RaptorCache Con 2 Placas de red

[eltaz]

Hola: Quiero que Racptorcahe Funcione con 2 Placas de red por la eth1 tome internet y por a eth2 reparta Internet Cual seria la Solucion.-Saludos Gracias

[Zero]

Tenes dos opciones nat o Bridge

[firecold]

Tenes dos opciones nat o Bridge

Como lo harias amigo Zero para dejarlo en modo bridge, con xxx ip y como harias para redireccionar las peticiones con iptables  y si habria que modificar en algo el sysctl.conf, te pregunto porque tengo el interes de hacerlo pero por mas que lo intento no me sale, ademas hay alguna diferencia entre usar las dos tarjetas, porque asi lo tengo yo tambien con eth0 recibo el internet y con eth1 comparto a mi red, cuales serian las ventajas/desventajas del modo bridge, Saludos

PD: se me olvidava decir que eth0 es dhcp y la otra es estatica.

[omalave]

interesante, como haces para recibir WAN por digamos eth1 y enviarla a tu red por eth1 ?

[JuniorxTM]

Yo tengo mi Raptor cache con 2 tarjetas de RED por cuestiones de cuello de botella.

Para generar un Bridge o puente en debian lo asemos de la siguiente manera y usamos IP-TABLES para direccionamiento de trafico.

Verificamos que debian reconozca nuestras 2 placas de red con el comando

Código [Seleccionar] Expandir


ifconfig

debemos ver a "eth0" y a "eth1"

ahora en consola ejecutamos

Código [Seleccionar] Expandir


sudo gedit  /etc/network/interfaces
[code]
modificamos de la siguiente manera
[code]
auto lo br0   #Creamos la interface bridge
iface lo inet loopback  
iface eth0 inet manual #Establecemos al eth0 como manual
iface eth1 inet manual #lo mismo con eth1
iface br0 inet dhcp  #Configuramos el puente
       bridge_ports eth0 eth1

guardamos y cerramos.

Ahora creamos un "sh" para las ip tables

Código [Seleccionar] Expandir


sudo gedit /etc/init.d/bridge.sh

dentro introducimos lo siguiente

Código [Seleccionar] Expandir


iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -F
iptables -X
iptables -Z

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/8 -j MASQUERADE

NOTA: Aqui 10.0.0.0/8 es el segmento de red a la que le aran bridge y en "eth1" se establece como "LAN" o puerto de salida se captura todo el trafico HTTP (80) y se redirige al puerto 3128 asi como enmascarar todo el trafico.

guardamos y cerramos

ahora editamos el archivo "rc.local" para arrancar el "sh" en caso de un reinicio del servidor provisto o improvisto

Código [Seleccionar] Expandir


sudo gedit /etc/rc.local

agregamos la linea antes del exit.0

Código [Seleccionar] Expandir


sh /etc/init.d/bridge.sh

guardamos y cerramos y ya tendremos el bridge. solo falta reiniciar el servicio de red

Código [Seleccionar] Expandir


sudo /etc/init.d/networking restart

Esto es especialmente util cuando ya tienes una red y solo implementas un proxy-cache y no tocas nada de la configuración actual o cuando tu MKT tiene un mar de reglas y mover alguna podría ser muy perjudicial.

PD: Disculpen las faltas de ortografía pero tengo algo de sueño.

[JuniorxTM]

Disculpen dividirlo en 2 partes pero seria mucho todo junto.

Ahora seguimos si por lo contrario tenemos un servidor mega poderoso como esos de la NASA  :D y hemos montado el raptorcache firewall y demas herramientas al puro estilo all in one o solo quieres un proxy-cache. puedes aser que este sea un gateway y te de direcciones IP.

Primero abrimos nuestra configuración de interfaces

Código [Seleccionar] Expandir


sudo gedit  /etc/network/interfaces


Modificamos que quede así

Código [Seleccionar] Expandir


auto lo
     iface lo inet loopback

#Fijamos a eth0 como wan y asemos que optenga por DHCP su IP de lo contrario usamos lo mismo que en "eth1"                lógicamente usando el segmento de red correcto.
auto eth0
     iface eth0 inet dhcp

#Fijamos a eth1 como nuestra LAN o por donde conectaremos a nuestros clientes y fijamos el segmento de red "10.0.0.1" pueden poner el que gusten.

auto eth1
     iface eth1 inet static
     address 10.0.0.1
     netmask 255.0.0.0
     gateway 10.0.0.1

guardamos cerramos y reiniciamos la red con

Código [Seleccionar] Expandir


sudo /etc/init.d/networking restart


ahora instalamos un servidor DHCP

Código [Seleccionar] Expandir


apt-get install isc-dhcp-server


Editamos

Código [Seleccionar] Expandir


/etc/default/isc-dhcp-server


agregando nuestras interfaces

Código [Seleccionar] Expandir


INTERFACES = "eth0 eth1"


Editamos

Código [Seleccionar] Expandir


/etc/dhcp/dhcpd.conf


Código [Seleccionar] Expandir


# Configuración por defecto
ddns-update-style none;
ddns-updates off;
option T150 code 150 = string;
deny client-updates;
one-lease-per-client false;
allow bootp;

# estableciendo Google-DNS en los equipos cliente y el tiempo de concesión predeterminado
option domain-name-servers 8.8.8.8, 8.8.4.4;
default-lease-time 600;
max-lease-time 7200;

# Creamos la subnet
subnet 10.0.0.0 netmask 255.0.0.0 {
  interface eth1;
  range 10.0.0.2 10.0.0.254; # Usamos este rango de IP
  option routers 10.0.0.1;
  option subnet-mask 255.0.0.0;


NOTA: En caso de querer fijar IP fijas para clientes ponemos debajo lo siguiente

Código [Seleccionar] Expandir


#Host con ip fija host1 nombre del equipo el que queramos
  host host1 {
    hardware ethernet xx:xx:xx:xx:xx:xx; # remplazamos xx por la MAC apropiada
    fixed-address 10.0.0.2;
  }
  host impresora {
    hardware ethernet xx:xx:xx:xx:xx:xx;
    fixed-address 10.0.0.5;
  }
}

Guardamos y cerramos.

Ahora creamos un script con el fin de que el trafico sea dirigido de la forma correcta dentro y fuera de la red.
para ello editamos

Código [Seleccionar] Expandir


"nano /etc/init.d/tuxgateway"


Código [Seleccionar] Expandir


#!/bin/sh
### BEGIN INIT INFO
# Provides:          tudominio
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start daemon at boot time
# Description:       Enable service provided by daemon.
### END INIT INFO

PATH=/usr/sbin:/sbin:/bin:/usr/bin

# declaramos interfaces
outif="eth0" # Nuestra WAN conecta con nuestro proveedor
lanif="eth1" # Nuestra LAN conecta a los clientes

# Algunos de nuestros clientes es opcional
vncmachine="192.168.1.2"
printer="192.168.1.5"

# Borramos reglas existentes
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Special port forwardings (both optional)
# This line would allow us to connect to the VNC service of an internal machine from outside the LAN
# We would connect to gateways_public_ip:9702 to reach our target
iptables -t nat -A PREROUTING -p tcp --dport 9702 -j DNAT --to $vncmachine:5900
# Example of internal routing, using gateways_lan_ip:9705 would reach port 80, but couldn't be reached from outside
# could return useful, for instance, in case of particular VPN setups etc.
iptables -t nat -A PREROUTING -p tcp -i $lanif --dport 9705 -j DNAT --to $printer:80

# Always accept loopback traffic
iptables -A INPUT -i lo -j ACCEPT

# Allow established connections, and those not coming from the outside
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i $outif -j ACCEPT
iptables -A FORWARD -i $outif -o $lanif -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow outgoing connections from the LAN side
iptables -A FORWARD -i $lanif -o $outif -j ACCEPT

# Masquerading
iptables -t nat -A POSTROUTING -o $lanif -j MASQUERADE
iptables -t nat -A POSTROUTING -o $outif -j MASQUERADE

# Don't forward from the outside to the inside
iptables -A FORWARD -i $outif -o $outif -j REJECT

# Enable routing.

echo 1 > /proc/sys/net/ipv4/ip_forward

Guardamos y cerramos.

Ahora aremos que el script arranque con el servidor

Código [Seleccionar] Expandir


chmod +x /etc/init.d/tuxgateway
update-rc.d tuxgateway defaults


Si nos da un error lo podemos eliminar con lo siguiente

Código [Seleccionar] Expandir


update-rc.d -f tuxgateway remove


Finalmente reiniciamos y probamos que todo va bien.

Código [Seleccionar] Expandir


/etc/init.d/networking restart
/etc/init.d/isc-dhcp-server start
/etc/init.d/tuxgateway



Si tienen dudas pregunten me y tratare de ayudarles que de eso se trata :D

[azaelg]

Disculpen dividirlo en 2 partes pero seria mucho todo junto.

Ahora seguimos si por lo contrario tenemos un servidor mega poderoso como esos de la NASA  :D y hemos montado el raptorcache firewall y demas herramientas al puro estilo all in one o solo quieres un proxy-cache. puedes aser que este sea un gateway y te de direcciones IP.

Primero abrimos nuestra configuración de interfaces

Código [Seleccionar] Expandir


sudo gedit  /etc/network/interfaces


Modificamos que quede así

Código [Seleccionar] Expandir


auto lo
     iface lo inet loopback

#Fijamos a eth0 como wan y asemos que optenga por DHCP su IP de lo contrario usamos lo mismo que en "eth1"                lógicamente usando el segmento de red correcto.
auto eth0
     iface eth0 inet dhcp

#Fijamos a eth1 como nuestra LAN o por donde conectaremos a nuestros clientes y fijamos el segmento de red "10.0.0.1" pueden poner el que gusten.

auto eth1
     iface eth1 inet static
     address 10.0.0.1
     netmask 255.0.0.0
     gateway 10.0.0.1

guardamos cerramos y reiniciamos la red con

Código [Seleccionar] Expandir


sudo /etc/init.d/networking restart


ahora instalamos un servidor DHCP

Código [Seleccionar] Expandir


apt-get install isc-dhcp-server


Editamos

Código [Seleccionar] Expandir


/etc/default/isc-dhcp-server


agregando nuestras interfaces

Código [Seleccionar] Expandir


INTERFACES = "eth0 eth1"


Editamos

Código [Seleccionar] Expandir


/etc/dhcp/dhcpd.conf


Código [Seleccionar] Expandir


# Configuración por defecto
ddns-update-style none;
ddns-updates off;
option T150 code 150 = string;
deny client-updates;
one-lease-per-client false;
allow bootp;

# estableciendo Google-DNS en los equipos cliente y el tiempo de concesión predeterminado
option domain-name-servers 8.8.8.8, 8.8.4.4;
default-lease-time 600;
max-lease-time 7200;

# Creamos la subnet
subnet 10.0.0.0 netmask 255.0.0.0 {
  interface eth1;
  range 10.0.0.2 10.0.0.254; # Usamos este rango de IP
  option routers 10.0.0.1;
  option subnet-mask 255.0.0.0;


NOTA: En caso de querer fijar IP fijas para clientes ponemos debajo lo siguiente

Código [Seleccionar] Expandir


#Host con ip fija host1 nombre del equipo el que queramos
  host host1 {
    hardware ethernet xx:xx:xx:xx:xx:xx; # remplazamos xx por la MAC apropiada
    fixed-address 10.0.0.2;
  }
  host impresora {
    hardware ethernet xx:xx:xx:xx:xx:xx;
    fixed-address 10.0.0.5;
  }
}

Guardamos y cerramos.

Ahora creamos un script con el fin de que el trafico sea dirigido de la forma correcta dentro y fuera de la red.
para ello editamos

Código [Seleccionar] Expandir


"nano /etc/init.d/tuxgateway"


Código [Seleccionar] Expandir


#!/bin/sh
### BEGIN INIT INFO
# Provides:          tudominio
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start daemon at boot time
# Description:       Enable service provided by daemon.
### END INIT INFO

PATH=/usr/sbin:/sbin:/bin:/usr/bin

# declaramos interfaces
outif="eth0" # Nuestra WAN conecta con nuestro proveedor
lanif="eth1" # Nuestra LAN conecta a los clientes

# Algunos de nuestros clientes es opcional
vncmachine="192.168.1.2"
printer="192.168.1.5"

# Borramos reglas existentes
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Special port forwardings (both optional)
# This line would allow us to connect to the VNC service of an internal machine from outside the LAN
# We would connect to gateways_public_ip:9702 to reach our target
iptables -t nat -A PREROUTING -p tcp --dport 9702 -j DNAT --to $vncmachine:5900
# Example of internal routing, using gateways_lan_ip:9705 would reach port 80, but couldn't be reached from outside
# could return useful, for instance, in case of particular VPN setups etc.
iptables -t nat -A PREROUTING -p tcp -i $lanif --dport 9705 -j DNAT --to $printer:80

# Always accept loopback traffic
iptables -A INPUT -i lo -j ACCEPT

# Allow established connections, and those not coming from the outside
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i $outif -j ACCEPT
iptables -A FORWARD -i $outif -o $lanif -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow outgoing connections from the LAN side
iptables -A FORWARD -i $lanif -o $outif -j ACCEPT

# Masquerading
iptables -t nat -A POSTROUTING -o $lanif -j MASQUERADE
iptables -t nat -A POSTROUTING -o $outif -j MASQUERADE

# Don't forward from the outside to the inside
iptables -A FORWARD -i $outif -o $outif -j REJECT

# Enable routing.

echo 1 > /proc/sys/net/ipv4/ip_forward

Guardamos y cerramos.

Ahora aremos que el script arranque con el servidor

Código [Seleccionar] Expandir


chmod +x /etc/init.d/tuxgateway
update-rc.d tuxgateway defaults


Si nos da un error lo podemos eliminar con lo siguiente

Código [Seleccionar] Expandir


update-rc.d -f tuxgateway remove


Finalmente reiniciamos y probamos que todo va bien.

Código [Seleccionar] Expandir


/etc/init.d/networking restart
/etc/init.d/isc-dhcp-server start
/etc/init.d/tuxgateway



Si tienen dudas pregunten me y tratare de ayudarles que de eso se trata :D

Mi amigo yo tengo configurado raptor con una sola tarjeta, si le pkngo la otra tarjeta adicional solo tengo que hacer esta configuracion o tengo que hacer algo mas...

[JuniorxTM]

Solo tienes que hacer la configuración que vallas a usar gateway o bridge y verificar que la otra placa de red funcione y este instalada nada mas

[wifi monkey]

buenas tardes
si me pudieran hechar la mano por favor, tengo dias intentando instalar raptor de mil maneras y no mas no se deja, estoy intentando con esta configuracion que pone el sr.  JuniorxTM pero no puedo me marca el sig. error

/etc/dhcp/dhcpd.conf line 15: subnet 192.168.0.0 netmask 255.0.0.0: bad subnet number/mask combination.
subnet 192.168.0.0 netmask 255.0.0.0
                                   ^
Configuration file errors encountered -- exiting


gracias

[jeicko24]

y esa segunda tarjeta la cual va repartir internet, como yo podria usar para dos administradores .
se podria conectar a ambos administradores para que reparta , (diferentes provedores)

[firecold]

buenas tardes
si me pudieran hechar la mano por favor, tengo dias intentando instalar raptor de mil maneras y no mas no se deja, estoy intentando con esta configuracion que pone el sr.  JuniorxTM pero no puedo me marca el sig. error

/etc/dhcp/dhcpd.conf line 15: subnet 192.168.0.0 netmask 255.0.0.0: bad subnet number/mask combination.
subnet 192.168.0.0 netmask 255.0.0.0
                                   ^
Configuration file errors encountered -- exiting

y esa segunda tarjeta la cual va repartir internet, como yo podria usar para dos administradores .
se podria conectar a ambos administradores para que reparta , (diferentes provedores)

gracias

Para usar raptor con dos tarjetas, les recomendaria este post, basicamente es lo mismo y si les gusta el dhcp les ira de lujo; http://www.alterserv.com/foros/index.php?topic=1356.0, Saludos

[wifi monkey]

buenos dias
sr. ZERO hechenos la mano a los que queremos configurar en modo gateway o bridge, pasenos un tutorial, aun estamos en pañales en eso...gracias

[jimmbofish]

e echo todo y no me funciona nada tengo debian 7.0.5
ni algunos comandos ni nada

[firecold]

e echo todo y no me funciona nada tengo debian 7.0.5
ni algunos comandos ni nada

Amigo pero cuales comandos seran, por favor para reportar un error no solo se dice hay un error, recordad que no somos adivinos, necesitamos un reporte completo de tu problema para saber como resolverlo, Saludos

[juliobrenis]

Saludos:

Particularmen tengo el raptor con 2 tarjetas de red ambas conectadas al MKT.
Por Eth0 tiene salida a internet
Por Eth1 sirve internet a mi red local

[firecold]

Saludos:

Particularmen tengo el raptor con 2 tarjetas de red ambas conectadas al MKT.
Por Eth0 tiene salida a internet
Por Eth1 sirve internet a mi red local

Comentame amigo juliobrenis, entonces me imagino que lo estas usando en modo gateway, podrias comentar tu configuracion, Saludos

[juliobrenis]

Para empezar detallo el equipo con que trabajo:
MIkrotik Rb 1100AHX2
PC Core I5 con disco de 1 TB y 32 GB de RAM y Placa Intel
1 tarjeta de red integrada en la placa
2 tarjetas de red 100/1000

configuracion de ip address
7   ;;; RAPTOR
    192.168.12.1/30    192.168.12.0    ether09 Raptor
8   ;;; SQUID
    192.168.13.1/30    192.168.13.0    ether10 Squid

MANGLE

28   ;;; == RAPTORCACHE ==
    chain=postrouting action=mark-connection
    new-connection-mark=raptor-connection passthrough=yes protocol=tcp
    src-address=192.168.13.2 content=X-Cache: HIT from Raptor

29   chain=postrouting action=mark-packet new-packet-mark=raptor-packs
    passthrough=no connection-mark=raptor-connection

30   ;;; == SQUID ==
    chain=postrouting action=mark-connection
    new-connection-mark=squid-connection passthrough=yes protocol=tcp
    src-address=192.168.13.2 content=X-Cache: HIT from proxy.os.com

31   chain=postrouting action=mark-packet new-packet-mark=squid-packs
    passthrough=no connection-mark=squid-connection

NAT

19   ;;; Redirect Raptorcache
    chain=dstnat action=dst-nat to-addresses=192.168.13.2 protocol=tcp
    src-address=!192.168.12.2 in-interface=ether08 Red dst-port=80

INTERFACES DE RAPTOR

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
       address 192.168.12.2
       netmask 255.255.255.252
       network 192.168.12.0
       broadcast 192.168.12.3
       gateway 192.168.12.1
       # dns-* options are implemented by the resolvconf package, if installed
       dns-nameservers 192.168.12.1
       dns-search raptormpf

# The secundaria network interface
allow-hotplug eth1
iface eth1 inet static
       address 192.168.13.2
       netmask 255.255.255.252
       network 192.168.13.0
       broadcast 192.168.13.3

allow-hotplug eth2
iface eth2 inet static
       address 192.168.14.5
       netmask 255.255.255.252
       network 192.168.14.0
       broadcast 192.168.14.7



REGLAS DE IPTABLES DE RAPTOR CON DEBIAN 6 DE 64 BITS


#!/bin/bash
echo ";;;;;;;;;;;;;;;;;;;;;;;"
echo ";     RaptorCache     ;"
echo ";;;;;;;;;;;;;;;;;;;;;;;"

#Borrar cadenas anteriores
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

#Condiciones por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

#Aceptamos el localhost
iptables -A INPUT -i lo -j ACCEPT

#Aceptamos la red local
iptables -A INPUT -s 10.1.0.0/23 -j ACCEPT

iptables  -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo 1 > /proc/sys/net/ipv4/ip_forward
echo "** REGLAS APLICADAS **"


En la actualidad tengo en mi centro de trabajo conectadas 129 computadoras, obviamente con las restricciones de caso por ser un centro de trabajo (no se permite videos, chat, tv en vivo, facebook, claro esta con sus excepciones coomo para los Gerentes) y el squid tiene instalado el SquidGuard con listas negras provenientes de www.urlblacklist.org.

Espero les sea de utilidad

[juliobrenis]

y esa segunda tarjeta la cual va repartir internet, como yo podria usar para dos administradores .
se podria conectar a ambos administradores para que reparta , (diferentes provedores)

No entiendo deseas repartir internet teniendo dos proveedores de internet o deseas brindar internet a dos grupos diferentes (por diferentes interfaces)

[firecold]

Para empezar detallo el equipo con que trabajo:
MIkrotik Rb 1100AHX2
PC Core I5 con disco de 1 TB y 32 GB de RAM y Placa Intel
1 tarjeta de red integrada en la placa
2 tarjetas de red 100/1000

En la actualidad tengo en mi centro de trabajo conectadas 129 computadoras, obviamente con las restricciones de caso por ser un centro de trabajo (no se permite videos, chat, tv en vivo, facebook, claro esta con sus excepciones coomo para los Gerentes) y el squid tiene instalado el SquidGuard con listas negras provenientes de www.urlblacklist.org.

Espero les sea de utilidad

gracias amigo juliobrenis, siempre es bueno tener una mano amigo, Saludos

[abustos]

en la opcion Bridge o puente... hay que hacer alguna configuracion mas en el raptor.... por ejemplo cambiar la ip?

y en esta opcion.... 10.0.0.0/8 --- es el rango de ip de mis clientes....
iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/8 -j MASQUERADE

todo lo tengo con un mikrotik me da internet y todo pero no puedo entrar al raptor... y no me redirecciona nada
....
yo tengo mi Lan en eth1
y mi wan en eth0
...
alguien me puede dar una mano...
Mil gracias