Доступ в интернет не через тунель

RIP, OSFP, BGP, MPLS/VPLS
Ответить
dopklip
Сообщения: 3
Зарегистрирован: 28 май 2018, 11:27

Доступ в интернет не через тунель

Сообщение dopklip »

Приветствую всей участников форума. Пожалуйста помогите найти решение. Мой вопрос. Как сделать ,так, чтобы выход в интернет был не через туннель, а через провайдера, при этом сохранить доступ с основной подсетью через туннель.. В закладке firewall, настроен только NAT (для удобства тестирования). Изменять схему не желательно. Кратко поясню по схеме. Есть два объекта. Слева провайдер ISP1(статика, белый адрес) и МТ1. Справа ISP2 (аналогично) и МТ2. Туннель EoIP обеспечивает единой сетевое пространство 192.168.59.0/24. Компьютеры (те, что справа) получают сетевые реквизиты через туннель, со шлюзом по умолчанию 192.168.59.254. И соответственно доступ в интернет у "них", тоже через туннель. Компьютеры в подсети 192.168.59.0/24 завязаны на домен, который слева на схеме. Как вариант, это ловить(маркировать) на МТ2 пакеты с хостов и заворачивать их на другой шлюз, но как это правильно сделать в данной схеме, учитывая bridge1 туннеля (МТ2), я честно не знаю. На схеме есть результат двух трассировок с PC2 и МТ2 на 8.8.8.8. Результаты разные.
Фото схемы не удалось загрузить??? Статус ошибки - не возможно переместить загруженный файл.
Вложения
IMG1-sm.jpg
IMG1-sm.jpg (190.51 КБ) 2381 просмотр
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Доступ в интернет не через тунель

Сообщение Chupaka »

dopklip писал(а): 28 май 2018, 12:25 Фото схемы не удалось загрузить??? Статус ошибки - не возможно переместить загруженный файл.
Доброго. А перешлите его, пожалуйста, на [email protected]
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Доступ в интернет не через тунель

Сообщение Chupaka »

Спасибо, поменял права доступа на пустую папку - файлы стали перемещаться %)

Прикрепил картинку к первому посту
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Доступ в интернет не через тунель

Сообщение Chupaka »

У MT2 совсем нет адреса из подсети 192.168.59.0/24? Например, навесить его - и шлюзом для компьютеров из правой части указать именно его, а не .254. Это делается практически силами DHCP-сервера :)

Можно, конечно, в Bridge Firewall добавить правило accept для Dst-Address=192.168.59.0/24 и следующее правило action=redirect - это все пакеты, идущие не в локалку, перенаправит на IP-интерфейс MT2, после чего MT2 смаршрутизирует их в Интернет, как умеет - напрямую. Но это слегка костыльно :)
dopklip
Сообщения: 3
Зарегистрирован: 28 май 2018, 11:27

Re: Доступ в интернет не через тунель

Сообщение dopklip »

Спасибо за отображение схемы. На МТ2 IP адрес есть, видимо я не отрисовал. На МТ2 интерфейс ether1 равен 192.168.59.253 и прописан руками. Далее ether1 уже в bridge1 и вот тут по идеи место "регулировщика", куда направлять пакеты. В данном случае DHCP домена(Windows server 2008 R2) не позволяет создать два условия с разными "шлюзами" в одной подсети по MAC. Возможно и может?! Это по первой части.

На МТ2 в свойствах bridge1 есть "Settings". Поможет ли дополнительно установить галочку на параметре "Use IP Firewall" ??? В bridge1 Filters прописать первое правило попробую, а вот второе ??? Я действия "Action" "redirect" не увидел. Первое правило для цепочки "forward" ? Попробую завтра с правилами firewall bridge1.
Вложения
image3.jpg
image3.jpg (39.91 КБ) 2378 просмотров
image2.jpg
image2.jpg (63.15 КБ) 2378 просмотров
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Доступ в интернет не через тунель

Сообщение Chupaka »

Давно в этот раздел не лазил, запамятовал. Redirect, естественно, надо настраивать в Bridge NAT, chain=dstnat. В Settings ничего трогать не надо.
dopklip
Сообщения: 3
Зарегистрирован: 28 май 2018, 11:27

Re: Доступ в интернет не через тунель

Сообщение dopklip »

Огромное спасибо.
Действительно, при всех текущих правилах, добавив одно правило в Bridge NAT: chain=dstnat Action=Redirect прописав Src. Address and Dst. Address, МТ2 стал отправлять пакеты через 192.168.59.253, далее ISP2.
Ответить