Как правильно привязать два домена к одному ip?

nginx -T
и смотрите полный итоговый конфиг.

Squid: почему маршрутизация работает только для доменов?

Но на счёт опции always_direct - я не знал о её существовании.

Дока squid

never_direct is the opposite of always_direct.  Please read
	the description for always_direct if you have not already.

Перед копи-пасте кусков конфига полезно читать кто есть who :)

Squid: почему маршрутизация работает только для доменов?

По-моемому у вас бардак с правилами и недопонимание принципа работы...

Почему-то мне кажется, что например в наборе

never_direct allow !novpn_domain
never_direct allow !novpn_ip4

Второе правило просто никогда не сработает на acl novpn_ip4, т.к. уже первое выдаст для него allow.

С первого взгляда может показаться, что это эквивалент набора:

never_direct deny novpn_domain
never_direct deny novpn_ip4

Однако это не так.
в первом (вашем) варианте запрос вида http://1.2.3.4 уже на never_direct allow !novpn_domain получит allow и все.
Во втором варианте http://1.2.3.4 не попадает в acl novpn_domain, следовательно анализ пойдет дальше.

Попробуйте конфиг что-то вроде:

acl all src 0.0.0.0/0.0.0.0

# IP, которые не должны идти через Сервер №2
acl novpn_ip4 dst 10.8.0.1/24

# Домены, которые не должны идти через Сервер №2
acl novpn_domain dstdomain .ru
acl novpn_domain dstdomain .vk.com
acl novpn_domain dstdomain .archlinux.org

http_port 34004

forwarded_for delete

cache_peer 10.8.1.1 parent 34004 0 default

always_direct allow novpn_domain
always_direct allow novpn_ip4
never_direct allow all
http_access allow all

Squid: почему маршрутизация работает только для доменов?

# IP, которые не должны идти через Сервер №2.
acl novpn_ip4 localip 10.8.0.1/24

это правило сработает, если к вашему прокси обратится КЛИЕНТ с ИП 10.8.0.0-255, а вы как раз наоборот хотите.
Т.е. вместо localip или src должно быть в теории.....
dst !!!

Мы рассмотрим некоторые элементы, которые позволяет использовать прокси
сервер Squid, конечно же с примерами: 


* acl   имя   src   список


С помощью этого элемента (src) мы указываем IP-адрес источника, то есть
клиента от которого пришел запрос к нашему прокси серверу.

В следующем примере мы разрешим Васе Пупкину (Pupkin) и отделу
программирования (Progs) доступ к нашему прокси серверу, а всем
остальным запретим:

        acl  Progs   src    192.168.0.1-192.168.0.9
        acl  Pupkin  src    192.168.0.10
        http_access  allow  Progs
        http_access  allow  Pupkin
        http_access  deny   all


* acl   имя   dst   список


Данный элемент (dst) указывает IP-адрес назначения, то есть IP-адрес
того сервера, доступ к которому желает получить клиент прокси сервера.

В следующем примере мы запретим Васе доступ к подсети 194.67.0.0/16 (к
примеру, в ней находится тот же aport.ru):

        acl  Net194   dst    194.67.0.0/16
        http_access   deny   Pupkin   Net194


* acl  имя  dstdomain  список


С помощью этого элемента (dstdomain) мы указываем домен, доступ к
которому желает получить клиент прокси сервера.

В следующем примере мы запретим Васе доступ к варезным сайтам nnm.ru и
kpnemo.ru:

        acl  SitesWarez  dstdomain  .nnm.ru  .kpnemo.ru 
        http_access   deny   Pupkin   SitesWarez

Взято с
Тык

Squid: почему маршрутизация работает только для доменов?

Мысли вслух:

прокси сервер всегда направляет на сетевой интерфейс tun0, когда в него поступают IP, а не домены.

Если это означает, что вы пытаетесь достучаться по адресу типа
http://1.2.3.4
То все логично

# Домены, которые не должны идти через Сервер №2
acl novpn_domain dstdomain .ru
acl novpn_domain dstdomain .vk.com
acl novpn_domain dstdomain .archlinux.org

тут домена 1.2.3.4 нет, значит и бежать за ним надо на Сервер №2....

Какая проблема в маршутизации?

Поправильному лучше шлюз объявлять через OSPF.

Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

ValdikSS,
Обратите внимание на полную цитату:

Это будет работать для ЛЮБОГО протокола, поддерживаемого реверс-прокси

А так правильное уточнение -- если "внутри" протокола где-то на 4-7 уровне есть критерии, позволяющие отделить одно от другого.

В случае почты, наверное,

Ну почему "наверное"???
Это уже реализовано в том же nginx-е
И в принципе хоть по адресу источника, хоть по адресу назначения, хоть по обоим вместе.
собственно smtp по факту сам себе и есть реверс-прокси, ибо первоначально большинство релеев вообще открытыми были и представляли из себя идеологически простейший реверс-прокси для почты.

Как получить полную скорость от cisco 2921?

Из личного опыта развлекалова с 2811 и 2821 "в та поры":
небольшой выигрыш можно получить путем перебора IOS-ов разных веток, больше 3-5% не получалось.
второй ход - отключить snmp как сервис вообще и в принципе, прирост 10-20%. (но статистику по snmp соответственно не получешь)
Остальная магия давала результаты в районе погрешностей измерений.
И кстати:
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1
заменить на
ip route 0.0.0.0 0.0.0.0 <next-hop-IP>
это тоже должно дать прирост.

Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

astar7922,

если у меня там крутится apache,

apache тоже умеет быть в роли реверс-прокси.
Если вопрос производительности на пороговых задачах - лучше nginx, если нагрузка не критичная - то не ставя еще один софт можно и на апаче такое реализовать.

Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

ValdikSS,

Это будет работать только для HTTP-трафика.

тут вы НЕ правы.
Это будет работать для ЛЮБОГО протокола, поддерживаемого реверс-прокси, например:
http, https, imap, pop3, smtp ....

В общем случае задача нерешаема

А вот тут правы, т.к далеко НЕ для ВСЕХ протоколов реализованы реверс-прокси.

На сколько бит нужно расширить сетевую часть IP адреса, что бы разбить её на 8 подсетей?

rfc4632

3.1. Basic Concept and Prefix Notation

In the simplest sense, the change from Class A/B/C network numbers to
classless prefixes is to make explicit which bits in a 32-bit IPv4
address are interpreted as the network number (or prefix) associated
with a site and which are the used to number individual end systems
within the site. In CIDR notation, a prefix is shown as a 4-octet
quantity, just like a traditional IPv4 address or network number,
followed by the "/" (slash) character, followed by a decimal value
between 0 and 32 that describes the number of significant bits.

Т.е. /32 не оговаривается как нечто исключительное.
Например /0 имеет имя собственное "default route" и единственный вариант 0.0.0.0/0, но тоже сетью по большому счету является :)
Но тут можно в глубокую философию трактовок уйти...
С практической точки зрения:
IPv4 /32 можно назначать на интерфейс (не только лупбек), использовать в маршрутизации и делить любую сеть /0-31 на соответствующее количество /32... единственное -- саму /32 разбить дальше нельзя..

На сколько бит нужно расширить сетевую часть IP адреса, что бы разбить её на 8 подсетей?

Вит,

простите, но /32 - это не сеть....

Сами придумали??
Очень даже сеть, и на точка-точка тоже вполне может быть использована!
Вот "точка-точка по протоколу Ethernet" -- там нет, ибо бродкаст, а вот на ppp -- 20 лет использую именно /32 и все прекрасно работает :)
Эта сеть содержит всего 1 адрес, но от этого не перестает быть сетью.

Как решить задачу по Token Ring?

SunTechnik,

Общий смысл tojrn-ring, что пакет пералется по кругу.

Вот к этому мой комент был.
Сорри - цитату забыл добавить.

мне кажется, что варианта тут 2:
1) Задача взята откуда-то по каким-то соображениям.
2) Задача в рамках некого набора теоретического материала и является логической частью сего материала.
В обоих случаях сама задача в приведенном тут виде с вероятностью 0.9 является частью некого контекста, тут не изложенного.
И вне этого контекста любое решение будет спорным.

На сколько бит нужно расширить сетевую часть IP адреса, что бы разбить её на 8 подсетей?

Талян,
И даже могут быть пустыми... :)
"На ветке множество покемончиков сидит... правда множество пустое." (Дочь кандидата физмат наук в возрасте 8 лет сидя на кафедре и глядя в окно выдала)

Закрытая сеть и подмена IP?

"Нет ничего невозможного, если у вас достаточно времени и денег."
Как правило хотя бы один параметр в жестком дефиците :)
Цена решения и сложность его реализации может оказаться настолько высока, что теряется смысл самого решения, а надежность будет уступать устойчивости карточного домика при землетрясении.

Как решить задачу по Token Ring?

SunTechnik,
Вообще-то TR как "кольцо"-- это ЛОГИЧЕСКАЯ топология, а не физическая.
И на "финише" tr как физика было вполне себе "звезда", а не "кольцо"....

Так же как и Eth при логике "шина" как физика был и "шина" и "звезда".

На сколько бит нужно расширить сетевую часть IP адреса, что бы разбить её на 8 подсетей?

Талян,
И такую сеть (/32) вполне себе можно "пришпилить" как минимум на loopback или ppp интерфейс...
Так что вопрос "а где такую можно применить на практике" можно не задавать :)

Какое сетевое оборудование выбрать: Mikrotik или Zyxel?

sir_Maverick,

а есть что то такое, что на Микротике можно сделать ,а на Зикселе нет?

Если не ошибаюсь:
Как минимум
MPLS, BGP, VRF и маршрутизация от источника зюхелям не доступна.
Вроде QinQ на zywall тоже.
На коммутаторах было.

Какое сетевое оборудование выбрать: Mikrotik или Zyxel?

SNR -- Много не эксплуатировал, только пару моделей на тест и то давно.
Huawei -- довольно много и долго, особых нареканий не было.
Zyxel коммутаторы и DSLAMы -- много и долго. Коммутаторы были средненькие.

Как раздать интернет по Dial-up?

Оптимист, однако.. .5-7 минут... там задержки по нынешним временам дикие, очереди маленькие...
И тут же за обновами ломанется ОСЬ, а всякие "плюшки-рюшки" полезут за погодой, новостями и т.д.
И будет некто своего сайта ждать долго...
"Долго у моря ждал он ответа,
Не дождался...." (Пушкин А.С.)