4 WAN в 1 LAN
-
@pigbrother к сожалению , сейчас нет времени писать много
как разгребусь с делами и соберусь с мыслями , обязательно напишу что и как -
@konstanti said in 4 WAN в 1 LAN:
как разгребусь с делами и соберусь с мыслями , обязательно напишу что и как
Буду (будем?) ждать.
-
@pigbrother
Пока нашел/вспомнил следущее
1 ссылка - это создание динамических правил для мобильных ipsec клиентов ( те
мы не знаем IP , которого получит клиент , но хотим ограничить ему доступ )https://forum.netgate.com/topic/139356/restrict-access-for-certain-vpn-users/
2 ссылка - это создание правила binat для фазы 2 ipsec туннеля , который позволяет нам использовать NAT в ipsec туннеле и добавлять сети , которых нет в списках TS (traffic selectors) и нет возможности влиять на удаленную сторону
https://forum.netgate.com/topic/140626/snat-from-openvpn-user-to-a-ipsec-tunnel-possible/
3 по поводу создания туннеля Site-to-site IPSEC , когда у инициатора нет постоянного ip , у меня осталась только картинка с теми изменениями , которые я вносил в VPN.INC , чтобы при настройке фазы 1 я мог бы вместо ip/доменного имени можно было использовать 'any', тогда в strongswan.conf параметр right = %any. (это на англ , потому что я делал это для пакистанца )
4 задачу ТС для этой ветки я решал/решил с помощью Netgraph , тут все непросто ( каждый случай индивидуален ) , но в любом случае , Netgraph - это то средство , которое позволяет менять/проверять содержимое IP, TCP/UDP пакета , до того как пакет попадет в лапки "pf". Например , тут есть ветка , где ТС хотел бы блокировать все DNS запросы к домену 'tv'.Вот такую задачу можно решить с помощью Netgraph , анализируя содержимое DNS запроса .
-
@konstanti Благодарю. Хоть IPSEC и использую по "остаточному принципу", ваши советы безусловно могут пригодиться.
-
@pigbrother
Скажу так , всегда интересно решать нестандартные задачи . Тем более такие , которые ,и на первый взгляд , кажутся не решаемыми , а на деле имеют решение . -
Всем доброго.
Прошу прощения что долго не отвечал, форс-мажор.
Итак:
Про спам и прочую ерунду, скажу что мимо. Придерживаюсь мнения что от этого страдают все стороны, да и много есть тем намного иффективней.
По поводу для чего, думаю это никак не поможет технической стороне вопроса.@konstanti said in 4 WAN в 1 LAN:
2 все-таки можно ли услышать/увидеть четкую задачу , которая ставится ????
Т.З.
Есть
1)PF 2.4.4 (LAN, WAN_3G1, WAN_3G2 ) Планируется (WAN_pppoe, WAN_3G3, WAN_3G4)
2)Два модема 3g (Huawei E171 - MTC) прошивка STIK
3)Машина с win7 и браузером Firefox (весит на LAN) (Планируется ещё две - четыре)Требуется
1)выход в сеть с машины(ин) через разные модемы.
2)смена модема и управление (вкл/выкл, перезапуск) по средствам ip:port(ip не важно, порты разные)
(в дальнейшем, но не обязательно + log/par)
3)Всё управление на стороне PF, на стороне клиента никакого доп. софта
4)Безопасность в плане (Firewall)При изменении в firefox (настройки прокси) ip:порт user должен выходить в сеть через разные модемы (WAN_3G).
Как альтернативный вариант, управлять модемами можно через web pf (страница интерфейсы).
@konstanti said in 4 WAN в 1 LAN:
Как будет выглядеть мое решение в связке с ppp + mpd5 + netgraph
Очень интересное решение.
В общих чертах представляю, но реализовать программно пока затрудняюсь. Мои познания в программировании и компиляции поверхностные (скрипты, макросы копипаст).
Что от меня требуется? -
@gena77
Хоть бы что-то новое((
Какая цель изменения IP для выхода в интернет?@gena77 said in 4 WAN в 1 LAN:
2)смена модема и управление (вкл/выкл, перезапуск) по средствам ip:port(ip не важно, порты разные)
(в дальнейшем, но не обязательно + log/par)Как-то слишком много на один пункт.
смена модема и управление (вкл/выкл, перезапуск) по средствам
WEB интерфейса присутствует из коробки. -
@scodezan said in 4 WAN в 1 LAN:
Какая цель изменения IP для выхода в интернет?
Цель изменение ip.
@scodezan said in 4 WAN в 1 LAN:
присутствует из коробки
Я в курсе, это если не получится реализовать что-то получше.
-
Значит нет ТЗ.
-
@gena77
Доброй ночи
Что от Вас требуется
1 прислать мне полный вывод команды ifconfig ( ip адрес Вашего интернет соединения мне нужен , но все остальное нужно )
2 cd /usr/local/
mkdir tmp
cd tmp
ngctl dot test.dot
3 /diagnostics/command prompt/download file
путь /usr/local/tmp/test.dot
4 выгруженный файл отправляете мне
5 еще мне нужен будет pcap файл любого трафика через ppp интерфейс (/diagnostics/packet capture)
6 дальше будем разбираться по ходу пьесыСразу предупреждаю - так как модемов у меня нет , то все эксперименты будете проводить сами на своем оборудовании (по инструкции )
и может быть так что ничего не получится -
This post is deleted! -
@konstanti
Как тут в PM написать, или чат и есть PM? -
@gena77
можете все скинуть на почту
konstanti197@gmail.com- мне нужен dot файл ( инструкцию см выше )
- pcap файл с обоих интерфейсов ppp
- еще нужен файл ( точно название не знаю ) , но , возможно находится в директории /var/etc/ - файл mpd_XXX.conf ( где XXX - название интерфейса ) - у Вас их должно быть 2 ( пришлите оба )
если не найдете , то командой find / -name "mpd_*.conf" должны найтись
еще мне нужен файл mpd.script - тоже должен находиться в этой же директории или тут /usr/local/sbin/
4 вывод команды ifconfig
-
@konstanti said in 4 WAN в 1 LAN:
можете все скинуть на почту
Хорошо, переставлю и сделаю. Нагородил что ничего не
работает, постараюсь завтра сделать.@konstanti said in 4 WAN в 1 LAN:
pcap файл с обоих интерфейсов ppp
Чтоб по каждому придётся отключать по очереди, или шлюз указывать. Иначе будет выход постоянно через один. Как лучше сделать?
-
@gena77
Укажите шлюз
Мне нужна структура пакетов, идущих через ppp соединение
Можете создать принудительное правило на Lan интерфейсе , чтобы трафик наружу пошел через любой ppp интерфейс, и его захватить.
По-моему , ничего отключать не надо
Работы много , напишите на почту , есть вопросы -
@konstanti
ок.