RRAS, сделать шлюз из компьютера

mildok · Отправлено: **22:29, 24-07-2013** | #11

Цитата exo:

прежде чем убирать вставьте в комп вторую сетевую карту и попробуйте Tmeter. Для раздачи интернета хватит и бесплатной версии. »

Окей - тогда:
- 1\4 (ICS - Windows)
- 1\4 (Tmeter - Windows)
- 1\4 (iptables only - Linux)
- 1\8 (pfSense)
- 1\8 (monowall).

pfSense и monowall по-меньше - я с Freebsd пока что не знаком - только с Linux'ом малость баловался

.

Всего 20 компьютеров.

"В конце останется только один!"... =D

winbond · Конфигурация компьютера

Если серьезно - куча костылей нагорожена. Знакомо.

Цитата mildok:

"В конце останется только один!"... =D »

Угу. Желательно еще схемку нарисовать сначала "до и после"- в визио, или в аналоге (DIA например из опенов - правда мне непривычна; не советую, если с визио уже успели поработать). Для себя сделать, понятнее будет намного и всегда можно краем глаза бросить, и для (может быть) других потом когда-нибудь пригодится.

mildok · Отправлено: **22:23, 01-08-2013** | #13

Здравствуйте - тесты закончились - победителем стал: iptables only - Linux (Debian).

Результаты:

На XP есть ограничение в 10 полуоткрытых соединений - поэтому всё время тестирования Tmeter и (ICS) не покидало ощущение - что на маршрутизаторе это может сказаться не лучшим образом.

ICS на XP я теперь ещё и не люблю вот почему - не знаю точно в чём дело, но если работает больше 5 человек - то начинаются абсолютно непонятные "подвисания" интернета. Например: целый табун пингов может пропасть в случайный момент времени...

monowall - почти понравился, но прочитал в тырнетах различные форумы где описаны sshd и monowall и вообщем грустно стало. Однако - monowall как шлюз вполне замечателен.

pfSense - не стал призёром только потому что я плохо разбираюсь во Freebsd. С обязанностью шлюза справляется легко + есть sshd, так что при желании можно мучать его более чем шлюз.

iptables only - Linux (Debian) - победил потому что с Debian'ом я знаком более, чем с другими дистрибутивами Linux. При необходимости можно закачать ещё .deb пакеты - какие угодно. Как я и писал выше - сделать из него шлюз можно двумя командами. С помощью iptables действительно можно сделать многое + мне обещали, что если я изучу iproute2 - то я стану настолько счастливым - насколько это возможно. Закинул на машину apache, mysql, squid+dansguardian, samba4, bind, isc-dhcp, sshd, minidlna - всё замечательно себя чувствует, кроме minidlna - при трансляции фильмов - подвисать сеть немного начинает у клиентов - но оно и понятно - поэтому minidlna работает не всегда. Самое забавное - что всё эт крутится на железках описанных выше, весьма древних.

Ну и вообщем - возможно мне не хватает каких-то знаний, и я не до конца раскрыл возможности какого-нибудь метода - но мне нравится как работает Linux - думаю его везде и поставлю

Цитата winbond:

Желательно еще схемку нарисовать »

Собственно - особенно нечего рисовать - просто кусок сети соединённый с другим куском сети. Программный роутер - хорош тем, что можно подсоединиться по сети по ssh найти ip-ник какой-нибудь, который пакостит - и DROP'нуть его... Или вообще весь сегмент сетки кроме одного ip отключить, но при этом общие папки с гигабайтами ~~pоrно~~документов благодаря самбе останутся в этой сети и сотрудники по-прежнему могут с ними работать - вообщем схему тут рисовать особенно не с чем - а именно программные рутеры понадобились из-за дополнительных возможностей описанных выше. Единственный минус - электричество много кушает...ну да ладно...

mildok · Отправлено: **22:58, 01-08-2013** | #14

Возникла небольшая проблема, кстати:

SBS Windows 2011.

Отключил в services.msc службу ICS, включил "Маршрутизация и ...".

Настроил в rrasmgmt.msc pppoe-соединение - прописал маршрут там же 0.0.0.0/0.0.0.0 "Использовать ... поумолчанию"...

Вообщем всё работает - клиенты из одной сетки - через сервер успешно топают в интернет. И пинги до google.ru успешно проходят и с клиентских машин и с сервера.

Но есть небольшая...хм...ерундовина какая-то....

Короткое описание проблемы: пинги с клиентских машин в интернет не проходят после того как попробовать "Отключить" pppoe-соединение в rrasmgmt.msc. При этом, очевидно, pppoe-соединение не отключается - на сервере пинги идут, да и в интернет можно заходить и с клиентских машин и с сервера.

Более подробное описание проблемы:
В rrasmgmt.msc в пункте "Интерфейсы сети" я вижу своё pppoe-соединение оно называется "intern" - так вот:

Когда я нажимаю правой кнопкой на "intern" и нажимаю "Отключить" pppoe-соединение - не отключается!...

Т.е. если обновить окно(F5) и опять щёлкнуть на "intern" - то надпись "Подключить" неактивна(серая надпись), при этом "Отключить" активна.

Но это ещё не всё: до того как попробовать отключить "intern" на сервере отлично пингуется например yandex.ru и на клиентских машинах в сетке - тоже прекрасно пингуется yandex.ru.

Но после того как пробую отключить pppoe-соединение: на сервере по-прежнему отлично пингуется yandex.ru, но на клиентских машинах в сетке пишет превышен интервал ожидания запроса... При этом на сайты по-прежнему заходить можно и на клиентских машинах и на сервере.

Таблица маршрутизации не меняется и до и после - одинакова.

Если "intern" не "Отключить", а "Запретить", тогда нигде ничего не пингуется - на сайты не заходит, и после "Запретить" нажать ещё "Отключить", то надпись "Подключить" появляется.

Но после включения("Подключить" или "Разрешить") - также: на сервере по-прежнему отлично пингуется yandex.ru, но на клиентских машинах в сетке пишет превышен интервал ожидания запроса... При этом на сайты по-прежнему заходить можно и на клиентских машинах и на сервере.

Вернуть пинги на клиентских машинах помогает только перезапуск службы "Маршрутизация и..." в services.msc.

В журнале ошибок eventvwr.msc смотрел - ничего нет - думал мож проблемы с маршрутизацией: удалял pppoe-соединение и заново создавал и отключал маршрутизацию и включал её в rrasmgmt.msc - ничего не помагает...

Я облазил всея интернет - нигде не нашёл подобной проблемы - мож плохо искал...