Помогите, Шейпер для неск. диапазонов IP
-
Есть маленький ISP на маленький район у него 3 диапазона IP: 9x.x.x., 7x.x.x. и раздающийся с DHCP 10.10.10.*
9x.x.x.* и 7х.х.х.* рздаются клиентам провайдера… (их пока не больше 100 пока и обслуживает их Catalyst 3750).
В серверной провайдера к этому делу присоединяется несколько серверов и служебных компов и все попадает во второй Catalyst 3750.Цель задачи такая - поставить между двумя роутерами Шейпер, и ограничивать трафик по IP каждому клиенту и/или серверу...
Я взялся тестировать PFSense (пока отдельно чтобы не отключать никому интернет): для этого вставил в компьютер под управлением XP 2ю сетевую карту.
Установил VMWare Workstation:Следующие настройки назначил сетевым соединениям:
Соединение 1 (с1): отключил у него TCP/IP и подсоединил к нему внешний интернет, в VMWare перевел на него бридж для VMNet1
Соединение 2 (с2): все включил - определение IP через DHCP подключил в него свитч для пары компов содрудников которым пошейплю траффик, в VMWare сделал бридж для VMNet2Поставил на VMWare PFSense указал ему WANом с1 и дал IP 7х.х.х.х указал шлюз 7x.x.x.z и NSы 7x.x.x.k 7x.x.x.m, LAN ом указал с2 и дал адрес 192.168.3.1 включил DHCP с диапазоном 192.168.3.10 до 192.168.3.250.
На моем компе и на тестируемом (подключенном через свитч) компе взялись с DHCP параметры сетки и заработал инет.
Трафик прошейпился отлично!
Как только на втором компе я вручную указал IP 7x.x.x.y указал шлюз 7x.x.x.z и NSы 7x.x.x.k 7x.x.x.m он оказался отрезаным от интернета.
Совет с отключением NAT не помог, как и все советы отсюда: http://doc.pfsense.org/index.php/How_can_I_use_public_IP's_on_the_LAN%3F, и отсюда: http://forum.pfsense.org/index.php/topic,14541.0.html …
Единственное, что не пробовал и не понял как делать NAT 1:1 (и не очень то понимаю нужность этого, поскольку внешних IP в LAN будет много и все их руками прописывать - не идеальный выход).
Помогите пожалуйста решить эту проблему: как заставить шейпер пропускать в интернет компы с внешним IP (и при этом шейпить их траффик)?Добавляю схемы:
Схема 1 - то что должно быть в реале:
Схема 2 - как я это тестирую и что не выходит:
-
Что то мне подсказывает, что для таких задач нужно брать чистый дистрибутив *nix по вкусу и выполнять задачу на нем.
вот обзор на эту тему:
http://nag.ru/articles/article/17045/shape-nat-netflow-na-bol-shih-setyah-chast-1.html
Область применения таких вещей как pfsense\Freenas - SOHO. Исправьте меня, если это не так. -
Статья действительно очень хорошая, очень многое обьясняет но к сожалению в ней скорее задано направление, а вот практических решений нет… Насчет SOHO да тоже слышал... Ну вот просто на аппаратный шейпер мне денег не выделят. А 3 диапазона шейпить надо... Нет ли способа задействовать всежтаки pfsence чисто как маршрутизатор/шейпер (а не как LAN/WAN шлюз) поскольку веб интерфейс его очень бы облегчил дело в настройке шейпинга...
-
Если я правильно понял, то ваш вариант - бридж между интерфесами. Но на версиях 1.хх он с шейпером плохо дружит. Попробуйте 2 бету - там новый шейпер.
-
Если я правильно понял, то ваш вариант - бридж между интерфесами. Но на версиях 1.хх он с шейпером плохо дружит. Попробуйте 2 бету - там новый шейпер.
Спасибо.
Поставил версию 2.
Попрежнему как только у компьютеров из сети с2 ставлю внешний IP - они выпадает из интернета…
В настройках пробовал поставить только WAN (думал так он заработает как бридж) но в таком случае машины с с2 вообще ничего не видели... -
Без схемы по словам тяжело разбирать. Не осилил где и какие компы у Вас. Попробуйте нарисовать схемы вашей и тестовой сетей.
-
Без схемы по словам тяжело разбирать. Не осилил где и какие компы у Вас. Попробуйте нарисовать схемы вашей и тестовой сетей.
Добавил в топик схемы (чертил в dia как мог - но вроде понятно)…
-
На тестовой сети PC1 нельзя включать в свич с приватной сети это не каталист.
Ставим 3 сетевую и делаем DMZ (OPT интерфейс), в котором и подключаем машинку с реальным адресом. А OPT и WAN можно сделать бриджем, на 2.0 шейпер на бридже должен работать.Каталист много чего интересного скрывает с глаз людских прикидываясь обычным свичем.
-
На тестовой сети PC1 нельзя включать в свич с приватной сети это не каталист.
Ставим 3 сетевую и делаем DMZ (OPT интерфейс), в котором и подключаем машинку с реальным адресом. А OPT и WAN можно сделать бриджем, на 2.0 шейпер на бридже должен работать.Каталист много чего интересного скрывает с глаз людских прикидываясь обычным свичем.
ДА! Спасибо огромное! Так и попробую утром! Только 1 вопрос: для каждого диапазона открывать OPT и добавлять сетевуху (тоесть для 7x.x.x.* одну и для 9x.x.x.* другую), или на оба диапазона одной сетевухи хватит?
Свитч - не каталист - обычный тестовый свитч от Асус только с тестовыми компами(это в реальной сетке будет каталист)!
НО про опт сердцем чую - получится!!!
Завтра отпишусь! -
Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!
-
Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!
Как раз рабочая будет правильной в контексте использования каталистов. Но из-за них-же многое теряется в наглядности топологии. Умные слишком заразы ;D
-
Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!
Сори. Схемы правда рисовать не умею - но старался. )
dvserg
Добавил третью сетевуху. Присвоил ей интерфейс OPT1:
и проставил бридж на WAN:
PC 1 (c IP 7x.x.x.Z) из тестовой схемы попрежнему не в интернете(((
-
Т.е. схема поменялась, нарисуй пожалуйста как сейчас.
-
Значит так:
Перечитал ваши советы (спасибо еще раз), нашел вот этот мануал: http://pfsense.trendchiller.com/transparent_firewall.pdfСделал так (схема старая но могу нарисовать еще раз):
Настроил WAN как 7x.x.x.125/24 gateway: 7x.x.x.1
Настроил лан так:
Отключил NAT так:
Отключил автоматически создавшееся правило Outbound NAT:
Прописал Firewall Rules Временно так:
Результат: Бриджинг заработал и комп PC 1 с тестовой схемы с адресом 7x.x.x.Z - вошел в интернет!!!
Потом я добавил интерфейс OPT1 так:
И настроил его так:
Добавил правила:
В итоге PC 1 с тестовой схемы взял IP 10.10.10.107 (с внешнего DHCP)
PC 1 - ничего не пингует(((
Пишу
arp -a
результат:interface 10.10.10.107 –- 0x2
Interface address Physical address Type
10.10.10.1 00-00-00-00-00-00 Invalid -
Т.е. OPT1 - это vlan на той же карте, что и LAN. Не имеет особого смысла, если нет свича, "знающего" про VLAN'ы.
От затеи с двумя интерфейсами надо отказаться хотя бы потому, что pfSense не умеет шэйпить больше одного LAN'а.
От затеи иметь Public IP на LAN тоже отказаться ибо в данном случае не вижу необходимости, всё должно получаться NAT'ом.