2 ISP, 2 LAN, 2 pfSensе - прошу совета !!!
-
С наступающим Вас , коллеги !
Вот попался на глаза pfSense - попробовал - и прямо влюбился… :)
Однако задачка стоит - нетривиальная и упорное чтение доков - как то не очень мне помогло.
Прошу помощи и совета у сообщества !Суть такова -
Площадка 1
стоит pfS с тремя никами -
NIC1 в сторону ISP-1 : берем по PPPoE интернет
NIC2 в сторону ISP-2 : по статике передаем интернет-трафик на второй pfS
NIC3 в сторону локалки - где по DHCP интернет от ISP-1 раздаемПлощадка 2
стоит PFS с двумя никами -
NIC1 берем с ISP-2 трафик с первой площадки от первого pfS по статике
NIC2 раздаем через PPPoE трафик от ISP-1 (да, так!!!) по локалке второй площадки.
Все работает, и в общем то и так хорошо... :)
Но !
Имея двух провайдеров - хотелось бы суммировать пропускную способность обоих каналов.Задача которая поставила меня в тупик:
а) как на одной сетевой карте поднять и PPPoE вместе со статическим IP адресом - дабы взять интернет трафик трафик и у ISP-2
Т.е. провайдер дает мне возможность получить и интернет трафик по ПППоЕ и использовать канал со статической адресацией до Площадки-2.б) как поднять VPN между первым и вторым pfS - для законченности картины ? Чтоб трафик между моими pfSense - скрыть от нескромных глаз ? :)
Вставил бы диаграммы для наглядности, да что-то "радликал-фото" тупит по страшному...
-
хачу схему, радикал фтопку юзай http://imageshack.us/
и ставь цель не как довести твое до ума, а как сделать то что ты изначально хотел, потому что я смутно понял зачем два pfsense тут
когда это можно сделать с помощью одного + балансировка канала между провайдерами -
А я второго интернет-провайдера не увидел, совсем старый стал -(
-
А я второго интернет-провайдера не увидел, совсем старый стал -(
я опирался на это
Имея двух провайдеров - хотелось бы суммировать пропускную способность обоих каналов.
все остальное можно было афтору не писать
-
Спасибо, за то что не оставили без внимания… :)
Извините что не сумел с первого раза внятно объяснить ситуацию.И спасибо за подсказку, вот схема:
Почему два pfsense - это две площадки разделенные если по прямой - эдак километров 10.
В офисе - два провайдера, на производстве - один
Подключение везде - по 100BaseT, доступ в Интернет -PPPoE, точка-точка внутри сети провайдера - static IP
Таким образом конечная задача - сложив на офисном pfS интернет трафик от обоих ISP - передать его кроме офисной локалки еще и на производство. (красная стрелка на схеме)
Исходя из экономики всего этого вопроса - обходимся минимумом (кризис же ! :)) - один аккаунт у ISP-1, один аккаунт у ISP-2, и у ISP-2 как присутствующего на обоих площадках недорого арендуем канал от офиса до производства, т.е. от pfSense-A до psSense-BИ вот у меня сложилось впечатление что loadbalans - можно реализовать только когда на обоих WAN - статические адреса ?
Или я не понял ? Во всех примерах что я просмотрел - именно так ? -
По-моему, это делается вот так (если я правильно понял вопрос)
-
По-моему, это делается вот так (если я правильно понял вопрос)
согласен с Евгением, берем прозрачный канал и не нужен второй pfsense и все просто делается
-
Увы…
во первых и канал не очень то прозрачный- на концах его даже адреса ISP-2 выданы из разных подсеток - я подозреваю что на цепочке разномастных роутеров по всей трассе - просто прописали для меня статический роутинг и все.
А во вторых - на второй площадке нужен PPPoE сервер.
Таким образом абоненты со своими PPPoE клиентами - через такой канал что мне дали - никак не пробьются к первому и единственному pfSens - как вы предложили.
Заказывал то я VLAN - но мне отказали - "по техническим условиям". -
Тогда вот так
-
Да нет, так тоже нельзя…. Свой PPPo-Е сервер в чужую сеть выставлять негоже...
Я ж говорю - VLAN не дали.
Потому пришлось смаршрутизировать трафик с pfs-A через сеть ISP-2 на свой же pfs-B
Да это в общем то и не проблема - работает же и ладно, второй pfsens на удаленной площадке вполне уместен ине лишний - там и файрволл, и пппое сервер и все что надо....Я могу сформулировать задачу более узко :
Как мне в pfs алиасинг сделать ?по аналогии с Линуксом -
/sbin/ifconfig eth0:0 192.168.4.1 broadcast 192.168.4.255 netmask 255.255.255.0
/sbin/ifconfig eth0:1 192.168.5.1 broadcast 192.168.5.255 netmask 255.255.255.0
/sbin/ifconfig eth0:2 192.168.6.1 broadcast 192.168.6.255 netmask 255.255.255.0
... и т.д.Как в pfsense на один эзернет посадить две РАЗНЫЕ сети ?
Т.е. мне надо чтоб через например Eth0:0 - был доступ в Интернет, а через Eth0:1 - статический роутинг на мою удаленную локалку ?
Не могу понять как это в pfsense делается....
Прям хоть еще одну карту сетевую втыкай в комп с pfsense-A - и через коммуттатор к тому же проводу от провайдера цепляй... :) -
Несколько сетей на один интерфейс в текущей версии через GUI никак. В 2.0 обещают. Сейчас можно только виртуальные IP присваивать с других подсетей. Но,честно, говоря я так до конца и не понял твою схему.
-
Жаль. придется видимо добавить четвертую сетевую плату OPT2 и коммутатор простенький на пять портов за 500 рублей. :)
относительно понимания - вы видимо упускаете из виду тот момент что трафик я беру в офисе у одного провайдера, а связать офис и производство - я могу только через сеть другого провайдера. А между офисом и производством - 10 км по прямой.
И раздавать на производстве интернет "своим" - можно только через PPPoE или через другую подобную технологию - VPN & e.t.c. - там сеть единая и присутствуют "чужие" пользователи. Я не имею доступа ни к коммутаторам сети провайдеров, ни к коммутаторам сети на производстве.
В итоге я вынужден везде "прорываться" через чужие сети. такие времена… (с) :) -
@OSM:
Жаль. придется видимо добавить четвертую сетевую плату OPT2 и коммутатор простенький на пять портов за 500 рублей. :)
относительно понимания - вы видимо упускаете из виду тот момент что трафик я беру в офисе у одного провайдера, а связать офис и производство - я могу только через сеть другого провайдера. А между офисом и производством - 10 км по прямой.
И раздавать на производстве интернет "своим" - можно только через PPPoE или через другую подобную технологию - VPN & e.t.c. - там сеть единая и присутствуют "чужие" пользователи. Я не имею доступа ни к коммутаторам сети провайдеров, ни к коммутаторам сети на производстве.
В итоге я вынужден везде "прорываться" через чужие сети. такие времена… (с) :)а просто в фаерволе разрешать выход своим?
я бы вам посоветовал управляемые коммутаторы и требовать ВЛАН от провайдера -
PPPoE - вещь привычная и весьма подходящая для работы в "публичных" езернетовских сетях.
С ним хорошо работает разношерстная армия виндовс - линукс- и аппаратных маршрутизаторов/файрволов и просто компьютеров - имеющегося у юзеров парка. Проверено на себе. :)
А требовать от провайдера - вещь сама по себе может и благородная - но… малоперспективная :)
Ответ абоненту "Нет технической возможности" - это как правило надолго....
