Помогите, Шейпер для неск. диапазонов IP

deutsche

Что то мне подсказывает, что для таких задач нужно брать чистый дистрибутив *nix по вкусу и выполнять задачу на нем.
вот обзор на эту тему:
http://nag.ru/articles/article/17045/shape-nat-netflow-na-bol-shih-setyah-chast-1.html
Область применения таких вещей как pfsense\Freenas - SOHO. Исправьте меня, если это не так.

elennaro

Статья действительно очень хорошая, очень многое обьясняет но к сожалению в ней скорее задано направление, а вот практических решений нет… Насчет SOHO да тоже слышал... Ну вот просто на аппаратный шейпер мне денег не выделят. А 3 диапазона шейпить надо... Нет ли способа задействовать всежтаки pfsence чисто как маршрутизатор/шейпер (а не как LAN/WAN шлюз) поскольку веб интерфейс его очень бы облегчил дело в настройке шейпинга...

dvserg

Если я правильно понял, то ваш вариант - бридж между интерфесами. Но на версиях 1.хх он с шейпером плохо дружит. Попробуйте 2 бету - там новый шейпер.

elennaro

@dvserg:

Если я правильно понял, то ваш вариант - бридж между интерфесами. Но на версиях 1.хх он с шейпером плохо дружит. Попробуйте 2 бету - там новый шейпер.

Спасибо.
Поставил версию 2.
Попрежнему как только у компьютеров из сети с2 ставлю внешний IP - они выпадает из интернета…
В настройках пробовал поставить только WAN (думал так он заработает как бридж) но в таком случае машины с с2 вообще ничего не видели...

dvserg

Без схемы по словам тяжело разбирать. Не осилил где и какие компы у Вас. Попробуйте нарисовать схемы вашей и тестовой сетей.

elennaro

@dvserg:

Без схемы по словам тяжело разбирать. Не осилил где и какие компы у Вас. Попробуйте нарисовать схемы вашей и тестовой сетей.

Добавил в топик схемы (чертил в dia как мог - но вроде понятно)…

dvserg

На тестовой сети PC1 нельзя включать в свич  с приватной сети это не каталист.
Ставим 3 сетевую и делаем DMZ (OPT интерфейс), в котором и подключаем машинку с реальным адресом. А OPT и WAN можно сделать бриджем, на 2.0 шейпер на бридже должен работать.

Каталист много чего интересного скрывает с глаз людских прикидываясь обычным свичем.

elennaro

@dvserg:

На тестовой сети PC1 нельзя включать в свич  с приватной сети это не каталист.
Ставим 3 сетевую и делаем DMZ (OPT интерфейс), в котором и подключаем машинку с реальным адресом. А OPT и WAN можно сделать бриджем, на 2.0 шейпер на бридже должен работать.

Каталист много чего интересного скрывает с глаз людских прикидываясь обычным свичем.

ДА! Спасибо огромное! Так и попробую утром! Только 1 вопрос: для каждого диапазона открывать OPT и добавлять сетевуху (тоесть для 7x.x.x.* одну и для 9x.x.x.* другую), или на оба диапазона одной сетевухи хватит?
Свитч - не каталист - обычный тестовый свитч от Асус только с тестовыми компами(это в реальной сетке будет каталист)!
НО про опт сердцем чую - получится!!!
Завтра отпишусь!

Eugene

Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

dvserg

@Eugene:

Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

Как раз рабочая будет правильной в контексте использования каталистов. Но из-за них-же многое теряется в наглядности топологии. Умные слишком заразы  ;D

elennaro

@Eugene:

Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

Сори. Схемы правда рисовать не умею - но старался. )

dvserg
Добавил третью сетевуху. Присвоил ей интерфейс OPT1:

и  проставил бридж на WAN:

PC 1 (c IP 7x.x.x.Z) из тестовой схемы попрежнему не в интернете(((

Eugene

Т.е. схема поменялась, нарисуй пожалуйста как сейчас.

elennaro

Значит так:
Перечитал ваши советы (спасибо еще раз), нашел вот этот мануал: http://pfsense.trendchiller.com/transparent_firewall.pdf

Сделал так (схема старая но могу нарисовать еще раз):
Настроил WAN как 7x.x.x.125/24 gateway: 7x.x.x.1

Настроил лан так:

Отключил NAT так:

Отключил автоматически создавшееся правило Outbound NAT:

Прописал Firewall Rules Временно так:

Результат: Бриджинг заработал и комп PC 1 с тестовой схемы с адресом 7x.x.x.Z - вошел в интернет!!!

Потом я добавил интерфейс OPT1 так:

И настроил его так:

Добавил правила:

В итоге PC 1 с тестовой схемы взял IP 10.10.10.107 (с внешнего DHCP)
PC 1 - ничего не пингует(((
Пишу
arp -a
результат:

interface 10.10.10.107  –- 0x2
Interface address      Physical address          Type
10.10.10.1              00-00-00-00-00-00      Invalid

Eugene

Т.е. OPT1 - это vlan на той же карте, что и LAN. Не имеет особого смысла, если нет свича, "знающего" про VLAN'ы.
От затеи с двумя интерфейсами надо отказаться хотя бы потому, что pfSense не умеет шэйпить больше одного LAN'а.
От затеи иметь Public IP на LAN тоже отказаться ибо в данном случае не вижу необходимости, всё должно получаться NAT'ом.