проблема с маршрутизацией, потери пакетов
-
@legsedel
посмотрите тут
https://docs.netgate.com/pfsense/en/latest/troubleshooting/asymmetric-routing.htmlМожет быть это решение подойдет .....
или .....как вариант ( если у Вас ip адреса хосты получают по dhcp, то есть опция, которая передает статические маршруты )Но, по-моему, самый простой путь это, чтобы хосты получали пакеты от 192.168.20.1 ( просто и эффективно)
или
отказаться от L3 на коммутаторе , сделать L2 + транковый порт до PF ( и пусть pf маршрутизирует весь трафик) -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
посмотрите тут
https://docs.netgate.com/pfsense/en/latest/troubleshooting/asymmetric-routing.htmlУ меня галочка стоит , поэтому это не подойдет.
@Konstanti said in проблема с маршрутизацией, потери пакетов:
или .....как вариант ( если у Вас ip адреса хосты получают по dhcp, то есть опция, которая передает статические маршруты )
Какая опция передает статические маршруты, не помните?
@Konstanti said in проблема с маршрутизацией, потери пакетов:
или
отказаться от L3 на коммутаторе , сделать L2 + транковый порт до PF ( и пусть pf маршрутизирует весь трафик)Ну это вариант уже "Роутер на палочке" (Router-on-a-Stick), зачем его использовать когда есть L3 коммутатор?
Может еще есть варианты? Схема сети же совсем простая.......
-
https://forum.netgate.com/topic/141005/dhcp-classless-static-route-option-resuelto?_=1614104874229
тут посмотрите
это на испанском , я переписывался по этому поводу -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
https://forum.netgate.com/topic/141005/dhcp-classless-static-route-option-resuelto?_=1614104874229
тут посмотрите
это на испанском , я переписывался по этому поводуУ меня DHCP сервер на windows server 2016, как я понимаю, опция должна стоять со стороны релея на L3 коммутаторе Option 249, Option 121?
-
This post is deleted! -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
.....как вариант ( если у Вас ip адреса хосты получают по dhcp, то есть опция, которая передает статические маршруты )
Хотя, как вы сами писали, хосты в 50.0/24 и 70.0/24 знают о подсети 20.0/23, зачем им передавать статические маршруты по dhcp.
Вот как узнает подсеть 20.0/23 о других подсетях, ей по хорошему, надо получить на автомате статический маршрут, так же по dhcp!?@Konstanti said in проблема с маршрутизацией, потери пакетов:
Но, по-моему, самый простой путь это, чтобы хосты получали пакеты от 192.168.20.1 ( просто и эффективно)
Как это сделать?
-
1 50.0 и 70.0 ничего не нужно знать о других сетях ( для этого у них есть шлюз) - им ничего передавать не надо
2 NAT исходящий на интерфейсе 20.1 (тогда хостам в сети 20.0 ничего не надо знать о сетях 50.0 и 70.0 ) Они пакеты будут отправлять обратно на 20.1 -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
1 50.0 и 70.0 ничего не нужно знать о других сетях ( для этого у них есть шлюз) - им ничего передавать не надо
2 NAT исходящий на интерфейсе 20.1 (тогда хостам в сети 20.0 ничего не надо знать о сетях 50.0 и 70.0 ) Они пакеты будут отправлять обратно на 20.1Единственным, приемлемым решением будет получать по dhcp хостам в подсети 20.0/23 статические маршруты Option по 249, Option 121? Хосты все на винде в основном.
А что делать с хостами, у которых ip статические? -
@legsedel
Родилась одна идея , к каким хостам из 20.0/23 нужен доступ из 50.0/24 и 70.0/24 ? -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
Родилась одна идея , к каким хостам из 20.0/23 нужен доступ из 50.0/24 и 70.0/24 ?
Ну это в основном сервера: 1C, SQL сервера, 2 домена, файловые сервера, СКУД. почтовый сервер, NAS, телефония. Порядка 15 серверов.
К обычным хостам из 20.0/23 доступ не нужен. -
@legsedel
Вообще-то , я имел в виду IP адреса ....
p.s. появилась еще одна идея .... -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
Вообще-то , я имел в виду IP адреса ....
p.s. появилась еще одна идея ....192.168.20.2, 192.168.21.3, 192.168.20.128, 192.168.21.1, 192.168.20.20, 192.168.20.236, 192.168.20.6, 192.168.20.51, 192.168.21.4, 192.168.20.54, 192.168.21.200, 192.168.21.2
-
@legsedel
понятно
1 идея была в том , чтобы все сервера перенести в адресное пространство 192.168.21.0/24
и настроить l3 коммутатор так , чтобы он знал только о сети 192.168.20.0/24 (а pf знает о сети 192.168.20.0/23)
в этом случае, при доступе к ресурсам сети 192.168.21.0/24 -> L3 коммутатор шлет весь трафик на pf ( а тот уже дальше)идея 2
L3 коммутатор <-> PF соединить выделенной отдельной сетью ( например , 192.168.30.0/24 )
тогда l3 коммутатор ничего не будет знать о сети 192.168.20.0/23 и будет все пакеты слать на pF , а тот уже , в свою очередь , дальше переправлять трафик , куда надо -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
1 идея была в том , чтобы все сервера перенести в адресное пространство 192.168.21.0/24
и настроить l3 коммутатор так , чтобы он знал только о сети 192.168.20.0/24 (а pf знает о сети 192.168.20.0/23)
в этом случае, при доступе к ресурсам сети 192.168.21.0/24 -> L3 коммутатор шлет весь трафик на pf ( а тот уже дальше)Этот вариант не подходит.
@Konstanti said in проблема с маршрутизацией, потери пакетов:
идея 2
L3 коммутатор <-> PF соединить выделенной отдельной сетью ( например , 192.168.30.0/24 )
тогда l3 коммутатор ничего не будет знать о сети 192.168.20.0/23 и будет все пакеты слать на pF , а тот уже , в свою очередь , дальше переправлять трафик , куда надоэто еще одну сетевую карту надо задействовать на PF?
А может использовать динамическую маршрутизацию?
-
@legsedel Vlan ( транковый порт)
Vlan 100 (L3-L2)
Транк L2-PF ( 100 + vlan на сеть 20.0/23) -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
Vlan ( транковый порт)
Vlan 100 (L3-L2)
Транк L2-PF ( 100 + vlan на сеть 20.0/23)Саб интерфейс городить....мдя, как-то все через одно место получается
-
@legsedel
у вас в сети 2 маршрутизатора , Вам надо разделить трафик ....
PF - это файрвол с контролем состояний
Для решения проблем с асимметричной маршрутизация ( tcp) надо отключать контроль флагов в правилах
я так понимаю , что еще нужен контроль доступа на серверах ( поэтому НАТ неприменим )
Подумайте еще над вариантом , чтобы шлюз по умолчанию для кого-то в сети 20.0/23 был 20.1 -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
Подумайте еще на вариантом , что шлюз по умолчанию для кого-то в сети 20.0/23 был 20.1
Проверил, пакеты ходят без потерь! Хороший вариант. Спасибо вам! Только теперь надо всем в 20.0/23 перевыдавать сетевые настройки через dhcp и указывать шлюз 20.1
Весь траффик будет идти через L3 коммутатор, а вот потянет ли он такую нагрузку? Вот интересно, какая пропускная способность маршрутизации на L3 коммутаторе (mes2348b), гигабит или больше?Эх...надеялся на чудесные возможности Pfsense, до последнего думал, что все-таки на нем что-то надо настраивать и не трогать сеть....
-
@legsedel
не может быть простых решений в сетях с несколькими шлюзами
По поводу пропускной способности .... сложно сказать , все проверяется только экспериментальным путем
а так , не за что ... обращайтесь