Доброго времени суток, хочу продолжить тему.....

Перенастроил сетевые интерфейсы:

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

auto lo
iface lo inet loopback

# The  local network interface
auto eth0
iface eth0 inet static
   address 192.168.2.135
   netmask 255.255.255.0
       
#   up ip route add 192.168.1.0/24 via 192.168.0.129

# The primary internet interface alesta
auto eth1
iface eth1 inet dhcp

#post-up /sbin/ip route add default via 192.168.0.155 table net_tattelecom

# The secondary internet interface multinet
auto eth2
iface eth2 inet dhcp
   post-up /etc/nat

Теперь eth0 имеит ip 192.168.2.135 (смотрит в локальную сеть), eth1 192.168.1.37, eth2 192.168.0.71
Немного подправил nat:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
 
#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
 
#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT
 
#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT
 
#Включаем NAT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.2.0/24 -j MASQUERADE
iptables -t nst -A POSTROUTING -o eth2 -s 192.168.2.0/24 -j MASQUERADE
 
#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#Запрещаем доступ снаружи во внутреннюю сеть
#iptables -A FORWARD -i eth1 -o eth0 -j REJECT

# Заворачиваем http на прокси
#iptables -t nat -A PREROUTING -i eth0 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.135:3128

Проверяю наличие инета только на сервере! Подключенные ПК вообще не трогаю.
Убираю кабель из eth1 - инет пропал. Запускаю скрипт: sudo ./inet.sh
Пробую пинговать :
ping 8.8.8.8

From 192.168.0.71 icmp_seq=1 Destination Host Unreachable
From 192.168.0.71 icmp_seq=2 Destination Host Unreachable
From 192.168.0.71 icmp_seq=3 Destination Host Unreachable
From 192.168.0.71 icmp_seq=4 Destination Host Unreachable
From 192.168.0.71 icmp_seq=5 Destination Host Unreachable
From 192.168.0.71 icmp_seq=6 Destination Host Unreachable

Да, скрипт тоже подправил:

(Нажмите, чтобы показать/скрыть)

#! /bin/bash

 MAIN=192.168.1.37
 SECOND=192.168.0.71
 HOST=8.8.8.8

 # Получаем текущий роутер по умолчанию.
 CURRENT=$(route -n | tail -1 | awk '{ print $2}')

 #echo $CURRENT

 # Проверяем, пингуется ли основной роутер.
 if ping -c4 $HOST > /dev/null 2>&1; then
 # echo "MAIN working"
   # Если пингуется, проверяем, является ли он
   # сейчас роутером по умолчанию.
   if [ $MAIN = $CURRENT ]; then
      # Если да, то просто выходим
      # echo "MAIN current. Exit"
      exit 0
   else
      # Если нет, то меняем маршрут на основной  роуер.
      # echo "MAIN not Current, switch yo MAIN"
      route del default 2> /dev/null
      route add default gw $MAIN
      logger "Default route switch to MAIN: $MAIN"
      # echo "Default route switched to MAIN: $MAIN"
      exit 0
   fi
 else
  # echo "MAIN not working"
   # Если MAIN не является маршрутом по умолчанию
   # Проверяем, является ли SECOND маршрутом по умолчанию.
   if [ $SECOND = $CURRENT ]; then
      # Если является, то ничего не далаем.
      # echo "Second = Current. Exit"
      exit 0
   else
      # Если не является, то меняем маршрут
      # на вспомогательный роутер/
      # echo "Second not Current. switch to Second"
      route del default 2> /dev/null
                route add default gw $SECOND
                logger "Default route switch to SECOND: $SECOND"
      # echo "Default route switched to SECOND: $SECOND"
                exit 0
   fi
 fi

Если опять воткнуть сетевой кабель в eth1 инет не появляется, только reboot
Подскажите, где ошибка?
Заранее благодарен.