On Tue, Feb 21, 2012 at 03:21:33PM +0400, Constantin Stefanov wrote: > Slawa Olhovchenkov wrote: > > On Tue, Feb 21, 2012 at 02:29:09PM +0400, Constantin Stefanov wrote: > > > >> Slawa Olhovchenkov wrote: > >>> On Tue, Feb 21, 2012 at 11:36:43AM +0400, Constantin Stefanov wrote: > >>> > >>>> Виталий Туровец wrote: > >>>>> То ли лыжи не едут, то ли я... Ну ты понел(с). > >>>>> Что тебе мешает разбить твою private /23 на две /24 (one per vlan), > >>>>> создать оные сущности на гатавее с фрей и сделать что-типа > >>>>> nat on $worldif from x.x.1.0/24 to any -> public_ip > >>>>> Может, я ошибся, с работы внимательно осмотрю тред)) > >>>> Я пока не понимаю, как их по vlan побить. Они в одном физическом > >>>> проводе, это не изменить. > >>> > >>> а как ответы на отнатенные пакеты отправлять на тазик, если публичный > >>> адрес единственный и на L3 свиче -- разобрался? > >> Там единственный адрес, который из сети стыка с провайдером. А так есть > >> еще сетка публичных адресов, и один из них выделен для nat, так что > >> здесь вопросов нет. > >> Так что я не могу поставить тазик "параллельно" со свитчом. А выделить > >> адрес под нат - не вопрос. > > > > разумеется можешь, в один vlan публичный адрес, причем на линке можно > > иметь приватные адреса, второй vlan -- LAN. а можно для > > дополнительного контроля и второй valn отдельный, тоже с приватными > > адресами (что бы мимо PBR на свиче никто не попал).
> То есть ты предлагаешь один vlan-интерфейс nat box выставить в LAN, а > другой - в стык с провайдером? А где я адрес возьму на тот, что в > провайдера смотрит? Там в стыке сеть /31, один адрес на свитче, другой - > на стороне провайдера. разве я написал так? нет, я написал так: заводишь еще два valn. vlanInside 172.16.1.0/24 (на тазике 172.16.1.1/24) vlanOutside 172.16.2.0/24 (на тазике 172.16.2.1/24) с L3 свича по роутингу (из интернета) NAT адрес отправляешь на 172.16.2.1. с тазика дефолт смотрит на 172.16.2.2/24. роутиинг на LAN -- на 172.16.1.2. PBR со свича кидает на 172.16.1.1. NAT натит c vlanInside на vlanOutside. все. > > и пакет замечательно пойдет из LAN на свич, по PBR в vlan2, NAT, уйдет > > по vlan1 и к провайдеру. в обратную сторону -- в обратном порядке. > Ну опять PBR появляется. Какая разница-то? ну по твоим словам PBR полюбому, поскольку не все натишь. смысл -- что бы у NAT было два интерфейса для работы.
