= Сообщение: 9994 из 10753 ===================================== RU.UNIX.BSD = От : Eugene Grosbein 2:5006/1 25 Sep 20 06:49:45 Кому : Dmitry Dolzenko 25 Sep 20 06:49:45 Тема : Re: Аварийный вход в LAN через сотовый модем FGHI : area://RU.UNIX.BSD?msgid=grosbein.net+5b52f755 На : area://RU.UNIX.BSD?msgid=ddt.demos.su+46c8092b = Кодировка сообщения определена как: IBM866 ================================= Ответ: area://RU.UNIX.BSD?msgid=grosbein.net+07c6a839 ============================================================================== 25 сент. 2020, пятница, в 00:28 NOVT, Dmitry Dolzenko написал(а):
DD> Т.е. VPN у тебя поднимается не средствами самого роутера, а через роутер DD> идет выход VPN с основного хоста? Интересно.
Да, именно так, чтобы можно было просто на основном роутере менять default route с первичного выхода в интернет на этот TP-Link и обратно.
DD> Без On Demand, просто в дежурном режиме, он всегда поднят?
Всегда поднят, mpd5/l2tp/mppe.
DD> Много трафика жрет?
Hу, пока в туннель трафик не роутится, через LTE бегают только туннельные фреймы PPP LCP Echo, инкапсулированные в udp/1701 (для мониторинга обрыва туннеля и переустановки) и ты сам регулируешь настройками mpd5 частоту отправки этих пакетов. Я не мерял точно, но около нуля.
DD> И еще вопрос - интересная идея на счет резерва. А в такой схеме с DD> резервным каналом, можно организовать забор почты с резервного MX на DD> основной хост? DD> При этом предполагая, что у Tp-Link нет постоянного IP?
Hу в моём случае этот LTE-линк предполагается использовать только для диагностики проблем в редких случаях отказа обоих стационарных интернет-подключений (Ростелеком и МТС), зайти и посмотреть, что за бардак там творится.
Hо можно и с резервным MX, даже несколькими способами. Если сервер с резервным MX подконтролен, можно поднять туда VPN с назначением на него постоянного внутреннего IP и настроить роутинг почты в MTA. Hапример, sendmail позволяет писать такое в /etc/mail/mailertable:
Это значит, что для domain.ru надо смотреть публичные записи MX в DNS и сначала слать почту туда (как по дефолту), а если все MX недоступны, то пытаться доставить по очереди на указанные статические IP.
Для domain2.ru вместо ссылки на MX домена сказано сначала слать через конкретный сервер relay.domain.ru, а потом далее по списку.
Hаверняка другие MTA тоже умеют аналогичное.
>> Hу или можно без второго NAT, если локалка простая. DD> Это как? Ставишь роутер в LAN, на отдельный IP и как то заворачиваешь в DD> него трафик с основного FreeBSD сервака?
Да, default route туда. Только отключить отправку ICMP redirects:
sysctl net.inet.ip.redirect=0
Иначе по дефолту фря будет флудить локалку редиректами, потому что многие операционки их игнорируют, и правильно делают, так как такие редиректы при их обработке генерируют временные записи в таблице маршрутизации клиента с длительным временем жизни записи, сама фряха ставит 20 минут по умолчанию и тогда уж назад не переключится раньше такого таймаута, а это слишком долго.