1

Temat: Dwa NATy przez dwa rozne adresy na WAN

Obecnie moj WAN ma adres 192.168.5.10 i ruch idzie przez awaryjne lacze. Kolega-admin dostawcy sieci moze pokierowac moj ruch z wybranego hosta przez innego dostawce, jednak ruch wychodzacy z tego mojego hosta musialby byc widoczny pod innym adresem na WAN-ie (np. 192.168.6.10). Zrobilem drugi WAN i drugi LAN (wszystko w UCI/LUCI). W firewalu zrobilem nowe zone-y i skopiowalem 2 domyslne reguly (LAN2->WAN2). Pomine fakt, zer jesli mam 2 LANy na tym samym VLAN-ie, to z LAN2 nie widac routera na jego adresie z LAN2. Dla proby zrobilem druga siec WIFI i dodalem ja do tego mojego LAN2. Teraz z LAN2 po WIFI widzde router pod djego adresem z LAN2, ale NAT robi sie i tak z LAN2 do WAN1 a nie WAN2.

Jakas porada jak wymusic w OpenWRT (CC) dwa rozne NAT-y, z tym ze oba WANy na tym samym fizycznie interfejsie (z multiwan probowalem wczesniej, ale kompletnie nie potrafilem zmusic go do 2 WANow na tym samym porcie switcha).

2

Odp: Dwa NATy przez dwa rozne adresy na WAN

Takiego czegoś użyj: http://eko.one.pl/?p=openwrt-routing

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3 (edytowany przez cineq 2015-12-08 13:42:37)

Odp: Dwa NATy przez dwa rozne adresy na WAN

Dzieki, zrobilem drugi WAN i pokierowalem hosta przez bramke tego WAN-a. Musialem tylko w

ip rule add from 192.168.33.249 table wan2 pref 10

dodac "pref 10", bo inaczej regula wchodzila z numerem 0 przed siecia lokalna i host nie widział routera:

0:      from all lookup 128 
0:      from 192.168.33.249 lookup wan2 
1:      from all lookup local 
32766:  from all lookup main 
32767:  from all lookup default 

Jak wymusilem pref 10, to moja regula weszla za "local" i wszystko dzialalo poprawnie.

Ostatecznie wybralem z administratorem inny sposob kierowania ruchu z wybranych hostow inna trasa. Oznaczam pakiety za pomoca dscp (w przykladzie ponizej jeden host, caly ruch tcp/udp poza http/https):

iptables -t mangle -A FORWARD -m multiport -s 192.168.33.251 -p tcp  ! --dport 80,443 -j DSCP --set-dscp 33
iptables -t mangle -A FORWARD -s 192.168.33.251 -p udp -j DSCP --set-dscp 33

Moze komus przyda sie takie rozwiazanie (aczkolwiek jest one bardzo niszowe w domowych zastosowaniach)