WAN se 2 adresami - se statickou IP a DHCP

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Od Václav Pávek (>)

Dne 2015-12-04 20:58 Upraveno 2015-12-04 21:35

Zdravím, chtěl bych se optat jak elegantně vyřešit následující situaci.

Dříve jsem měl Mikrotik kde jsem na WANu měl 2 IP - jednu přidělenou pomocí DHCP (primární, privátní IP) a jednu statickou (sekundární, veřejná IP).
Výchozí provoz jde přes první IP (neveřejná), ale z mého počítače (dle MAC) je odchozí veřejná IP.

Rád bych toto nastavení provedl i na Turrisu. Nastavení ale může být i obrácené tj. primárně na veřejné IP, ale chci abych mohl hlídat kdo ven půjde přes veřejnou nebo privátní IP.

Přišel jsem jak přidat rozhraní, ale nevím jak rozumně oddělit provoz který půjde ven přes veřejnou IP - resp. bych rád vše přes privátní a pouze některým PC dovolit jít ven přes veřejnou.

Předem děkuji za odpověď a pomoc s nastavením

Otázku jsem dříve pokládal ve Všeobecné diskusy - https://www.turris.cz/forum/topic_show.pl?tid=1052 - lze smazat.

Od saky

Dne 2015-12-05 10:19

Možná by mohlo pomoci https://www.turris.cz/doc/navody/multiwan :)

Od Václav Pávek (>)

Dne 2015-12-05 11:34

Bohužel dle dokumentace ne. Ale asi to nebudu řešit - veřejnou IP jsem měl kvůli přístupům na server a občas na přesměrování portů na můj NTB. Ven chodili všichni na wifi pod IP poskytovatele = trošku anonymní než reverzní záznam pavek.chrudim.net.

cituji: Multi-WAN funkcionalita je určena pro připojení přes různé poskytovatele. Nebude fungovat, pokud jej použijete k připojení více spojeními ke stejnému poskytovateli, nebo poskytovatelům se stejným rozsahem IP adres.

Od milanroubal (>)

Dne 2015-12-06 00:26

tak pro tento ucel funguje multiwan vyborne. Ta hlaska je v dokumentaci proto, ze pri standartni konfiguraci nelze mit 2 IP adresy na WAN typu 192.168.1.1 a 192.168.1.2, coz ale neni tento pripad. Ja mam na WAN IP adresy 192.168.0.12 a 10.100.0.2 a pres multiwan to slape bez problemu, i kdyz to pak fyzicky odchazi vsechno jednim kabelem. Je potreba se toho jen nebat. Je potreba mit 2 WAN rozhrani, kazde s tou adekvatni IP adresou.

konfigurace /etc/config/multiwan vypada nejak takto:
config multiwan 'config'
option default_route 'wan'
option enabled '1'
option debug '0'

config interface 'wan'
option icmp_hosts 'dns'
option timeout '3'
option health_fail_retries '3'
option health_recovery_retries '5'
option dns 'auto'
option weight 'disable'
option failover_to 'disable'
option health_interval 'disable'

config interface 'wan2'
option icmp_hosts 'dns'
option timeout '3'
option health_fail_retries '3'
option health_recovery_retries '5'
option dns 'auto'
option weight 'disable'
option health_interval 'disable'
option failover_to 'disable'

config mwanfw
option src '192.168.1.0/24'
option dst 'xxx.xxx.xxx.xxx'
option wanrule 'wan'

config mwanfw
option src 'ver.IP.add.res/24'
option dst 'xxx.xxx.xxx.xxx'
option wanrule 'wan2'

Ty posledni sekce pak urcuji, kdo muze na prvni nebo druhe wan rozhrani, muze jich byt i vice.

Problem, na ktery je mozne narazit, je chybne spousteni multiwan scriptu, pokud dojde k prepsani pravidel firewallu, doporucuji prohledat archiv, uz se to tady resilo.

Od Václav Pávek (>)

Dne 2015-12-06 00:37

Bohužel mám adresu ze stejného rozsahu. Mám NAT 1:1

Od milanroubal (>)

Dne 2015-12-06 00:56

no tak to zadny multiwan potreba neni :)
Pokud je jen jedna GW, tak staci priradit vice IP adres jednomu rozhrani, to OpenWRT umi

Od Václav Pávek (>)

Dne 2015-12-06 12:17

Už to asi mám nastavené, jen se musím trošku zorientovat. V každém případě děkuji za pomoc