Разделение трафика по двум интерфейсам

[shico]

Друзья, помогите решить задачку

Дано:

Локалка + два шлюза в интернет (192.168.0.1 и 192.168.0.3)

192.168.0.1 - Win2k с Proxy (UserGate v2.8)

192.168.0.3 - aDSL модем

Задача:

Распределить трафик таким образом чтобы на определённые URL трафик уходил по одному интерфейсу, а на все остальные по другому. Например в браузере (не важно каком) запросы на рамблер уходили по aDSL, а на яндекс через Proxy.

ЗЫ:

Желательно (но не критично), чтобы на машинах пользователей никаких манипуляций не производить. т.е. подцепить второй интерфейс к Proxy.

[Loader]

Можно поделить только исходящий и входящий... Остальное решается только отключением одного из шлюзов...

[shico]

А нельзя прокси научить такому финту? Есть такой, который это умеет?

Мне сказали, что штука которая мне нужна называется порт мапинг. в UserGate такая вкладка есть, только я так и не догнал как с ней работать. Может кто расскажет?

[shico]

Есть тут кто-нибудь, кто разбирается?

[Maikll]

Ты , вероятно, путаешь технологию "Трансляция Адресов" (NAT) с технологией "Назначение портов" (portmapping).

Назначение портов удобно использовать, скажем для настройки банковских программ –клиентов. В твоём случае тебе это не поможет.

Трансляция адресов более близка по смыслу, однако если мне правильно помниться в UserGate нет возможности идентифицировать КУДА уходят пакеты и делить их по этому признаку,такая настройка есть в KWF а в UG можно только задать новое правило NAT такого вида

Приемник – внутренний адрес какой-либо машины в сети

Отправитель – адрес нужного тебе сетевого интерфейса

Протокол – TCP

Назначенный порт – назначаешь порт, либо ставишь 0 – любой.

Включаешь это правило и все, теперь все пакеты с указанного тобой локального адреса будут отправляться по назначенному сетевому интерфейсу.

[shico]

А как сделать, так чтобы пакеты от нужной программы уходили по aDSL, а всё остальное уходило по умолчанию на прокси? Прокси должен стоять по умолчанию. Т.е. вариант: указать шлюз на aDSL, и какждую прогу, которая не должна по нему лазить, натравить на прокси не подходит, потому что юзер может свою принести и ничего не сказать. Вообще на каждой машине стот ProxyCup, но он работает как то через раз, может из-за домна, а может еще по какой то причине.

Вообще уже и не знаю что делать

[Maikll]

Так, начнем по порядку, ты используешь на клиентских машинах ProxyCup, которая, если

я правильно помню перенаправляет пакеты от указанных программ на некий адрес.

А зачем? Ты уже установил прокси UG. Используй ее. Настрой нужные тебе программы

на IP твоей машины с проксей, а в самом UG пропиши правило для перенаправления

пакетов в сеть.

Те же проги, которым нужно обрашаться через ADSL и настраивай на нее.

Ты не указал, но будем считать, что оба выхода в сеть расположены физически на

одной машине, тогда для разделения, куда что посылать, можно использовать уже

привязку портов. Пример: есть программа, выходящая в сеть по 110 порту, тебе надо отделить

ее от другой (или просто как то выделить), работающей по тому же порту, настраиваем назначение портов и связываем

110 порт интерфейса с ADSL с 1110 портом сетевой, смотрящей в локалку.

Саму прогу настраиваем на эту сетевую и пишем порт 1110. В UG пишем новое правило

NAT на перенаправление всех приходящих пакетов по порту 1110 на 110 порт через ADSL

Вот и все.

Далее про юзеров, не буду спрашивать, зачем ты разрешаешь устанавливать

им стороннее ПО, это твое дело, но уже не каждый юзверь сможет настроить свою прогу

на работу с проксей, а кроме того ты всегда можешь в правилах жестко указать порт, для которого оно действительно.

[shico]

ProxyCup стоит для программ, которые сами с прокси работать не умеют (некоторые почтовики, icq-клиенты и т.д.). Есть там правило "для всех", его по приоритету можно поставить последним, для которого можно задать Socks5 на прокси. и тогда юзерам вообще не надо будет о настройке своих прог. По поводу разрешения им ставить свои проги, мне и самому не нравится, но так уж решило начальство.

Завтра попробую поиграть с портами. Спасибо зи исчерпывающий ответ.

ЗЫ

вся беда в том что задавать прокси по умолчанию, это гемор на задницу, но aDSL

[Maikll]

ProxyCup стоит для программ, которые сами с прокси работать не умеют (некоторые почтовики, icq-клиенты и т.д.).

Уже интересно, не назовешь ли хоть парочку?

и тогда юзерам вообще не надо будет о настройке своих прог

но в общем-то понятно, зачем тебе она. Хотелось бы только отметить, что выгода от ее использования кажущаяся - да и как ты сам отметил, работает прога не всегда безупречно, скорее дело тут не в домене, а в ней самой, сыровата вещица.

И по размышлении совет - переходи на Kerio WinRoute, мне думается, он более отвечает поставленным тобой задачам, в часности, там есть возможность создавать правила для траффика, сожержащие одновременно NAT и MAP.

Удачи с экспериментами.

[shico]

Уже интересно, не назовешь ли хоть парочку?

Bat и qip (есть естественно и другие). если есть возможность заставить их работать без прокси, то поясни как? потому что ProxyCap уже не раз подводил. общий доступ для подключения на сервере открывать нельзя никак

[Andrey_al]

ProxyCup стоит для программ, которые сами с прокси работать не умеют (некоторые почтовики, icq-клиенты и т.д.).

Bat и qip (есть естественно и другие).

насколько я знаю, bat и qip прекрасно работают через прокси... а кто мешает настроить ADSL модем в режиме роутера и пустить трафик от почтовиков и асек через NAT, они прекрасно работают в этом режиме, как будто через прямое соединение, а остальной трафик (например HTTP) пустить через прокси... извини если я неправильно понял твои проблемы, в конце концов существуют роутеры с несколькими WAN интерфейсами, которые позволяют работать одновременно с несколькими провайдерами... правда дорогие прибамбасы

[Kobi]

Друзья, помогите решить задачку

Дано:

Локалка + два шлюза в интернет (192.168.0.1 и 192.168.0.3)

192.168.0.1 - Win2k с Proxy (UserGate v2.8)

192.168.0.3 - aDSL модем

Задача:

Распределить трафик таким образом чтобы на определённые URL трафик уходил по одному интерфейсу, а на все остальные по другому. Например в браузере (не важно каком) запросы на рамблер уходили по aDSL, а на яндекс через Proxy.

ЗЫ:

Желательно (но не критично), чтобы на машинах пользователей никаких манипуляций не производить. т.е. подцепить второй интерфейс к Proxy.

Можно попробовать воспользоваться стандартными средствами Windows, а именно, маршрутизацией пакетов.

route -f

route add ip_адрес_Яндекса mask 0.0.0.0 192.168.0.3

route add 0.0.0.0 mask 0.0.0.0 192.168.0.1

Что получим? Комп, на котором будут прописаны такие маршруты будет тыкаться на яндекс через шлюз 192.168.0.3, а остальное будет лезть через второй шлюз (192.168.0.1).

Проблема в том, что у тебя в сети присутствует прокси, который прописывается в настройках броузера (например IE) клиентов. Если бы в сети было 2 шлюза, то скорее всего, проблем бы не возникло.

Изменено 26 июня, 2006 пользователем Kobi

[Maikll]

Bat и qip (есть естественно и другие). если есть возможность заставить их работать без прокси, то поясни как?

Поясняю на примере Bat. У клиента - Свойства ящика - Транспорт - SMTP сервер и POP3 сервер ставим IP фейса смотрящего в локалку (192.168.0.1) на машине с проксей. Имя пользователя и пароль без изменений. В UG пишем 2 правила NAT 1) Имя:SMTP Приемник: 192.168.0.1 Отправитель: выбранный тобой сетевой интерфейс Порт 25 Протокол TCP.

2) Имя:POP3 Приемник: 192.168.0.1 Отправитель: выбранный тобой сетевой интерфейс Порт 110 Протокол TCP. Всё.

Аналогично будет и для qip В настройках подключения вкладка

Сервер авторизации - сервер-login.icq.com - порт-5190

Настройки прокси - Тип прокси - HTTP - Прокси сервер-пишешь ip - порт- указываешь порт прокси по умолчанию! В UG возможно придется сделать правило на порт 5190.

Andrey_al

а кто мешает настроить ADSL модем в режиме роутера и пустить трафик от почтовиков и асек через NAT, они прекрасно работают в этом режиме, как будто через прямое соединение, а остальной трафик (например HTTP) пустить через прокси

по моему, "мешать" будет прокси. А настройка и так уже идет через NAT.

Kobi, вопрос:

Можно попробовать воспользоваться стандартными средствами Windows, а именно, маршрутизацией пакетов.

Разве для этого не надо открывать общий доступ к подключению к Internet на сервере?

Я спрашиваю потому что

общий доступ для подключения на сервере открывать нельзя никак

хотя и немного непонятно почему.

Я так понял, что у shico 1 машина с 2 разными выходами в сеть, иначе возня с прокси теряет всякий смысл. Соответственно все настройки и даются под эту ситуацию.

Если бы в локалке было бы 2 различные машины каждая со своим подключением то твой совет - великолепный выход из положения.

[Kobi]

Maikll

route создаёт всего лишь таблицу маршрутов, и для неё ненужно расшаривать соединение. Простейшая команда route print покажет автоматически созданные маршруты, даже если на машине не расшарено подключение.

Этот вариант прокатит только если в сети для выхода в инет используются шлюзы, а не прокси.

Ещё есть небольшая сложность: поскольку ip-адреса узлов в инете могут меняться, то прописанный маршрут через некоторое время становится неработоспособным. Хотя есть выход: использовать подстановочные символы в ip-адресе узла, для чего нужно знать примерный диапазон ip-адресов, которые может получать интересующий узел. Тогда знаком ? можно заменить некоторые символы в ip-адресею. (например 81.91.35.1??)

Я так понял, что у shico 1 машина с 2 разными выходами в сеть, иначе возня с прокси теряет всякий смысл. Соответственно все настройки и даются под эту ситуацию.

Если бы в локалке было бы 2 различные машины каждая со своим подключением то твой совет - великолепный выход из положения.

А я как раз понял наоборот (т.е. в сети 2 компа - на одном прокся, на другом шлюз) :)

Он ведь написал:

Локалка + два шлюза в интернет (192.168.0.1 и 192.168.0.3)

Изменено 27 июня, 2006 пользователем Kobi

[Maikll]

Kobi

Признаю, был неправ, спасибо за разьяснение.

[djmix777]

ошибка "553 Relaying Denied" при посылке, почтового сообщения

выхожу через спутник, запросный канал через ADSL и тут начинается фишка,

я с провом (ADSL) разобирался когда, в принципе стало ясно, что они внесли меня в спам лист, у меня же ip спутника, и вообщем сказали что подключаясь именно так, у меня другой ip из другого диапазона ( трафик же у них исходящий бесплатный, и им это не интересно) и помочь ничем не могут.

у меня вопрос, могу ли я напрямую через адсл отправлять и получать почту, ну фиг сним пользоваться аськой, прикинувшись всё таки добропорядочным гражданином

а по OpenVPN получать входящий трафик протоколов HTTP и HTTPS.

как настроить эти правила? можно примеры?

как я это вижу, допустим,

NAT---->Lan/Firewall---->интерфейс адсл---->pop3,smtp,icq,dns----> транслировать на интерфейс адсл

Sky Nat ----> Lan/Firewall---->интерфейс OVPN---->HTTP,HTTPS----> транслировать на интерфейс OVPN

у меня сейчас получается так что если боа эти ната включены почта не получается, если отключею SKY NAT всё идёт!

ну если неправильно поправьте плиииз, и какие правила у меня ещё должны быть, у кого может встречалось подобное, что не получалось согласовать с провайдером запросного канала, отправку через их исходящий SMTP сервак.

как сделать всё правильно?

помогите!

мне посоветовали

прописать статический маршрут до

АДСЛ-провайдера так, чтобы и входящая почта и исходящая шла только по

запросному каналу, с их ip-адреса.

и вариант применения Код

route add IPсервера IPсетевойкарты, через которую в инет выходят -p

а как настроить в винроуте это? чтобы почта шла и получалась, как в правилах и что писать???? что указать в почтовых прогах в строках входящего и исходящего почтовых серверов???

подробнее описание моей проблемки

http://www.winroute.ru/forum/viewtopic.php...&highlight=

помогите