Настройка сервера?

Question

[Жмотя]

Объясните пожалуйста, есть задача:
Дано:
Есть провод интернета, есть сервер(комп с двумя сетевыми картами и впном), роутер, свитч и много компов!
Задача:
Нужно что бы интернет был подключен к серверу с впном, далее от сервера уже в роутер, с другой сетевой карты, далее с роутера на свич(все это с кабелей) и со свитча уже на все остальные компы!
Проблема в том, что сервер интернет видит на одной сетевой карте, а со второй карты не раздает на роутер... Как быть? Как все грамотно сделать? Подскажите плс!

Comments

[vreitech]

что говорят команды

ip a
cat /proc/sys/net/ipv4/ip_forward
iptables -vnL
iptables -vnL -tnat

?

[Жмотя]

vreitech,

ip a

1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp5s0: mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
link/ether 00:01:02:af:97:95 brd ff:ff:ff:ff:ff:ff
3: eno1: mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 08:2e:5f:2b:04:ab brd ff:ff:ff:ff:ff:ff
inet 192.168.0.101/24 brd 192.168.0.255 scope global dynamic noprefixroute eno1
valid_lft 81975sec preferred_lft 81975sec
inet6 fe80::73a1:c77a:9441:2e30/64 scope link noprefixroute
valid_lft forever preferred_lft forever

cat /proc/sys/net/ipv4/ip_forward

0

iptables -vnL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

iptables -vnL -tnat

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

[Виктор Таран]

Мне кажется нужно трезво оценивать свои возможности в этом направление.
Если вы не понимаете базис то вам наверное нужно другое решение. ( это не желание обидеть а констатация)
1. есть миллион отличный сборок фареволов на *nix, с графическим интерфейсом и юзер френдли.
типа monowall и pfsense.
Выбирайте и пользуйте.
А то что у вас будет линукс которым вы не умете пользоваться, смысл от этого какой ??? линукс это просто ОС не больше не меньше.
2. Не ищите сложных путей, любой слабенький маршрутизатор справится со всеми этими задачами. А главное будет куда надежнее вашего решения.
3 Ищите обходные пути, ваше сетевое хранилище в офисе тоже на линуксе, и там две сетевые карты, и там есть как права на ваших пользователей так и впн и все что угодно, все это можно сделать и на нем притом в графическом исполнение.

4. четко сформировать тз и требования к этому оборудованию, полный перечень задач, и скорее всего под это будет сразу найдено решение.

[hint000]

s3kb3k,

2: enp5s0: mtu 1500 qdisc fq_codel state DOWN group default qlen 1000

Начните с физического подключения патчкордов. У вас на этом сетевом интерфейсе даже нет линка.

[Жмотя]

Виктор Таран, Уважаемый, друг, линуксом пользоваться я умею, точнее на басик уровне! Мне нужно что бы трафик шел изначально в линукс, на котором впн, далее на роутер а с роутера уже на свич и пошло поехало. При подключении данной конструкции интернет вообще пропадает :(
Это не моя прихоть. Нужно сделать, иначе край....
Мне нужно что бы трафик шел, а не защита, понимаете?

[Жмотя]

hint000, а как его вкл? Мне надо просто что бы 2 сетевухи работало! А они не работают одновременно(

[AUser0]

Подключите провод в сетевую карту enp5s0 (которая для Internet), сделайте ifup enp5s0 (если он сам атоматически не поднялся, проверять через ifconfig enp5s0, искать "state UP"), и потом пробуйте ping 8.8.8.8.

[vreitech]

s3kb3k, насколько я вижу, ничего для вашей задачи на этом сервере не настроено.
воткните кабель в enp5s0, сделайте ifconfig enp5s0 up, назначьте этому адаптеру корректный IP-адрес. если это адаптер к провайдеру - адрес, выданный провайдером, если в сторону роутера смотрит - адрес из общей с роутером подсети.
сделайте echo 1 > /proc/sys/net/ipv4/ip_forward, чтобы на сервере заработала маршрутизация между сетями/интерфейсами.
настройте NAT на сервере, например, как описано тут: https://the-bosha.ru/2010/06/05/prosetishiy-nat-v-...

[Алексей]

1. Настраиваете сетевые карты вручную без всяких DHCP, соответственно на внешней карте настраиваете на свой ВПН ну или как Вы там планируете и имеет внешний IP от провайдера... Вторая карта смотрит во внутреннюю сеть и имеет локальный IP
2. Настраиваете проброс трафика между двумя сетевыми картами, т.е. разрешаете проход пакетов из одной сети в другую.
3. при настройке роутера (вручную) указываете шлюзом тот IP, который присвоили на сервере для внутренней сети
Это если заморачиваться с терминалом, а так, учитесь пользоваться поиском:
https://habr.com/ru/sandbox/72840/

https://www.cyberforum.ru/cable-networks/thread109...

Основные тезисы здесь отображены и дают тос=чное направление "куда капать"

[CityCat4]

cat /proc/sys/net/ipv4/ip_forward
0

Да вот Вам и ответ. У Вас форвард пакетов выключен :) Включите его - и пойдет трафик.

Как включить?
echo 1 > /proc/sys/net/ipv4/ip_forward - это сработает до перезагрузки, просто для проверки, что собака порылась именно здесь.
Не знаю, как в бубунте и минте, но у меня есть файл /etc/sysctl.conf, где зта переменная уже вписана со значением 0. Меняете на 1 (если есть такой файл), убираете комментарий, если он есть, перезагружаетесь.

[Жмотя]

Всем огромное спасибо что отозвались! Все оказалось гораздо проще!
1. Устанавливаем isc-dhcp-server
2. Включаем ip forward 1
3. Далее, имея 2 сетевых интерфейса, в файле /etc/default/isc-dhcp-server пишем INTERFACESv4="enp5s0" (Название второго, раздающего на локалку интерфейса)
РЕБУТ!
4. Настраиваем тун0 iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Проверяем iptables -t nat -S
5. Создаем

Скрипт

#!/bin/sh
iptables-restore /firewall.conf
ip6tables-restore /firewall6.conf

! Сохраняем в /etc/network/if-up.d/00-iptables
6. Даем права chmod +x /etc/network/if-up.d/00-iptables
7. Сохраняем!
iptables-save >/etc/firewall.conf
ip6tables-save >/etc/firewall6.conf
РЕБУТ!

8. Редактируем файл /etc/dhcp/dhcpd.conf

default-lease-time 600;
max-lease-time 7200;
authoritative;
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.99 192.168.1.200;
option domain-name-servers 77.88.8.8, 77.88.8.1;
option routers 192.168.1.254;
option broadcast-address 192.168.1.255;
}

Далее редактируем файл /etc/network/interfaces

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback

auto enp5s0
iface enp5s0 inet static
address 192.168.1.254
netmask 255.255.255.0

Потом берем файл конфига опн впн, кладем в папку /etc/openvpn, изначально переименуем его в client.conf

и дело за малым service openvpn@client restart
естественно редактируем еще днс!

Все!!! Имеем локалку, с впном.
Проверка ip просто написать curl ident.me

Всем спасибО!

Answer 1

[Belfigor]

На сервере должен стоять виртуальный роутер, например Untangle NG Firewall либо тебе нужно конфигурировать iptables и превращать этот сервер в роутер сам по себе. Но как бы тогда получается дыра в безопасности т.к. железка на которой у тебя есть потенциальная полезная нагрузка, смотрит напрямую в инторнет. Что мешает поставить роутер перед сервером? Мне кажется тут кроется фундаментальная ошибка в архитектуре сети