Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    2.0RC - Работает ли Dial-on-demand ?

    Russian
    2
    5
    2.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sweep4
      last edited by

      Вопрос к знающим - в pfSense Dial-on-demand вообще принципиально работает для pppoe/pptp ? У меня складывается впечатление, что нет, стабильно поднимается непонятно почему, даже если я вручную рассоединяю его.

      Конфига примерно такая:
      WAN - static IP, default gateway (весь трафик идет сюда)
      LAN
      OPT1 - pppoe, DoD + 60 sec. timeout

      DNSы на вкладке General Setup имеют шлюзом WAN gateway.

      От интерфейса OPT1 требуется только доступ на один IP (создано правило в System: Static Routes) по протоколам SMTP/POP3 (созданы правила в Firewall Rules, разрешающие только этот трафик).

      Но интерфейс OPT1 все-равно держится поднятым, не рассоединяется по таймауту и поднимается сам после ручного отключения. Куда копать ?

      UPDATE 06-09-2011: В общем, если в настройках интерфейса OPT1 выставить альтернативный шлюз, я взял для примера 127.0.0.1 - интерфейс отключается четко по расписанию, таймаут соединения отрабатывает. Правда, интерфейс обратно уже не поднимается.

      Получается, проверка самим pfSense доступности шлюза мешает своим же трафиком отрабатывать timeout. В силу этого пункт Dial-on-demand + timeout является полной бессмыслицей, ибо он не работает.

      Или все же можно как-то исключить ненужную в данном случае проверку шлюза ?

      1 Reply Last reply Reply Quote 0
      • S
        sweep4
        last edited by

        Хм, а может подскажете - правила Routing->Routes имеют преимущество над Firewall->Rules ? Или я недогоняю, как тут работает firewall ? Поясню - для простейшего теста на интерфейсе OPT1 в правилах firewall создано одно единственное правило - block any traffic, любой источник, любое назначение, любой протокол. В то же время в Routing->Routes перечислены конкретные IP-адреса, на которые маршрутизируется трафик в OPT1 через {Interfaceopt1dynamic gateway}.

        На этих IP-адресах мне доступны сервисы (в частности HTTP и SMTP/POP3), которые по идее наглухо должны быть закрыты правилом firewall для интерфейса OPT1. Захожу на эти сервисы с компьютера, расположенного в LAN-сегменте.

        1 Reply Last reply Reply Quote 0
        • S
          sweep4
          last edited by

          Обновил первый пост

          1 Reply Last reply Reply Quote 0
          • D
            dvserg
            last edited by

            Dial-on-demand - вызов по требованию. Поднимается от любого требующего это соединения пакета.
            Попробуйте уменьшить до минимума таймаут бездействия для отключения.

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • S
              sweep4
              last edited by

              @dvserg:

              Dial-on-demand - вызов по требованию. Поднимается от любого требующего это соединения пакета.
              Попробуйте уменьшить до минимума таймаут бездействия для отключения.

              Проблема не в том, что интерфейс не поднимается. Проблема в том, что он не отключается по таймауту. Ибо этому мешаются пакеты, проверяющие доступность шлюза, предположительно. В итоге вместо интерфейса по требованию я получаю постоянно поднятый интерфейс. Мне хотелось бы добиться, чтобы интерфейс четко поднимался, когда попросят, и отключался, когда не нужно.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.