2 ISP, 2 LAN, 2 pfSensе - прошу совета !!!

OSM · Dec 28, 2009, 6:59 PM

С наступающим Вас , коллеги !

Вот попался на глаза pfSense - попробовал - и прямо влюбился… :)
Однако задачка стоит - нетривиальная и упорное чтение доков - как то не очень мне помогло.
Прошу помощи и совета у сообщества !

Суть такова -
Площадка 1
стоит pfS с тремя никами -
NIC1 в сторону ISP-1 : берем по PPPoE интернет
NIC2 в сторону ISP-2 : по статике передаем интернет-трафик на второй pfS
NIC3 в сторону локалки - где по DHCP интернет от ISP-1 раздаем

Площадка 2
стоит PFS с двумя никами -
NIC1 берем с ISP-2 трафик с первой площадки от первого pfS по статике
NIC2 раздаем через PPPoE трафик от ISP-1 (да, так!!!) по локалке второй площадки.
Все работает, и в общем то и так хорошо... :)
Но !
Имея двух провайдеров - хотелось бы суммировать пропускную способность обоих каналов.

Задача которая поставила меня в тупик:
а) как на одной сетевой карте поднять и PPPoE вместе со статическим IP адресом - дабы взять интернет трафик трафик и у ISP-2
Т.е. провайдер дает мне возможность получить и интернет трафик по ПППоЕ и использовать канал со статической адресацией до Площадки-2.

б) как поднять VPN между первым и вторым pfS - для законченности картины ? Чтоб трафик между моими pfSense - скрыть от нескромных глаз ? :)

Вставил бы диаграммы для наглядности, да что-то "радликал-фото" тупит по страшному...

zar0ku1 · Dec 28, 2009, 11:16 PM

хачу схему, радикал фтопку юзай http://imageshack.us/

и ставь цель не как довести твое до ума, а как сделать то что ты изначально хотел, потому что я смутно понял зачем два pfsense тут
когда это можно сделать с помощью одного + балансировка канала между провайдерами

Eugene · Dec 29, 2009, 1:21 AM

А я второго интернет-провайдера не увидел, совсем старый стал -(

zar0ku1 · Dec 29, 2009, 1:40 AM

@Eugene:

А я второго интернет-провайдера не увидел, совсем старый стал -(

я опирался на это

Имея двух провайдеров - хотелось бы суммировать пропускную способность обоих каналов.

все остальное можно было афтору не писать

OSM · Dec 29, 2009, 6:34 AM

Спасибо, за то что не оставили без внимания… :)
Извините что не сумел с первого раза внятно объяснить ситуацию.

И спасибо за подсказку, вот схема:

Почему два pfsense - это две площадки разделенные если по прямой - эдак километров 10.
В офисе - два провайдера, на производстве - один
Подключение везде - по 100BaseT, доступ в Интернет -PPPoE, точка-точка внутри сети провайдера - static IP
Таким образом конечная задача - сложив на офисном pfS интернет трафик от обоих ISP - передать его кроме офисной локалки еще и на производство. (красная стрелка на схеме)
Исходя из экономики всего этого вопроса - обходимся минимумом (кризис же ! :)) - один аккаунт у ISP-1, один аккаунт у ISP-2, и у ISP-2 как присутствующего на обоих площадках недорого арендуем канал от офиса до производства, т.е. от pfSense-A до psSense-B

И вот у меня сложилось впечатление что loadbalans - можно реализовать только когда на обоих WAN - статические адреса ?
Или я не понял ? Во всех примерах что я просмотрел - именно так ?

Eugene · Dec 29, 2009, 8:34 PM

По-моему, это делается вот так (если я правильно понял вопрос)

zar0ku1 · Dec 29, 2009, 10:11 PM

@Eugene:

По-моему, это делается вот так (если я правильно понял вопрос)

согласен с Евгением, берем прозрачный канал и не нужен второй pfsense и все просто делается

OSM · Dec 30, 2009, 8:06 PM

Увы…
во первых и канал не очень то прозрачный- на концах его даже адреса ISP-2 выданы из разных подсеток - я подозреваю что на цепочке разномастных роутеров по всей трассе - просто прописали для меня статический роутинг и все.
А во вторых - на второй площадке нужен PPPoE сервер.
Таким образом абоненты со своими PPPoE клиентами - через такой канал что мне дали - никак не пробьются к первому и единственному pfSens - как вы предложили.
Заказывал то я VLAN - но мне отказали - "по техническим условиям".

Eugene · Dec 30, 2009, 10:08 PM

Тогда вот так

OSM · Jan 2, 2010, 8:00 AM

Да нет, так тоже нельзя…. Свой PPPo-Е сервер в чужую сеть выставлять негоже...
Я ж говорю - VLAN не дали.
Потому пришлось смаршрутизировать трафик с pfs-A через сеть ISP-2 на свой же pfs-B
Да это в общем то и не проблема - работает же и ладно, второй pfsens на удаленной площадке вполне уместен ине лишний - там и файрволл, и пппое сервер и все что надо....

Я могу сформулировать задачу более узко :
Как мне в pfs алиасинг сделать ?

по аналогии с Линуксом -

/sbin/ifconfig eth0:0 192.168.4.1 broadcast 192.168.4.255 netmask 255.255.255.0
/sbin/ifconfig eth0:1 192.168.5.1 broadcast 192.168.5.255 netmask 255.255.255.0
/sbin/ifconfig eth0:2 192.168.6.1 broadcast 192.168.6.255 netmask 255.255.255.0
... и т.д.

Как в pfsense на один эзернет посадить две РАЗНЫЕ сети ?
Т.е. мне надо чтоб через например Eth0:0 - был доступ в Интернет, а через Eth0:1 - статический роутинг на мою удаленную локалку ?
Не могу понять как это в pfsense делается....
Прям хоть еще одну карту сетевую втыкай в комп с pfsense-A - и через коммуттатор к тому же проводу от провайдера цепляй... :)

Eugene · Jan 3, 2010, 6:10 PM

Несколько сетей на один интерфейс в текущей версии через GUI никак. В 2.0 обещают. Сейчас можно только виртуальные IP присваивать с других подсетей. Но,честно, говоря я так до конца и не понял твою схему.

OSM · Jan 4, 2010, 8:18 PM

Жаль. придется видимо добавить четвертую сетевую плату OPT2 и коммутатор простенький на пять портов за 500 рублей. :)

относительно понимания - вы видимо упускаете из виду тот момент что трафик я беру в офисе у одного провайдера, а связать офис и производство - я могу только через сеть другого провайдера. А между офисом и производством - 10 км по прямой.
И раздавать на производстве интернет "своим" - можно только через PPPoE или через другую подобную технологию - VPN & e.t.c. - там сеть единая и присутствуют "чужие" пользователи. Я не имею доступа ни к коммутаторам сети провайдеров, ни к коммутаторам сети на производстве.
В итоге я вынужден везде "прорываться" через чужие сети. такие времена… (с) :)

zar0ku1 · Jan 5, 2010, 7:39 AM

@OSM:

Жаль. придется видимо добавить четвертую сетевую плату OPT2 и коммутатор простенький на пять портов за 500 рублей. :)

относительно понимания - вы видимо упускаете из виду тот момент что трафик я беру в офисе у одного провайдера, а связать офис и производство - я могу только через сеть другого провайдера. А между офисом и производством - 10 км по прямой.
И раздавать на производстве интернет "своим" - можно только через PPPoE или через другую подобную технологию - VPN & e.t.c. - там сеть единая и присутствуют "чужие" пользователи. Я не имею доступа ни к коммутаторам сети провайдеров, ни к коммутаторам сети на производстве.
В итоге я вынужден везде "прорываться" через чужие сети. такие времена… (с) :)

а просто в фаерволе разрешать выход своим?
я бы вам посоветовал управляемые коммутаторы и требовать ВЛАН от провайдера

OSM · Jan 5, 2010, 8:13 AM

PPPoE - вещь привычная и весьма подходящая для работы в "публичных" езернетовских сетях.
С ним хорошо работает разношерстная армия виндовс - линукс- и аппаратных маршрутизаторов/файрволов и просто компьютеров - имеющегося у юзеров парка. Проверено на себе. :)
А требовать от провайдера - вещь сама по себе может и благородная - но… малоперспективная :)
Ответ абоненту "Нет технической возможности" - это как правило надолго....