Объясните пожалуйста, есть задача: Дано:
Есть провод интернета, есть сервер(комп с двумя сетевыми картами и впном), роутер, свитч и много компов! Задача:
Нужно что бы интернет был подключен к серверу с впном, далее от сервера уже в роутер, с другой сетевой карты, далее с роутера на свич(все это с кабелей) и со свитча уже на все остальные компы!
Проблема в том, что сервер интернет видит на одной сетевой карте, а со второй карты не раздает на роутер... Как быть? Как все грамотно сделать? Подскажите плс!
Мне кажется нужно трезво оценивать свои возможности в этом направление.
Если вы не понимаете базис то вам наверное нужно другое решение. ( это не желание обидеть а констатация)
1. есть миллион отличный сборок фареволов на *nix, с графическим интерфейсом и юзер френдли.
типа monowall и pfsense.
Выбирайте и пользуйте.
А то что у вас будет линукс которым вы не умете пользоваться, смысл от этого какой ??? линукс это просто ОС не больше не меньше.
2. Не ищите сложных путей, любой слабенький маршрутизатор справится со всеми этими задачами. А главное будет куда надежнее вашего решения.
3 Ищите обходные пути, ваше сетевое хранилище в офисе тоже на линуксе, и там две сетевые карты, и там есть как права на ваших пользователей так и впн и все что угодно, все это можно сделать и на нем притом в графическом исполнение.
4. четко сформировать тз и требования к этому оборудованию, полный перечень задач, и скорее всего под это будет сразу найдено решение.
Виктор Таран, Уважаемый, друг, линуксом пользоваться я умею, точнее на басик уровне! Мне нужно что бы трафик шел изначально в линукс, на котором впн, далее на роутер а с роутера уже на свич и пошло поехало. При подключении данной конструкции интернет вообще пропадает :(
Это не моя прихоть. Нужно сделать, иначе край....
Мне нужно что бы трафик шел, а не защита, понимаете?
Подключите провод в сетевую карту enp5s0 (которая для Internet), сделайте ifup enp5s0 (если он сам атоматически не поднялся, проверять через ifconfig enp5s0, искать "state UP"), и потом пробуйте ping 8.8.8.8.
s3kb3k, насколько я вижу, ничего для вашей задачи на этом сервере не настроено.
воткните кабель в enp5s0, сделайте ifconfig enp5s0 up, назначьте этому адаптеру корректный IP-адрес. если это адаптер к провайдеру - адрес, выданный провайдером, если в сторону роутера смотрит - адрес из общей с роутером подсети.
сделайте echo 1 > /proc/sys/net/ipv4/ip_forward, чтобы на сервере заработала маршрутизация между сетями/интерфейсами.
настройте NAT на сервере, например, как описано тут: https://the-bosha.ru/2010/06/05/prosetishiy-nat-v-...
1. Настраиваете сетевые карты вручную без всяких DHCP, соответственно на внешней карте настраиваете на свой ВПН ну или как Вы там планируете и имеет внешний IP от провайдера... Вторая карта смотрит во внутреннюю сеть и имеет локальный IP
2. Настраиваете проброс трафика между двумя сетевыми картами, т.е. разрешаете проход пакетов из одной сети в другую.
3. при настройке роутера (вручную) указываете шлюзом тот IP, который присвоили на сервере для внутренней сети
Это если заморачиваться с терминалом, а так, учитесь пользоваться поиском: https://habr.com/ru/sandbox/72840/
Да вот Вам и ответ. У Вас форвард пакетов выключен :) Включите его - и пойдет трафик.
Как включить? echo 1 > /proc/sys/net/ipv4/ip_forward - это сработает до перезагрузки, просто для проверки, что собака порылась именно здесь.
Не знаю, как в бубунте и минте, но у меня есть файл /etc/sysctl.conf, где зта переменная уже вписана со значением 0. Меняете на 1 (если есть такой файл), убираете комментарий, если он есть, перезагружаетесь.
Всем огромное спасибо что отозвались! Все оказалось гораздо проще!
1. Устанавливаем isc-dhcp-server
2. Включаем ip forward 1
3. Далее, имея 2 сетевых интерфейса, в файле /etc/default/isc-dhcp-server пишем INTERFACESv4="enp5s0" (Название второго, раздающего на локалку интерфейса)
РЕБУТ!
4. Настраиваем тун0 iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Проверяем iptables -t nat -S
5. Создаем
# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback
auto enp5s0
iface enp5s0 inet static
address 192.168.1.254
netmask 255.255.255.0
Потом берем файл конфига опн впн, кладем в папку /etc/openvpn, изначально переименуем его в client.conf
и дело за малым service openvpn@client restart
естественно редактируем еще днс!
Все!!! Имеем локалку, с впном.
Проверка ip просто написать curl ident.me
На сервере должен стоять виртуальный роутер, например Untangle NG Firewall либо тебе нужно конфигурировать iptables и превращать этот сервер в роутер сам по себе. Но как бы тогда получается дыра в безопасности т.к. железка на которой у тебя есть потенциальная полезная нагрузка, смотрит напрямую в инторнет. Что мешает поставить роутер перед сервером? Мне кажется тут кроется фундаментальная ошибка в архитектуре сети