Slawa Olhovchenkov wrote: > On Tue, Feb 21, 2012 at 02:29:09PM +0400, Constantin Stefanov wrote: > >> Slawa Olhovchenkov wrote: >>> On Tue, Feb 21, 2012 at 11:36:43AM +0400, Constantin Stefanov wrote: >>> >>>> Виталий Туровец wrote: >>>>> То ли лыжи не едут, то ли я... Ну ты понел(с). >>>>> Что тебе мешает разбить твою private /23 на две /24 (one per vlan), >>>>> создать оные сущности на гатавее с фрей и сделать что-типа >>>>> nat on $worldif from x.x.1.0/24 to any -> public_ip >>>>> Может, я ошибся, с работы внимательно осмотрю тред)) >>>> Я пока не понимаю, как их по vlan побить. Они в одном физическом >>>> проводе, это не изменить. >>> >>> а как ответы на отнатенные пакеты отправлять на тазик, если публичный >>> адрес единственный и на L3 свиче -- разобрался? >> Там единственный адрес, который из сети стыка с провайдером. А так есть >> еще сетка публичных адресов, и один из них выделен для nat, так что >> здесь вопросов нет. >> Так что я не могу поставить тазик "параллельно" со свитчом. А выделить >> адрес под нат - не вопрос. > > разумеется можешь, в один vlan публичный адрес, причем на линке можно > иметь приватные адреса, второй vlan -- LAN. а можно для > дополнительного контроля и второй valn отдельный, тоже с приватными > адресами (что бы мимо PBR на свиче никто не попал). То есть ты предлагаешь один vlan-интерфейс nat box выставить в LAN, а другой - в стык с провайдером? А где я адрес возьму на тот, что в провайдера смотрит? Там в стыке сеть /31, один адрес на свитче, другой - на стороне провайдера.
> и пакет замечательно пойдет из LAN на свич, по PBR в vlan2, NAT, уйдет > по vlan1 и к провайдеру. в обратную сторону -- в обратном порядке. Ну опять PBR появляется. Какая разница-то? -- Константин Стефанов Если морда просит кирпича - дайте. Вдруг у нее ремонт.
