2.0RC - Работает ли Dial-on-demand ?
-
Вопрос к знающим - в pfSense Dial-on-demand вообще принципиально работает для pppoe/pptp ? У меня складывается впечатление, что нет, стабильно поднимается непонятно почему, даже если я вручную рассоединяю его.
Конфига примерно такая:
WAN - static IP, default gateway (весь трафик идет сюда)
LAN
OPT1 - pppoe, DoD + 60 sec. timeoutDNSы на вкладке General Setup имеют шлюзом WAN gateway.
От интерфейса OPT1 требуется только доступ на один IP (создано правило в System: Static Routes) по протоколам SMTP/POP3 (созданы правила в Firewall Rules, разрешающие только этот трафик).
Но интерфейс OPT1 все-равно держится поднятым, не рассоединяется по таймауту и поднимается сам после ручного отключения. Куда копать ?
UPDATE 06-09-2011: В общем, если в настройках интерфейса OPT1 выставить альтернативный шлюз, я взял для примера 127.0.0.1 - интерфейс отключается четко по расписанию, таймаут соединения отрабатывает. Правда, интерфейс обратно уже не поднимается.
Получается, проверка самим pfSense доступности шлюза мешает своим же трафиком отрабатывать timeout. В силу этого пункт Dial-on-demand + timeout является полной бессмыслицей, ибо он не работает.
Или все же можно как-то исключить ненужную в данном случае проверку шлюза ?
-
Хм, а может подскажете - правила Routing->Routes имеют преимущество над Firewall->Rules ? Или я недогоняю, как тут работает firewall ? Поясню - для простейшего теста на интерфейсе OPT1 в правилах firewall создано одно единственное правило - block any traffic, любой источник, любое назначение, любой протокол. В то же время в Routing->Routes перечислены конкретные IP-адреса, на которые маршрутизируется трафик в OPT1 через {Interfaceopt1dynamic gateway}.
На этих IP-адресах мне доступны сервисы (в частности HTTP и SMTP/POP3), которые по идее наглухо должны быть закрыты правилом firewall для интерфейса OPT1. Захожу на эти сервисы с компьютера, расположенного в LAN-сегменте.
-
Обновил первый пост
-
Dial-on-demand - вызов по требованию. Поднимается от любого требующего это соединения пакета.
Попробуйте уменьшить до минимума таймаут бездействия для отключения. -
Dial-on-demand - вызов по требованию. Поднимается от любого требующего это соединения пакета.
Попробуйте уменьшить до минимума таймаут бездействия для отключения.Проблема не в том, что интерфейс не поднимается. Проблема в том, что он не отключается по таймауту. Ибо этому мешаются пакеты, проверяющие доступность шлюза, предположительно. В итоге вместо интерфейса по требованию я получаю постоянно поднятый интерфейс. Мне хотелось бы добиться, чтобы интерфейс четко поднимался, когда попросят, и отключался, когда не нужно.