unsorted ~ Два провайдера (ПТ+Жукнет): настройка маршрутизации

От ПТ нужен Home-IX, от Zhuknet -- все остальное

Возраст: 49 C нами с 27.01.2005 Репутация: **129.4**

Братцы, нужен совет. Слезаю с ПТ без резких движений, и некоторое время у меня в квартире будет две ethernet-соски. Если слова "source routing", "dynamic routing" и аббревиатура BGP ничего не говорят, то дальше можно не читать.

Если вы читаете дальше, то посмотрите картинку внизу (все совпадения с существующими адресами случайны). Вроде там всё понятно, поэтому на словах чего хочу: людишки работают на ноутбуках через wi-fi маршрутизатор, на котором дефолтный роутинг смотрит в Жукнет, где у меня реальный ip, а все сети Home-IX маршрутизируются в линуксбокс, откуда nat-ятся в проктех.

Как я себе вижу картину: на NETGEAR я делаю большую таблицу маршрутизации, где перечисляю все сети Home-IX и ставлю для них гейтвеем 192.168.74.8 (linuxbox). На линукс-боксе я поднимаю NAT в проктех. Ноутбуки счастливы.

В чем я вижу проблему:

1. DNS. Очевидно, надо, чтобы имена *.progtech.ru и *.aviel.ru резолвились на линуксбоксе. В принципе, это сделать не сложно, просто придётся отказаться от дефолтных dns-серверов на NETGEAR и поднимать на линуксбоксе bind(?), где указывать отдельный резолвинг для указанных зон.

2. (самое сложное) Где взять внятный список сетей для home-ix? Я нашёл только страницу http://home-ix.ru/index.php?pageid=9, где надо входить в каждый ip-адрес и парсить список сетей, при этом сеть 10.140 и 10.180 — это особый случай Проктеха/Авиэля. Я прав? Есть ли ещё какие особые случаи?

Буду рад услышать ваше мнение. Может я ещё какие аспекты упустил?

Возраст: 49 C нами с 27.01.2005 Репутация: **129.4**

Так, ну распарсил я эту страничку простеньким скриптом:

#!/bin/bash

for a in `wget -q -O - "http://home-ix.ru/index.php?mode=1&pageid=9" | 
   sed -e 's#</tr>#\n#g' | grep '<tr>' | grep 'index.php?pageid=9&mode=2&param=' |
   cut -f 5 -d = | cut -f 1 -d \' `; do
        wget -q -O - "http://home-ix.ru/index.php?pageid=9&mode=2&param=$a" | 
                 grep "<pre>" | sed -s 's#<BR>#\n#g' | grep "^[0-9]" | cut -f 1 -d " "
done

Получил список сетей (в аттаче). Сейчас думаю его слегка оптимизировать (объединить сети). И что, если я пропишу роутинг на эти сети на маршрутизаторе через линуксбокс, то мне настанет счастье? Как часто надо запускать этот скрипт и обновлять таблицу? Может, есть смысл использовать протоколы динамической маршрутизации и поднять у себя RIP?

Добавлено спустя 24 минуты 12 секунд:

Слить сети оказалось очень просто, таким вот скриптом на перле:

#!/usr/bin/perl -w

use Net::CIDR::Lite;
my $cidr = Net::CIDR::Lite->new;
while( <STDIN> )       {
        chomp;
        $cidr->add($_);
}
print join("\n", $cidr->list), "\n";

В результате вместо исходных 338 строк получилось 217 (в аттаче). Тупо копипастить в конфиг роутера вручную — это не комильфо. Поднимать-таки RIP? Моршрутизатор поддерживает v1 и v2. Что посоветуете?

Offtopic: Конструкция с двумя скобками (<>) жрется местным парсером по какому-то очень хитрому закону.

Возраст: 49 C нами с 27.01.2005 Репутация: **129.4**

Блин! Где сетевики?! Я в этих делах не разбираюсь ведь почти! Вот, с удивлением обнаружил, что вместо мумифицированной в 2002 году "зебры" нынче используется прогрессивная quagga. Бегло проглядел документацию. Правильно ли я понимаю, что мне нужно будет скриптом сформировать на линукс-боксе правильную проктеховскую маршрутизацию, а затем через redistribute kernel отдать её в NETGEAR? А что делать с дефолтным роутингом на линукс-боксе? Оставить глядеть в проктех, или все-таки отправить в NETGEAR? Если оставить глядеть в проктех, то надо не допустить её дистрибуции в маршрутизатор?

Второй вопрос: автономная система проктеха выглядит следующим образом (http://home-ix.ru/index.php?pageid=10&memberid=43):

AS35475
10.140.0.0/16
10.180.0.0/16
62.117.85.0/24
80.252.152.0/22
94.79.44.0/22
10.180.192.0/18

Правильно ли я понимаю, что 10.140 я меняю на 10.110, а 10.180 на 10.100? Зачем выделена часть сети 10.180.192.0/18, ведь она входит в 10.180.0.0/16?

Возраст: 39 C нами с 25.01.2005 Репутация: **116.6**

FlashGun писал(а):

10.140 я меняю на 10.110

Нет, авиэл ходит со своим 10.110

Возраст: 44 C нами с 22.11.2005 Репутация: **109.8**

Я бы всю маршрутизацию оставил на линуксбоксе, а нетгир юзал как точку доступа.

з.ы.: у меня схожий конфиг, только:
1. провайдеры Гига (основной) и ПТ (резерв)
2. вместо линуксбокс винда

Возраст: 49 C нами с 27.01.2005 Репутация: **129.4**

Внимание, вопрос ко всем!!! Возникло ощущение, что не будет работать сия конструкция, потому что получается, что хосты 192.168.74.13, 192.168.74.8 и 192.168.74.100 находятся в одной сети, в одном домене коллизий, а это не так! Каким образом пакет пойдёт от ноутбука 192.168.74.100 на адрес, скажем, 10.100.1.1?

192.168.74.100 -> в точку доступа 192.168.74.13. Та увидит, что пакеты для сети 10.100/16 надо маршрутизировать через 192.168.74.8 и передаст пакет на линукс-бокс. Тот отправит его (через NAT) в прогтеховскую сеть, и все вроде хорошо.

Теперь приходит пакет в обратную сторону, из проктеха: линукс-бокс тупо кинет arp-запрос для хоста 192.168.74.100 в свой интерфейс 192.168.74.8 и, не дождавшись ответа, отбросит пакет. NETGEAR будет молчать, ибо он не бридж, а роутер (тут не уверен, надо экспериментировать).

Выход: выделить линк между линукс-боксом и маршрутизатором в отдельную сеть, но у меня создалось впечатление, что это не возможно, по крайней мере через конфиг NETGEAR.

Ещё вопрос: есть ли смысл поднимать на нетбуках и прочих виндах RIPv2? Оно вообще его умеет? Хорошо работает?

LbICbIY, значит я чего-то совсем не понимаю, потому что по тому же looking glass адреса 10.110 роутятся в AS21453, которая flex.ru. А самое странное, что эта AS21453 анонсирует ещё и маршруты в 10.180.0.0/17. Как такое может быть? При этом show route for 10.180.1.1 all показывает правильную проктеховскую AS.

Наверное мне не принципиально вникать в тонкости маршрутизации, мне всего-то нужен список сетей, входящих в home-ix, но я смущен тем, что не до конца понимаю механизма работы всей этой кухни. Вдруг в мои рассуждения вкралась принципиальная ошибка?

aaa_aaa, расскажи пожалуйста подробнее, как настроены правила маршрутизации на твоем виндо-боксе. Тебе доступны сети home-ix?

Возраст: 48 C нами с 30.04.2009 Репутация: **87.2**

Я чего-то не пойму толком зачем Вам вся эта свистопляска? У меня тут 4 провайдера одновременных, разруливается все аналогом Вашего линуксбокса, для home-ix отдельная таблица маршрутизацции, в ней дефолтный щлюз балансится (nexthoop) между провайдерами которые дают хоумикс (трафик отправляется в эту таблицу через ip rule), интернет по той же технологии балансится в соновной таблице маршрутизации. Второй роутер только бы усложнил проблему. На всех внешних интерфейсах установлен SNAT, для каждого внешнего интерфейса еще дополнительная таблица маршрутизации чтобы ответы на входящие соединения отправлялись обратно через тот же интерфейс.

Поднимать у себя RIP я чего-то не стал, список сетей участников хоумикса довольно статичен, раза 3 в год обновить список не проблема. Вернее я пробовал, даже провайдер специально его давал по моей просьбе, но там оказалась куча "белых" сетей которые реально через хоумикс недоступны, пришлось сделать "ручной" список и в дополнение к нему еще список исключений. Это я про "внешний" RIP. А внутри себя маршруты разрулить.... Да какой смысл? Оставьте 1 роутер и пусть разгребает всё сам.

В общем сейчас я уже думаю что касабельно маршрутизации "белых" адресов это ананизьм бесполезный ибо профита очень мало, все равно касабельно торентов то через хомикс нормально работают только сиды из сетки 10.х.х.х в "белых" же сетях хороших пиров мало, ну и в основном запрашиваешь его через хомикс а от него ответ через интернет приходит, короче мало кто заморачивается с настройками.

Так для жизни достаточно разбалансить 10.0.0.0/8 сетку на имеющиеся интерфейсы где она есть а весь остальной траф через интернет запустить (интернет тоже балансить конечно).

Вот был правильный совет:

aaa_aaa писал(а):

Я бы всю маршрутизацию оставил на линуксбоксе, а нетгир юзал как точку доступа.
з.ы.: у меня схожий конфиг, только:
1. провайдеры Гига (основной) и ПТ (резерв)
2. вместо линуксбокс винда

ыыы только винда порадовала и улыбнула Улыбочка

Добавлено спустя 7 минут 9 секунд:

FlashGun писал(а):

Теперь приходит пакет в обратную сторону, из проктеха: линукс-бокс тупо кинет arp-запрос для хоста 192.168.74.100 в свой интерфейс 192.168.74.8 и, не дождавшись ответа, отбросит пакет. NETGEAR будет молчать, ибо он не бридж, а роутер (тут не уверен, надо экспериментировать).
[b]Выход: выделить линк между линукс-боксом и маршрутизатором в отдельную сеть, но у меня создалось впечатление, что это не возможно, по крайней мере через конфиг NETGEAR.

Ты воткни все 192.168.74.0/24 интерфейсы в одну физическую сеть, у тебя ноут отправит пакет на нетгир, у того в маршрутах линуксбок, он его туда и отправит (ТОЛЬКО БЕЗ NAT !!!), когда линуксбоксу ответ придет, он его напрямую на ноутбук отправит. Так работать будет, да. Но это криво.

Возраст: 44 C нами с 22.11.2005 Репутация: **109.8**

FlashGun, да, доступны. правила простые: 10.100 и 10.110 уходят в ПТ. хоме-икс в Гигу, остальное в впн гиговский. если впн гиги лежит, то в ПТ
galiy, ну, на чём умел, на том и настроил Подмигивание

C нами с 27.02.2010 Репутация: **64.7**

FlashGun писал(а):

аббревиатура BGP ничего не говорят, то дальше можно не читать.

а где про BGP Улыбочка

чё то не увидел

Возраст: 48 C нами с 30.04.2009 Репутация: **87.2**

Liner писал(а):

а где про BGP Улыбочка

чё то не увидел

Наверное имелся в виду RIP

Возраст: 49 C нами с 27.01.2005 Репутация: **129.4**

Liner, про BGP на страничке "Looking Glass" от Home-IX.

galiy, озадачил. Я подозревал, что анонсы белых IP как-то очень ненадежны, но собрался их использовать именно из-за возможности наличия торрент-пиров оттуда. А что с частными адресами из сетей

172.18.0.0/16
172.21.0.0/16
172.26.0.0/15
172.30.0.0/16

? Их тоже ведь нет смысла отправлять в дефолтный шлюз. Получается, они тоже должны рутиться в проктех.

Ещё вопрос: какими сетями владеет Жукнет? Только 10.248.0.0/16?

В общем, ситуация упрощается: можно действительно забить на все "белые" адреса, и тупо роутить все частные 10/8 (кроме 10.248/16) и 172.16/12 в проктех, а остальное в Жукнет, и все сети будут доступны. В общем, что и требовалось, хоть решение и "грязное", но работать будет. Даже жалко немного, что снова не попользую я RIPv2 :-(

Поставить в качестве роутера линукс-бокс вкусно, но он (линукс-бокс) не всегда работоспособен: ALT Linux Sysiphus, иксы, постоянные эксперименты с ядрами, проблемы с охлаждением плюс старая (2003) год машинка. Хотя да, в ней сейчас две сетевые карты и есть место для третьей.

Возраст: 48 C нами с 30.04.2009 Репутация: **87.2**

Вернее будет

172.18.0.0/16
172.21.0.0/16
172.22.0.0/16
172.23.0.0/16
172.26.0.0/15
172.30.0.0/16

Можно отправить в home-ix ибо в интернет их отправлять никакого смысла нет. Ровно также 192.168.0.0/16

У мну в качестве "Линуксбокса" ноутбук 2004 года, раздолбаный весь но ничего, ubuntu последней версии, (графику не ставил), работает на ура. Там правда сетевая карта только одна была, ну и что, 802.1Q VLAN рулят, недавно только еще 1 в USB сетевую карту воткнул, решил таки разделить входящие линки и исходящий. Кстати, самоделкиным на заметку D-Link DIR-100 это не только дерьмовый роутер но и вполне себе неплохой 5-портовый VLAN Switch.

Возраст: 49 C нами с 27.01.2005 Репутация: **129.4**

galiy писал(а):

Можно отправить в home-ix ибо в интернет их отправлять никакого смысла нет. Ровно также 192.168.0.0/16

Ну 192.168/16 точно нет смысла, а вот 10/8 и 172.16/12 тогда в Home-IX, если в Жукнете тоже нет пиринга с кем-нибудь. Вроде нет, как я понял.

Есть ощущение, что больше проблем будет от всяких "пиринговых войн", вот только что вычитал, что Проктех/Авиэл не пускают к себе в сети чуваков из Сократел/Рамнет.

Цитата:

У мну в качестве "Линуксбокса" ноутбук 2004 года, раздолбаный весь но ничего, ubuntu последней версии, (графику не ставил), работает на ура. Там правда сетевая карта только одна была, ну и что, 802.1Q VLAN рулят, недавно только еще 1 в USB сетевую карту воткнул, решил таки разделить входящие линки и исходящий. Кстати, самоделкиным на заметку D-Link DIR-100 это не только дерьмовый роутер но и вполне себе неплохой 5-портовый VLAN Switch.

Дело не в том, что комп старый, дело в том, что он не вполне рабочий, а мне нужна доступность не хуже, чем у провайдера (отсюда UPS и NETGEAR). К нет-жиру, к слову, нареканий нет: вот уже две недели "ни единого разрыва", при том что старый zyxel вис раз в неделю примерно.

Плюс PPPoE требует ресурсов проца, а мне их жалко :-)

Возраст: 49 C нами с 27.01.2005 Репутация: **129.4**

FlashGun писал(а):

Внимание, вопрос ко всем!!! Возникло ощущение, что не будет работать сия конструкция, потому что получается, что хосты 192.168.74.13, 192.168.74.8 и 192.168.74.100 находятся в одной сети, в одном домене коллизий, а это не так!

Это было ложное ощущение. Все хосты 192.168.74.0/24 пингуют друг друга по страшной силе. Видимо, это из-за того, что на предыдущем роутере ноутбуки друг друга пинговали крайне неохотно, если вообще пинговали. Доставать старый роутер с полки для проверки этого тоскливого факта откровенно лень.

Теперь новый вопрос: поможет ли мне RIPv2 для обеспечения работоспособности интернета в случае пропадания Жукнета в смысле линка на интерфейсе или PPPoE? Смотрите, предположим мой линукс-бокс анонсирует свой дефолтный проктеховский роутинг с достаточно большой метрикой. NETGEAR будет пользоваться Жукнетом, потому что его метрика меньше. Вдруг, — ОПА! — пропадает Жукнет. В течение 30 секунд приходит очередной RIP broadcast, и NETGEAR хватает этот маршрут в качестве маршрута по умолчанию. Когда Жукнет восстановится, все вернется обратно (к сожалению, с разрывом сессий).

Всяко лучше разных скриптов с пингами. Будет работать?

Возраст: 48 C нами с 30.04.2009 Репутация: **87.2**

по-моему это огород лишний.

если будете делать шлюз на одном линуксовом роутере согу дать скриптик для автоматического разруливания отвалиивания провайдеров.