Здравствуйте!
В квартиру заходят 2 кабеля:
- ADSL с интернетом от МГТС
- витая пара с районной сетью (и интернетом) от провайдера районной сети (Alterlan)
Оба эти кабеля воткнуты в роутер DLink 2640U: ADSL в WAN-порт, пара в 1-й LAN-порт.
Во 2-й LAN-порт входит витая пара, идущая от компа.
Кроме того, в 3-й LAN-порт входит витая пара, идущая от медиаплейера eXtrimer.
Задача состоит в том, чтобы настроить роутер и комп таким образом, чтобы:
а. получать ADSL-интернет на комп и медиаплейер
б. использовать ресурсы локальной сети районного провайдера (DC++, IPTV, расшаренные файлы, ftp) на компьютере.
Поиск по форуму натолкнул на тему viewtopic.php?f=6&t=72355&start=75&hilit=Interface+Group, в которой обсуждается похожая проблема; на последней странице этой темы есть весьма полезный пост от DAurum.
Насколько я понял из форума, web-интерфейс роутера не позволяет полностью решить мою задачу. Вопрос в том, можно-ли используя linux-команды (iptables, route и т.д.) решить эту задачу?
Исходные данные такие:
1. Для выхода в интернет от МГТС (через adsl) на роутере создан WAN-интерфейс по протоколу PPoE (dns сервера, которые указаны в договоре с МГТС:
195.34.31.50
62.112.106.130)
2. Сетевые настройки, которые мне выдал провайдер районной сети:
ip: 10.11.36.91
mask: 255.255.252.0
gw: 10.11.36.1
dns: 172.16.1.6
172.16.0.2

Роутер настроен на данный момент так:
# ifconfig
br0 Link encap:Ethernet HWaddr 00:26:5A:50:EF:B0
inet addr:192.168.15.1 Bcast:192.168.15.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3634759 errors:0 dropped:0 overruns:0 frame:0
TX packets:2562969 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1786250930 (1.6 GiB) TX bytes:1569571998 (1.4 GiB)

br1 Link encap:Ethernet HWaddr 00:26:5A:50:EF:B1
inet addr:10.11.36.91 Bcast:10.11.36.255 Mask:255.255.252.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:491790 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:48704056 (46.4 MiB) TX bytes:1326 (1.2 KiB)

eth0 Link encap:Ethernet HWaddr 00:26:5A:50:EF:B1
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4126634 errors:0 dropped:0 overruns:0 frame:0
TX packets:2562082 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1925747728 (1.7 GiB) TX bytes:1590012016 (1.4 GiB)
Interrupt:23 Base address:0x2500

eth0.2 Link encap:Ethernet HWaddr 00:26:5A:50:EF:B1
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:491875 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:59532100 (56.7 MiB) TX bytes:1496 (1.4 KiB)

eth0.3 Link encap:Ethernet HWaddr 00:26:5A:50:EF:B1
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3634759 errors:0 dropped:0 overruns:0 frame:0
TX packets:2562058 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1866215628 (1.7 GiB) TX bytes:1590010052 (1.4 GiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:78 errors:0 dropped:0 overruns:0 frame:0
TX packets:78 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4166 (4.0 KiB) TX bytes:4166 (4.0 KiB)

nas_0_1_50 Link encap:Ethernet HWaddr 00:26:5A:50:EF:B2
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2816427 errors:0 dropped:0 overruns:0 frame:0
TX packets:3476597 errors:0 dropped:153504 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1568428837 (1.4 GiB) TX bytes:1841943424 (1.7 GiB)

ppp_0_1_50_1 Link encap:Point-Point Protocol
inet addr:79.139.241.69 P-t-P:79.139.240.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:2812430 errors:0 dropped:0 overruns:0 frame:0
TX packets:3626253 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1545745413 (1.4 GiB) TX bytes:1785021473 (1.6 GiB)

wl0 Link encap:Ethernet HWaddr 00:26:5A:50:EF:B0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:1316816
TX packets:5275 errors:158 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:739413 (722.0 KiB)
Interrupt:25

> route show
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
79.139.240.1 * 255.255.255.255 UH 0 0 0 ppp_0_1_50_1
192.168.15.0 * 255.255.255.0 U 0 0 0 br0
10.11.36.0 * 255.255.252.0 U 0 0 0 br1
default 79.139.240.1 0.0.0.0 UG 0 0 0 ppp_0_1_50_1

> dns show
Primary 195.34.31.50
Secondary 62.112.113.170

с роутера шлюз районной сети пингуется:
> ping 10.11.36.1
PING 10.11.36.1 (10.11.36.1): 56 data bytes
56 bytes from 10.11.36.1: icmp_seq=0 ttl=64 time=5.0 ms
56 bytes from 10.11.36.1: icmp_seq=1 ttl=64 time=0.0 ms
56 bytes from 10.11.36.1: icmp_seq=2 ttl=64 time=0.0 ms
56 bytes from 10.11.36.1: icmp_seq=3 ttl=64 time=0.0 ms
--- 10.11.36.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 0.0/1.2/5.0 ms

Комп настроен так:
C:\Documents and Settings\Vo>ipconfig -all

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : DINA
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети 6 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-C0-DF-11-9F-BD
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.15.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.15.1
DNS-серверы . . . . . . . . . . . : 195.34.31.50
62.112.106.130
172.16.1.6
172.16.0.2

с компа шлюз районной сети не пингуется:
C:\Documents and Settings\Vo>ping 10.11.36.1
Обмен пакетами с 10.11.36.1 по 32 байт:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Статистика Ping для 10.11.36.1:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

Итак, при такой конфигурации на компе я имею лишь интернет от МГТС, ресурсы-же районной сети не доступны.

Если кто-нибудь поможет советом, как настройить роутер (а лучше, более или менее подробной инструкцией, т.к. уже борюсь с этой задачей определенное время), буду очень благодарен.

зачем вообще конфигурировать ip-интерфейс, соответствующий районной сети, на модеме? модему туда ходить не нужно, оттуда не нужно пускать на модем
достаточно добавить второй, районный ip-адрес и маску на сетевую карту компьютера, а модем будет для этой сети просто коммутатором ethernet
windows какой?

Такой вариант я пробовал. В этом случае, в зависимости от того, какой Основной шлюз указываем в настройках интерфейса на компьютере, имеем на компе либо интернет через adsl либо районную сеть, но не одновременно. Пробовал указывать 2 шлюза (192.168.15.1 и 10.11.36.1) с одинаковыми метриками - результат тот-же.


winxp sp2


возможно, скоро появится еще один комп (скорее всего, ноутбук); хотелось-бы и на 2-м компе тоже иметь интернет и ресурсы районной сети независимо от 1-го компа. Поэтому, мне показалось логичным вынести все сетевые настройки в роутер, а компы ставить в одну подсеть с роутером, назначая его Основным шлюзом.

как так? метрики ни при чём, основной шлюз конечно 192.168.15.1, второй шлюз 10.11.36.1 только для 10.0.0.0/8 - и не работает?

route add 10.0.0.0 mask 255.0.0.0 10.11.36.1

К сожалению, не работает. Если не назначать метрики шлюзам (т.е. система выбирает ее Автоматически), то шлюз "скачет", т.е., команда "ipconfig -all" выдает то
"Основной шлюз: 10.11.36.1"
то
"Основной шлюз: 192.168.15.1".
Соответственно, интернет и районная сеть доступны лишь попеременно.

так его через окошко свойств задать нельзя, так он получается "Основной", т.е. Destination = 0.0.0.0/0 (default)
надо сделать его шлюзом только для 10.X.X.X, из командной строки набрать:

Хочу обратить внимание, что при маске 255.255.252.0 широковещательный адрес для районной сети будет 10.11.39.255, а не 10.11.36.255

ifconfig br1 10.11.36.91 netmask 255.255.252.0 broadcast 10.11.39.255

iptables -t nat -I POSTROUTING 1 -o br1 -s 192.168.15.1/255.255.255.0 -j MASQUERADE

iptables -I INPUT 1 -i br1 -d 10.11.36.91 -p udp -s 172.16.0.2 --source-port 53 -j ACCEPT
iptables -I INPUT 2 -i br1 -d 10.11.36.91 -p udp -s 172.16.1.6 --source-port 53 -j ACCEPT
iptables -I INPUT 3 -i br1 -d 10.11.36.91 -p icmp --icmp-type echo-request -m limit --limit 30/m --limit-burst 8 --j ACCEPT
iptables -I INPUT 4 -i br1 -d 10.11.36.91 -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -I INPUT 5 -i br1 -d 10.11.36.91 -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -I INPUT 6 -i br1 -d 10.11.36.91 -p icmp --icmp-type echo-reply -j ACCEPT

iptables -I FORWARD 1 -i br1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD 2 -i br0 -s 192.168.15.0/255.255.255.0 -d 10.11.36.0/255.255.252.0 -j ACCEPT
iptables -I FORWARD 3 -i br0 -s 192.168.15.0/255.255.255.0 -d 172.16.0.0/255.255.254.0 -j ACCEPT

route add -net 172.16.0.0 netmask 255.255.254.0 gw 10.11.36.1 metric 10

Для IPTV ничего конкретного сказать не могу, т.к. информации по данному вопросу не было, например, адреса, с которого идёт вещание (ну или плейлист), но как минимум туда (в районную сеть) нужно прописать маршрут.
route add -net 224.0.0.0 netmask 240.0.0.0 gw 10.11.36.1 metric 20

Хотя правильнее было бы сделать так:
route add -net <более_узкий_диапазон> gw <адрес_с_которого_идёт_вещание> metric 20

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.

Попробовал и такой вариант: как ни странно, работает только adsl-интернет, районная сеть не работает (с компа не пингуется шлюз 10.11.36.1). Но в любом случае, большое спасибо за внимание к моей проблеме!
DAurum предложил решение на роутере, буду копать в эту сторону.


Огромное Вам спасибо за ответ! Это именно то, чего я хотел добиться, но не хватало знаний.
Опишу результат, полученый после выполнения команд iptables и route, рекомендованных Вами:
1. Шлюз 10.11.36.1 теперь пингуется и с роутера и с компа, чего раньше не было и в чем была первая проблема.
2. Попробовал выйти на сайт форумом районной сети (forum.alterlan.ru) - результат тот-же - доступ запрещен; т.е. получается, что обращение к этому ресурсу идет через adsl, а не через LAN-порт. Посмотрел адрес ресурса (91.211.82.2) и добавил маршрут для адресов этой подсети на шлюз 10.11.36.1.
route add -net 91.211.80.0 netmask 255.255.252.0 gw 10.11.36.1 metric 10
После этого удалось зайти на сайт.
3. Та же беда, что и в п.2, но с DC++ (dc.alterlan.ru). После добавления маршрута хаб районной сети стал доступен, но осталась другая проблема, которую пока не смог победить:
не удается получить список файлов ни одного из пользователей этого хаба. Пробовал пробрасывать порты для DC++ на роутере (далее строки из таблици NAT -- Virtual Servers Setup в web-интерфейсе):
dcpp 4111 4111 TCP 4111 4111 192.168.15.2
dcpp 10771 10771 UDP 10771 10771 192.168.15.2
, не помогло.

Адрес "forum.alterlan.ru" был пересчитан в 91.211.82.2 чьим DNS? Наверняка от МГТС, т.к. они первые указаны в списке (ipconfig -all). Вполне возможно, что DNS провайдера районной сети при обращении к нему на 172.16.1.6 или 172.16.0.2 пересчитает "forum.alterlan.ru" в другой IP, например, из сети 10.11.36.0/22 или из 172.16.0.0/23, тогда не придётся добавлять маршрут в сеть 91.211.80.0/22. Просто поставьте адреса DNS провайдера районной сети первыми в списке и проведите эксперимент (не забудьте очистить локальный кэш DNS командой 'ipconfig /flushdns'). Кстати, маска 255.255.254.0 для сети 172.16.0.0 выбрана была мной только ради того, чтобы одной строчкой (route add) захватить оба DNS, а не просписывать каждый в отдельности, однако на самом деле сеть 172.16.0.0 может быть больше по масштабу.

Но если и они (172.16.1.6 или 172.16.0.2) пересчитают "forum.alterlan.ru" тоже в 91.211.82.2, тогда "route add -net 91.211.80.0 netmask 255.255.252.0 gw 10.11.36.1 metric 10" и есть единственно правильное в данной ситуации решение.


Web-интерфейс ничего не знает про br1, который "смотрит" в районную сеть. Проброс портов через web-итерфейс делается только для соединений, приходящих на PPPoE-интерфейс (МГТС). Чтобы пробросить указанные выше входящие соединения, поступающее на интерфейс br1 (10.11.36.91), нужно выполнить:

iptables -t nat -I PREROUTING 1 -p tcp -i br1 -d 10.11.36.91 --destination-port 4111 -j DNAT --to-destination 192.168.15.2
iptables -I FORWARD 1 -p tcp -i br1 -d 192.168.15.2 --destination-port 4111 -j ACCEPT

iptables -t nat -I PREROUTING 1 -p udp -i br1 -d 10.11.36.91 --destination-port 10771 -j DNAT --to-destination 192.168.15.2
iptables -I FORWARD 1 -p udp -i br1 -d 192.168.15.2 --destination-port 10771 -j ACCEPT

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.

Провел эксперимент, оказалось, что оба DNS-сервера резолвят имя в один адрес 91.211.82.2, так что пришлось оставить маршрут.


Сделал, но, к сожалению, не помогло. Может быть причина в том, что адреса пользователей хаба не в сети 10.11.36.0 (по маске 255.255.252.0)?
На всякий случай, приведу дамп цепочек iptables:
# iptables -t nat -L PREROUTING
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT udp -- anywhere 10.11.36.91 udp dpt:10771 to:192.168.15.2
DNAT tcp -- anywhere 10.11.36.91 tcp dpt:4111 to:192.168.15.2
DNAT tcp -- anywhere anywhere tcp dpt:3389 to:192.168.15.2
DNAT udp -- anywhere anywhere udp dpt:3389 to:192.168.15.2
DNAT tcp -- anywhere anywhere tcp dpt:www to:192.168.15.3
DNAT tcp -- anywhere anywhere tcp dpt:ftp to:192.168.15.3
DNAT tcp -- anywhere anywhere tcp dpt:telnet to:192.168.15.3
REDIRECT tcp -- anywhere anywhere tcp dpt:2121 redir ports 21
REDIRECT tcp -- anywhere anywhere tcp dpt:webcache redir ports 80
REDIRECT tcp -- anywhere anywhere tcp dpt:2323 redir ports 23
REDIRECT udp -- anywhere anywhere udp dpt:5060 redir ports 5060
DNAT udp -- anywhere 192.168.15.1 udp dpt:domain to:195.34.31.50
DNAT tcp -- anywhere anywhere tcp dpt:4111 to:192.168.15.2
DNAT udp -- anywhere anywhere udp dpt:10771 to:192.168.15.2

# iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere 192.168.15.2 udp dpt:10771
ACCEPT tcp -- anywhere 192.168.15.2 tcp dpt:4111
ACCEPT udp -- anywhere 192.168.15.2 udp dpt:10771
ACCEPT tcp -- anywhere 192.168.15.2 tcp dpt:4111
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- 192.168.15.0/24 10.11.36.0/22
ACCEPT all -- 192.168.15.0/24 172.16.0.0/23
ACCEPT udp -- 192.168.15.0/24 anywhere udp dpt:30006
ACCEPT tcp -- anywhere anywhere tcp dpt:30005
ACCEPT tcp -- anywhere 192.168.15.3 tcp dpt:telnet
ACCEPT tcp -- anywhere 192.168.15.3 tcp dpt:ftp
ACCEPT tcp -- anywhere 192.168.15.3 tcp dpt:www
ACCEPT udp -- anywhere 192.168.15.2 udp dpt:3389
ACCEPT tcp -- anywhere 192.168.15.2 tcp dpt:3389
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT !esp -- anywhere anywhere MARK match 0x10000000/0x10000000
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere


Поскольку роутер оказался с несколько большими возможностями, чем предоставялет WEB-интерфейс, то я подумал, может быть реально решить и следующую задачу:
провайдер районной сети предоставляет не только бесплатные ресурсы локальной сети, но и доступ в интернет через VPN (естественно, уже не бесплатный). Я уже давно им не пользуюсь (баланс отрицательный), т.к. есть более дешевый, но и более медленный интернет от МГТС.
Задача в том, чтобы использовать оба соединения для доступа в интернет.
Я вижу 2 варианта:
1. разделить все пространство адресов на два множества: на адреса из первого множества ходить через adsl, из другого - через br1 (например, если для ресурса требуется более быстрое соединение, то на этот ресурс будем ходить через br1, иначе - через adsl)
или
2. в каждый конкретный момент в интеренет можно ходить только через один интерефейс, но есть возможность оперативно переключиться на работу в интернете через другой интерфейс (конечно, вопрос, как будет выглядеть процедура переключения...)

Еще раз, большой спасибо за внимание к моим вопросам!

К сожалению, мне ровным счётом ничего не известно, как построена система взаимоотношений между хабом и пользователями - какой протокол/порт, диапазоны адресов и т.д. Посему точного решения дать не могу. Единственное, что могу посоветовать - подключить компьютер напрямую к районной сети и попытаться воспользоваться этим сервисом. Если получится, тогда смотреть, на предмет того, какие для этого используются протоколы, адреса, порты, и уже основываясь на полученной информации, производит конфигурацию маршрутизатора.


Здесь действительно встречаются повторения или мне показалось?
Ну что ещё можно сказать, RDP использует только TCP:3389, а telnet не является безопасным.


Можно, например, поставить прокси и настроить его на интернет районного провайдера через VPN, а на стороне клиентов по-умолчанию ходим в интернет через МГТС, но для быстрого скачивания в настройке браузера включаем этот самый прокси.

Или принимая во внимание, что VPN-соединение может быть установлено как маршрут по-умолчанию, то держать его постоянно включенным, но при этом вести подсчёт трафика через это соединение (наверняка здесь существует какой-то лимит по трафику), а когда этот трафик превысит заданную величину, положить VPN-соединение к районному провайдеру, и тогда маршрутизация пойдёт через МГТС. Вобщем, здесь есть место для фантазии.

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.

Собственно, до того, как у меня появился ADSL-роутер, так и было. Поэтому должно получиться, попробую.

Т.е. надо попытаться узнать в каких сетях живут пользователи хаба? (Кстати, если речь идет о портах клиента DC++, то их можно задать вручную в любом клиенте DC++; я оставил значения по умолчанию: tcp:4111, udp:10771.)


Я тоже это заметил и удалил дубли.


Спасибо. Подумаю, что можно сделать, в крайнем случае удалю.


Идеи ясны. Буду пробовать.

Еще было-бы здорово пустить на медиаплеер (он подключен к 3-му порту роутера, адрес в 192.168.15.3) интернет с br1, а с adsl не пускать. Неужели это тоже реально?

По крайней мере лишним это не будет.


Если "интернет" подразумевает соединение через VPN (PPTP), тогда мы частично приходим к варианту 2, который я описал выше (если соединение установлено, тогда ходим через него, иначе - через МГТС), а если это обычный проброс на шлюз 10.11.36.1, тогда скорее всего будет достаточно такого же приёма, как и для DNS-запросов при настройке LAN1 в качестве WAN:

iptables -t nat -I PREROUTING 1 -i br0 -s 192.168.15.3/255.255.255.255 -d 192.168.15.1 -j DNAT --to-destination 10.11.36.1

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.

Именно так - "интернет" подразумевает соединение через VPN (PPTP).
Я не совсем понял, это соединение надо создавать на роутере? Если да, то каким образом?

Наверняка на роутере можно вручную поднять PPTP в сеть через br1 (по аналогии, как это делается через интерфейс ADSL), но я этим пока не занимался и ничего определённого сказать не могу. Полагаю, в данном вопросе полезной будет информация отсюда: http://decker.no-ip.org/forum/index.php?showtopic=7129

Как по мне, то вариант с прокси (PPTP настраивается именно на нём) более простой в реализации и более конфигурабельный.

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.