Талян, все ip я назначил eth1,бриджа сейчас нет.
Если все ip не присвоить интерфейсу, то правило в iptables не работает. Нужно явно прописывать везде всё
Талян, по ходу дошло до меня)
Когда сказал про двухпортовый свитч.
Типа на бридж можно повесить и ip провайдера и мои локальные? И потом по dhcp выдавать нужные? Да, кому нужен интернет без фильтров, у того ip конечно не локальный будет, но дотянуться то я до локалки смогу по сути
Талян, добавил в eth1 весь список адресов от провайдера, прям все 254 адреса (пусть будет 2.2.2x), ну и такой же длиннющий список добавил в iptables)
Только в iptables прокидывал с локального ip на ip провайдера. В общем указал всё прям явно.
-A POSTROUTING -t nat eth1 -s 1.1.1.1 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -t nat eth1 -s 1.1.1.2 -j SNAT --to-source 2.2.2.3
Ну и так до конца. Как-то так)
Костыль до ужаса, как мне кажется. Но мне не оставили другого выхода.
Так а смысл от бриджа тогда?) Если там вешается 1 ip на этот бридж, тоже самое получается, нет привязки комп - ip провайдера. Я вот понимаю что их можно было бы по dhcp раздать на том же роутере. Или с сервера тоже можно будет раздать по dhcp эти адреса провайдера, когда бридж используется?
Просто если не бридж, то на каком-то одном интерфейсе делаешь подсеть свою локальную и её раздаёшь. Ну и конечно не на каком-то одном интерфейсе, а на конкретном, который в локалку смотрит.
А бридж получается позволит в обе стороны смотреть этим двум интефейсам?
Rsa97, скорее всего пойду путём прописывания всех 254 адресов на eth1 и прокидыванием каждого в SNAT, как и советовал @dronmaxman
Типа -A POSTROUTING -t nat eth1 -s ip в локалке -j SNAT --to-source ip от провайдера.
Через мост я так и не понял как настроить, тут знаний не хватает, я не спорю
mureevms,
Хоть это к вопросу уже не имеет никакого отношения, вот. https://espd.wifi.rt.ru/filtering/disable
Если что, там пункты с авторизацией есть.
Там просит войти в систему ЕСИА, но да, используются госуслуги. Эта самая авторизация привязывается к серому ip, который выдал провайдер, кто бы и что мне тут не писал и не доказывал про куки и прочее)
AUser0, я вижу что вы совсем не понимаете контекста. Вопрос то совсем не в госуслугах был, вы упёрлись в это и стоите на своём. Хорошо, я дальше попробую объяснить. Дело то не в том, что один пользователь авторизируется, а другой со своего компа может увидеть его данные, вовсе нет, другой просто может сидеть в интернете, так как авторизация была на данном ip. https://espd.wifi.rt.ru/filtering/disable
Возможно хоть это даст вам понять, о чём я
mureevms, в комментах отписал и в посте поправил. Да, это не белые ip, выразился так для удобства. Я не думал что это нужная информация, она не важна в принципе, хоть они внешние, хоть нет.
AUser0, В данном случае, хоть и все на меня накинулись, что авторизация не так работает и тому подобное. Я разочарую вас, я в курсе как она работает. Я в курсе про куки...
Тут совсем другой случай, наверно меня не могут понять.
Я пояснял, что эти ip нужны для того чтобы выходить в интернет, как это не странно. Ноо, с помощью них можно выходить как одной категории людей (с помощью прокси, будет контектная фильтрация), так и другой категории людей, тот самый админ персонал. Только чтоб им выйти в интернет, у них в браузере высвечивается страница с кнопкой авторизации, при нажатии вас перекинет на страницу ЕСИА, логин через госулуги. Без авторизации вас не пустит в интернет, либо авторизация, либо прокси.
Опять же есть НО.
ПК1 авторизируется в этой системе, ПК2 в этой же локальной сети просто заходит в браузер - и он свободно попадает в интернет, без авторизации, без прокси и тд. Если зайти по ссылке на страницу авторизации на ПК2, где должна быть кнопка, то напишет, что мы авторизированы, хоия должно быть предложение авторизироваться.
У ПК общая локальная сеть 10.0.2.x, а выходят они через серый ip провайдера который прописан на моём сервере на интерфейсе eth1
То есть, здесь в данном случае, идёт привязка на аппаратном уровне, где-то на железе провайдера. Это Ростелеком, они сейчас тесно с гос структурами переплетены. Во всех образовательных организациях сейчас так, я не первый. Просто почитайте что такое ЕСПД
mureevms, это совершенно не важно, пока сессия не разорвалась - другие пк в локальной сети могут выходить свободно в интернет, без авторизации, потому что кто-то уже авторизировался. Потому что все они выходят по сути через один ip, который прописан статически на сервере.
Проблема в этом. Это решается только присваиванием разных ip, которые и выдал провайдер. Не зря он целую подсеть выделяет
AUser0, извините, я не совсем верно выразился в вопросе.
Конечно это не совсем "внешние" ip, точнее не внешние точно)
Но их раздаёт провайдер, как и в других образовательных организациях.
Нужно это для авторизации через госуслуги в системе ЕСИА админ персонала в организации.
Если я всех пущу через один ip, который выдал провайдер и если кто-то в моей сети авторизируется через госулуги, то автоматом сохраняется сессия на этом ip адресе и получается все пользуются свободным доступом, пока сессию не завешат или она сама не закроется.
Внешний доступ из интернета меня не сильно волнует, у провайдера криптошлюз стоит и тд, надеюсь заморочились. Да и честно говоря, если другого выхода нет, то мне всё равно. Это к сожалению никого не волнует, нужно просто организовать доступ с одельными ip, ну и чтоб всё работало как и прежде, мне надо ещё дать доступ до своей локальной сети
ru6ak, да сервер роутер по сути. Только на сервере ещё 4 шлюза. 10.0.0.0, 10.0.1.0, 10.0.2.0, 10.0.3.0. Первый чисто серверный, второй административные кабинеты, третий все остальные, ну а четвертый под динамику с wifi.
А в схеме которой вы предложили, компы из бухгалтерии будут видны же всем из другой сети?
Идею я понял вашу, чуть ip адреса под мои поменять и всё. Но возможно она не очень подходит, если видно всем)
И вопрос. А при соединении порта от роутера (бухгалтерии) к коммутатору не будет ли никаких конфликтов? В том плане, что в роутер бухгалтерии интернет в порт WAN приходит.
И при таком подходе, каждая сеть под своим ip провайдера будет выходить?
Уже просто спрашиваю, интересно.
Было проще чем я думал, просто прописал статику на 2х сетевых картах, по вашему совету. Ох, ещё учиться и учиться) Думал будут сложнее настройки. Спасибо!
P. S проверил на 2х тестовых компах, но это уже не столь важно, всё работает
Всё это я прекрасно понимаю и даже хотел это реализовать, купил за свои деньги mikrotik rb750gr3 и пытался настроить всё это. Пока без успехов, даже не смог разделить на 2 сети (2 провода от провайдера + 1 провод в бухгалтерию + 1 провод в сервер, а из сервера в коммутатор на 16 портов, который есть в схеме). Опыта пока очень мало в этой сфере, а время поджимает сильно, по этому хочу пока так пробросить сеть. После этого время будет на тесты с mikrotik, попытаюсь разобраться. Примерную схему прикрепил (мой вариант), которая получилась с микротом, надеюсь она правильная (в том плане, что провод идёт в сервер, а из сервера в коммутатор). Ещё как я понимаю, на самом сервере нужно будет прописывать route, на нём вообще лежат файлы сейчас + раздаются IP по DHCP (раздаются по MAC, их можно сказать под сотню, делал не я, что имеем к сожалению)
Некоторые вещи прояснились