Сваял вот такую сеть в своем небольшом офисе:
[img:hcywosbm]http://www.alxlabs.ca/temp/net.gif[/img:hcywosbm]
Тырнет подключен к компу с линухом, на компе 2 сетевых карточки. В качестве NAT и файрвола используется firestarter + dhcp3-server. Все это подключено к свитчу, за ним есть sip pbx + почта, поэтому и нужен NAT. Также имеются еще компьютеры в количестве 5 + 5 сип телефонов.
И тут понадобилось мне иметь доступ по VPN когда я снаружи где-то. Фигня вопрос, ставим pptp сервер, добавляем пользователя… и вот тут случилась торпеда — firestarter рубит vpn сервер хоть ты его топором. Я перерыл кучу форумов и понял что я не один. На официальном сайте firestartera написано что такая беда есть, дан патч… но он тоже не работает. Я перерыл кучу форумов и понял что этот патч тоже много у кого не заработал. Если firrestarter выключить, то все работает. Соответвенно хочу выкинуть firestarter, но тут есть дилемма.
1. Самое простое решение без изменения конфигурации есть настроить NAT и маскарадинг через iptables. Проблема в том, что я этого не делал ранее и это может занять время. А сеть можно ложить только ночью, а мне хочется спать.
2. Не морочить спину, и купить нормальный коммерческий раутер от циски.
Вопрос к all:
1. Реально ли настроить маскарадинг с айпитаблс за час-полтора? Учитывая что я никогда этого не делал но в сети полно туториалов?
2. Или ну его нафих, купить нормальный раутер. Вопрос: какой именно?
Нашел вот такой пример
[code:2qjh8ypo]
#!/bin/sh
#
# internet connection sharing wlan0 is the gate way
# eth0 is the lan port this might use a straight ethernet cable to a router wan port or a switch or a single PC
# 192.168.2.2 is the port that is being used by the lan for access I changed it to 192.168.2.254 and set fixed addresses for the wan and router
#
# change wlan0 to ppp0 and you can use this for mobile broadband connection sharing
#
ifconfig eth0 up"
ifconfig eth0 192.168.2.1
echo “1” > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o wlan0 -s 192.168.2.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i wlan0 -p tcp dport 3074 -j DNAT to-destination 192.168.2.2
iptables -t nat -A PREROUTING -i wlan0 -p udp -m multiport dports 88,3074 -j DNAT to-destination 192.168.2.2
iptables -A FORWARD -i wlan0 -d 192.168.2.2 -p tcp dport 3074 -j ACCEPT
iptables -A FORWARD -i wlan0 -d 192.168.2.2 -p udp -m multiport dports 88,3074 -j ACCEPT
[/code:2qjh8ypo]
Вопрос: эти строчки
[code:2qjh8ypo]
iptables -t nat -A PREROUTING -i wlan0 -p tcp dport 3074 -j DNAT to-destination 192.168.2.2
iptables -A FORWARD -i wlan0 -d 192.168.2.2 -p tcp dport 3074 -j ACCEPT
[/code:2qjh8ypo]
означают что порт 3074 будет отфорварден снаружи на 192.168.2.2:3074? Т.е. если у меняесть веб сервер на 192.168.2.3 то мне нужно сделать
[code:2qjh8ypo]
iptables -t nat -A PREROUTING -i wlan0 -p tcp dport 80 -j DNAT to-destination 192.168.2.3
iptables -A FORWARD -i wlan0 -d 192.168.2.3 -p tcp dport 80 -j ACCEPT
[/code:2qjh8ypo]
Я правильно понял? Чет сильно просто, делов на 10 минут… Или я чего-то не понял?
[quote:10kidwy6]1. Реально ли настроить маскарадинг с айпитаблс за час-полтора? Учитывая что я никогда этого не делал но в сети полно туториалов?
2. Или ну его нафих, купить нормальный раутер. Вопрос: какой именно?[/quote:10kidwy6]
1. Да.
2. 871 например, или ченить из 8ХХ серии. 1841 еще лучше. Если не горит и будешь в наших краях я посмотрю если у меня есть подходящий девайс.
Ну и готовься к траблам с SIP )
пасиб. А в чем будут траблы с SIP? У меня он вроде сейчас нормально работает за NAT, я просто отфорвардил порты как в мануале просили и вроде все ОК. Почему должны случится траблы если я поменяю NAT с firestarter на iptables? Вроде ж нужно только порты форварднуть? Или нет? если че — я пользую asterisk в качестве pbx.
alxlabs я тоже когда-то занимался подобным, FreeBSD, iptables, abills, а потом случайно набрёл на ClearOS. Для ваших целей самое оно =)
Стоит у нескольких клиентов. К ним стучусь через VPN и работаю.
Настройка системы через вебморду, не сложно.
[quote="Xeops":1os8tjys]alxlabs я тоже когда-то занимался подобным, FreeBSD, iptables, abills, а потом случайно набрёл на ClearOS. Для ваших целей самое оно =)
Стоит у нескольких клиентов. К ним стучусь через VPN и работаю.
Настройка системы через вебморду, не сложно.[/quote:1os8tjys]пасиб. Буду иметь ввиду. В моем конкретном случае не очень подойдет ибо прийдется под него еще один сервер выделять (у меня к гейтвеному серверу еще принтер и сканнер подключены сетевые, там еще кое что крутится). Уж лучше тогда купить раутер.
alxlabs ну насчёт пере адресации сканера (УСБ) в сеть я не скажу. Никогда не интересовался. А принтак через CUPS заработает как милый, там же и самба и АД авторизацию подхватывает. И даже почтовики можно развернуть, только до 20 (вроде не помню, потом надо платить).
Работает из коробки. Попробуйте на VirtualBox-е разверуть и потестить =)
[quote="Xeops":2fo9zoq6]alxlabs ну насчёт пере адресации сканера (УСБ) в сеть я не скажу. Никогда не интересовался. А принтак через CUPS заработает как милый, там же и самба и АД авторизацию подхватывает. И даже почтовики можно развернуть, только до 20 (вроде не помню, потом надо платить).
Работает из коробки. Попробуйте на VirtualBox-е разверуть и потестить =)[/quote:2fo9zoq6]
Только я сначала попробую iptables, ибо если быстро заработает, то это наименьшая головная боль из всех возможных 
а с clear os поиграюсь на досуге.
Мысль интересная и я ее думаю
[quote:2mxintwi]А в чем будут траблы с SIP? [/quote:2mxintwi]
— Сори они с NAT не связаны.
Причин 2. Обе зовуться QOS.
1) Внутри офиса у тебя нет qos, а значит как только 1 машина начнет интенсивно обмениваться трафиком то твоя телефония умрет. Ну скорее слышно будет но не все.
2) SIP через публичные сети не может быть гарантированым. Теже грабли. Только добавляется внешнее воздействие. И если с п1 ты еще жить както сможешь или исправить можешь то по п2 ты беспомощный.
Ну скажем так если офис не бизнес-критикал то ты будешь это все терпеть. Иногда даже будет нормально слышно. На 4ку в лучшем случае.
[quote="PIX":wafzo37j][quote:wafzo37j]А в чем будут траблы с SIP? [/quote:wafzo37j]
— Сори они с NAT не связаны.
Причин 2. Обе зовуться QOS.
1) Внутри офиса у тебя нет qos, а значит как только 1 машина начнет интенсивно обмениваться трафиком то твоя телефония умрет. Ну скорее слышно будет но не все.
2) SIP через публичные сети не может быть гарантированым. Теже грабли. Только добавляется внешнее воздействие. И если с п1 ты еще жить както сможешь или исправить можешь то по п2 ты беспомощный.
Ну скажем так если офис не бизнес-критикал то ты будешь это все терпеть. Иногда даже будет нормально слышно. На 4ку в лучшем случае.[/quote:wafzo37j]хмм… оно у меня сейчас на 5 работает, еще никогда проблем не было. Т.е. офис уже существует, у меня траблы тольйко с впн
[quote:fma63odw]у меня траблы тольйко с впн[/quote:fma63odw]
— Ну да сори. Я не про текущие траблы.
Кароче мораль такая — никогда не делать СИП через паблик в комерческих случаях.
Кстати протестить очень просто. Копируй какойнить большой файл а потом звони. Ну это когда поборешь свой vpn. Да циско рутер я могу тебе подарить.
[quote="PIX":3gnnxpa0][quote:3gnnxpa0]у меня траблы тольйко с впн[/quote:3gnnxpa0]
— Ну да сори. Я не про текущие траблы.
Кароче мораль такая — никогда не делать СИП через паблик в комерческих случаях.
Кстати протестить очень просто. Копируй какойнить большой файл а потом звони. Ну это когда поборешь свой vpn. Да циско рутер я могу тебе подарить.[/quote:3gnnxpa0]
Да нет, вроде не было проблем. У меня 20мбит внешний канал, его сложно загрузить так, чтоб для звука места не осталось. А в поганом firestartere мож QoS какой по дефолту есть???… надо глянуть manual… чем черт не шутит, а то вдруг потому и работает.
[quote:rw96niow]У меня 20мбит внешний канал, его сложно загрузить так, чтоб для звука места не осталось[/quote:rw96niow]
— Дело не только в этом. Ты прости что я тебя от иптайблс отвлекаю )
Приоретизация пакетов. Войсовые пакеты чувствительны к задержкам и буферизации. Когда у тебя 10мбит будут загружены то пакеты встанут в очередь и будет fifo. Так вот с fifo ты можешь побороться и запустить cbwfq на своей стороне. Теперь пакеты уходят в паблик и там никто ничего делать не будет. Соответственно твои пакеты в шаре с другими и не только твоими.
Получается жопа. Иногда да иногода нет. Решения нет кроме как делать выделенку с сип сервером или полумера которая для soho наверное годиться — располагать сервер как можно ближе к твоей сети.
Вообщем не парься, если ты доволен голосом то все ок.
Это я понимаю. Но тут все зависит от внешней сети в данном случае. Как ты его не выкрути а сип пакеты все равно уйдут наружу и в какое файфо они там встанут я не могу сказать… равно как и сделать ничего не могу.
В сервак 3 сетевушку воткни и СИП напрямую туда вгони. Нормальный биллинг сервак поставить и QoS на серваке разрулит всё по правилам.
Заодно и ВПН на входе настроишь.
Я уже говорил в сторону какого продукта можешь посмотреть. Благо для небольшой конторки без апдейтов — фри.
[quote:2loox6yc]1. Реально ли настроить маскарадинг с айпитаблс за час-полтора? Учитывая что я никогда этого не делал но в сети полно туториалов?
[/quote:2loox6yc]
Реально. Дерзайте, пригодиться всегда.
[quote:10iqqgyi]В сервак 3 сетевушку воткни и СИП напрямую туда вгони. Нормальный биллинг сервак поставить и QoS на серваке разрулит всё по правилам. [/quote:10iqqgyi]
— Это частично поможет.
[quote:10iqqgyi]Но тут все зависит от внешней сети в данном случае. Как ты его не выкрути а сип пакеты все равно уйдут наружу[/quote:10iqqgyi]
— Ну так я о чем и начал. Если это нешибко важный бизнес то да, молимся и радуемся дешевизне сипа. Если чуть поважнее рано или поздно будешь делать выделенку до провайдера. Если еще важнее то про сип прийдется забыть. (я не против сипа в принципе но увы на паблике он только дома годиться да и то с натяжкой)
Ну не знаю, не знаю. В моей первой конторе было около 1000 человек, телефония была только сип, причем по одной сетке. Езернет кабель втыкался в тилипон, а десктоп втыкался в тилипон, тилипон был хабом… и наружу был сип. Вроде хорошо работало, перебоев или плохого голоса не припомню. Причем у командиовочных на лептопах был софтовый тилипон, я в командировках по впну ходил в корпоративную сеть и звонил… не припомню чтоб неюзабельно было.
[quote:3nhbhh82]Ну не знаю, не знаю[/quote:3nhbhh82]
— Ты сомневаешься или не знаешь )))
[quote:3nhbhh82]В моей первой конторе было около 1000 человек, телефония была только сип, причем по одной сетке.[/quote:3nhbhh82]
— Угу, только скорее всего там был QOS и выделенка до сип сервера. Нормальные компании не продадут тебе сип без выделенки кстати — см например аллстрим.
[quote:3nhbhh82]Езернет кабель втыкался в тилипон, а десктоп втыкался в тилипон, тилипон был хабом.[/quote:3nhbhh82]
— Это стандарт для энтерпрайза.
[quote="PIX":8pn3gsxm][quote:8pn3gsxm]Ну не знаю, не знаю[/quote:8pn3gsxm]
— Ты сомневаешься или не знаешь )))
[quote:8pn3gsxm]В моей первой конторе было около 1000 человек, телефония была только сип, причем по одной сетке.[/quote:8pn3gsxm]
— Угу, только скорее всего там был QOS и выделенка до сип сервера. Нормальные компании не продадут тебе сип без выделенки кстати — см например аллстрим.
[quote:8pn3gsxm]Езернет кабель втыкался в тилипон, а десктоп втыкался в тилипон, тилипон был хабом.[/quote:8pn3gsxm]
— Это стандарт для энтерпрайза.[/quote:8pn3gsxm]
Накручено было шо твоя дивизия. У нас было с десяток офисов по 50-200 человек в каждом. Офис в Торонто имел локальный транк в Торонто. Офис на Тайване имел транк на Тайване. Когда я звонил по локальному номеру в Торонто, то ессно работало через торонтойский транк, но когда я из Торонто звонил кастомеру в Китай, то оно раутилось по инету в Тайваньский офис, в Тайване через тайваньский транк звонок терминейтился в Китае… Бывали затыки при таком раскладе, но не очень серьезные, все было юзабельно.
ПС настроил айпитаблы за 15 минут… нафига я вообще с файрстартером связывался…
[quote:21nnvch5]Накручено было шо твоя дивизия[/quote:21nnvch5]
— А где накрученость? Типичная схема для небольшой распределенной компании. Ты так сказал что я понял 1000 человек в 1 локайшене.
[quote:21nnvch5]Офис в Торонто имел локальный транк в Торонто.[/quote:21nnvch5]
— Что есть транк? Есть это PRI то вопрос сразу снят. Если SIP транк тогда вопрос какой линк до провайдера.
[quote:21nnvch5]когда я из Торонто звонил кастомеру в Китай, то оно раутилось по инету в Тайваньский офис, [/quote:21nnvch5]
— Ты уверен что оно раутилось по инету а не через Ваш MPLS например?
[quote="PIX":3exz3by9][quote:3exz3by9]Накручено было шо твоя дивизия[/quote:3exz3by9]
— А где накрученость? Типичная схема для небольшой распределенной компании. Ты так сказал что я понял 1000 человек в 1 локайшене.
[quote:3exz3by9]Офис в Торонто имел локальный транк в Торонто.[/quote:3exz3by9]
— Что есть транк? Есть это PRI то вопрос сразу снят. Если SIP транк тогда вопрос какой линк до провайдера.
[quote:3exz3by9]когда я из Торонто звонил кастомеру в Китай, то оно раутилось по инету в Тайваньский офис, [/quote:3exz3by9]
— Ты уверен что оно раутилось по инету а не через Ваш MPLS например?[/quote:3exz3by9]a мплс разве не через tcp/ip делается между двумя континентами? Выделенка от Торонто то Тайваня будет много стоить…
[quote:2upmjbqg]a мплс разве не через tcp/ip делается между двумя континентами[/quote:2upmjbqg]
— мплс делается через телко. условно говоря там тоже есть tcp/ip как и везде практически в нашем мире… Но это не паблик сеть. Вообщем трафик там подконтролен от точки до точки (если настроен)
[quote:2upmjbqg]Выделенка от Торонто то Тайваня будет много стоить[/quote:2upmjbqg]
— Дешевле паблик — vpn через интернет. Много дешевле. Без гарантий.
Особые приколы случаются иногда (но редко тьфу тьфу) когда траблы у провайдеров по дороге. Тогда ты ниче сделать не можешь ибо твой провайдер в Торонто не виноват и провайдер скажем в Тайване тоже. Как правило такие приколы вызвают отсутствие связи с целыми континентами.