на главнуюВсе эхи RU.UNIX.BSD
войти ?

Re: Аварийный вход в LAN через сотовый модем

От Eugene Grosbein (2:5006/1) к Dmitry Dolzenko

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


25 сент. 2020, пятница, в 00:28 NOVT, Dmitry Dolzenko написал(а):

DD> Т.е. VPN у тебя поднимается не средствами самого роутера, а через роутер
DD> идет выход VPN с основного хоста? Интересно.

Да, именно так, чтобы можно было просто на основном роутере
менять default route с первичного выхода в интернет на этот TP-Link
и обратно.

DD> Без On Demand, просто в дежурном режиме, он всегда поднят?

Всегда поднят, mpd5/l2tp/mppe.

DD> Много трафика жрет?

Hу, пока в туннель трафик не роутится, через LTE бегают только
туннельные фреймы PPP LCP Echo, инкапсулированные в udp/1701
(для мониторинга обрыва туннеля и переустановки)
и ты сам регулируешь настройками mpd5 частоту отправки этих пакетов.
Я не мерял точно, но около нуля.

DD> И еще вопрос - интересная идея на счет резерва. А в такой схеме с
DD> резервным каналом, можно организовать забор почты с резервного MX на
DD> основной хост?
DD> При этом предполагая, что у Tp-Link нет постоянного IP?

Hу в моём случае этот LTE-линк предполагается использовать только
для диагностики проблем в редких случаях отказа обоих стационарных
интернет-подключений (Ростелеком и МТС), зайти и посмотреть,
что за бардак там творится.

Hо можно и с резервным MX, даже несколькими способами.
Если сервер с резервным MX подконтролен, можно поднять туда VPN
с назначением на него постоянного внутреннего IP и настроить
роутинг почты в MTA. Hапример, sendmail позволяет писать
такое в /etc/mail/mailertable:

domain.ru esmtp:domain.ru:192.168.254.26:192.168.254.50
domain2.ru esmtp:[relay.domain.ru]:192.168.254.26:192.168.254.50

Это значит, что для domain.ru надо смотреть публичные записи MX в DNS
и сначала слать почту туда (как по дефолту), а если все MX
недоступны, то пытаться доставить по очереди на указанные статические IP.

Для domain2.ru вместо ссылки на MX домена сказано сначала слать через
конкретный сервер relay.domain.ru, а потом далее по списку.

Hаверняка другие MTA тоже умеют аналогичное.

>> Hу или можно без второго NAT, если локалка простая.
DD> Это как? Ставишь роутер в LAN, на отдельный IP и как то заворачиваешь в
DD> него трафик с основного FreeBSD сервака?

Да, default route туда. Только отключить отправку ICMP redirects:

sysctl net.inet.ip.redirect=0

Иначе по дефолту фря будет флудить локалку редиректами,
потому что многие операционки их игнорируют, и правильно делают,
так как такие редиректы при их обработке генерируют временные записи
в таблице маршрутизации клиента с длительным временем жизни записи,
сама фряха ставит 20 минут по умолчанию и тогда уж назад не переключится
раньше такого таймаута, а это слишком долго.

Eugene
--- slrn/1.0.3 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.UNIX.BSD?msgid=grosbein.net+5b52f755