Dual-Wan или как заставить идти трафик по основно&#
-
Фаервол хранит таблицу состояний - states. Пока ее не сбросить, трафик и будет идти как вы указали.
Если стоит галочка System: Advanced: Miscellaneous - Use sticky connections то и новые подключения будут идти по пути уже существующих.
По идее без этой галочки через некоторый промежуток времени все подключения перейдут на 1 приоритет -
я так понимаю,что этим пользоваться нужно когда уже первый канал пришел?Попробовал,если 2 канала подключены, при снятии галки и отключении одного интернета.На второй не меняется.
-
Давайте с этого начнем
а у вас в System: Gateways: Edit gateway >> Advanced в разделе Weight у шлюзов стоят разные значения ? -
а у вас в System: Gateways: Edit gateway >> Advanced в разделе Weight у шлюзов стоят разные значения ?
Конечно.Основной 1, второй 2.
Ставил на вирт систему,по этому факу- http://macrodmin.blogspot.com/2012/02/multiwan-pfsense.html
Работает только если включены эти галки- Use sticky connections и Allow default gateway switching -
У меня настроено так
В группе шлюзы имеют одинаковый tier 1 (условие переключения - member down)
в System: Gateways: Edit gateway >> Advanced в разделе Weight у главного стоит вес больше
В таком виде через резервный шлюз трафик в нормальных условиях все равно идет (но гораздо меньше основного)
но после переключения на запасной канал возвращается на основной (постепенно) -
У меня настроено так
В группе шлюзы имеют одинаковый tier 1 (условие переключения - member down)
в System: Gateways: Edit gateway >> Advanced в разделе Weight у главного стоит вес больше
В таком виде через резервный шлюз трафик в нормальных условиях все равно идет (но гораздо меньше основного)
но после переключения на запасной канал возвращается на основной (постепенно)Большое спасибо) Все получилось.Но по другому сделал. В обоих вариантах выставил тир 1 и 2.Так как один канал 10 мегабит,второй 3.Галку поставил на только -Allow default gateway switching и отключил один интерфейс. Все пошло по другому интерфейсу. Врубил первый.Но опять же шло все по резервному.Раз 10 трассировку давал.И решил полазить по страницам.Через пару страниц,решил трассировку сделать и все,все пошло по основе. Но вышла другая проблема.Решил попробовать точно. Отключал раза 4-5 основной интерфейс, только отключал интерфейс и все.И проверял.Все было норма. И на каком-то отключении, все.Трафик не пошел по второму.Тупо винда пишет, что проблема в DNS.Вторую виртуальную машину поднял с win 7. Тоже самое. Работает только если основной врублен, отрубаешь его и все.Не знаете куда копать?
UPD-Мучился,мучился,зашел в раздел Services: DNS forwarder и выставил Resolve DHCP mappings first
, работает до первого отключения интерфейса. Иду снимаю галку,инет появляется.Отключаю снова интерфейс, инета нету через резерв. Ставлю галку и появляется по резервному.Даже не знаю куда копать. -
Не понятно как к вас DNS работает
Возможны 2 варианта
1. На pf настройть dns форвард. Указать на самом pf 2 dns от каждого провайдера и еще какой общедоступный например 8.8.8.8
Клиентам в качестве DNS тогда надо указывать lan интерфейс pf
2. Первичный и вторичный dns сервера указывать прямо у клиентовДля начала я бы попробовал сделать Reset states
и сбросить таблицу arp ( arp -d ) -
Не понятно как к вас DNS работает
Oracle VM, на ней установлен pfsense с 3 интерфейсами.2 с выходом в инет, одна внутренняя сеть(192,168,0,1).
WAN (DHCP)
10.0.2.15 1000baseT <full-duplex>(Gateway 10.0.2.2)
LAN
192.168.0.1 1000baseT <full-duplex>( включен DHCP для другой Oracle VM( на win 7)
WAN2 (DHCP)
10.0.3.15 1000baseT <full-duplex>( Gateway 10.0.3.2)
Win 7 вот что получает по DHCP c Pfsense-Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . : localdomain
Локальный IPv6-адрес канала . . . : fe80::ddb5:48e7:d217:25b0%11
IPv4-адрес. . . . . . . . . . . . : 192.168.0.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1Туннельный адаптер isatap.localdomain:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : localdomainWAN2 (DHCP)
10.0.3.15 1000baseT <full-duplex>( Gateway 10.0.3.2) –-главный канал.Его отключаю и все инет не идет по запасному. Хотя 192.168.0.1 пингуется, от него повторно получаются все настройки win 7. Ладно ничего, резет фактори я еще вчера сделал не помогло.Я даже в DHCP указывал на 1 гуглевский днс 8.8.8.8. Ничего переустановлю все заново, делов на 5 минут.Просто хотелось бы понять, насколько стабильный pfsense в плане балансировки.
И еще остались два вопроса-Указать на самом pf 2 dns от каждого провайдера и еще какой общедоступный например 8.8.8.8
Это ставится в разделе –DNS forwarder, подраздел --Host Overrides? И насчет команды arp -d. Там есть значения. arp-d hostname (pub) и arp -d -i interface -a .Я не понял что вводить после arp -d? Cпасибо.</full-duplex></full-duplex></full-duplex></full-duplex>
-
DNS сервера указываются в System: General Setup
В Services: DNS forwarder нужно только галочку включить (если не стоит задача разрешать адреса локальных ресурсов)Под pf надо дать команду arp -d -a (каждый раз после операций с подключениями)
И чтобы увидеть какой dns получает win 7 дайте команду ipconfig /allА какие маски подсетей wan и wan2 ? Сросьте что у вас на pf выдает ifconfig (Diagnostics: Execute command)
Скорее всего проблема в том, что у ваших wan маска 255.0.0.0 т.е они находятся в одной подсети -
DNS сервера указываются в System: General Setup
В Services: DNS forwarder нужно только галочку включить (если не стоит задача разрешать адреса локальных ресурсов)Под pf надо дать команду arp -d -a (каждый раз после операций с подключениями)
И чтобы увидеть какой dns получает win 7 дайте команду ipconfig /all192.168.0.1 днс получает.
Так самое интересное, что я пере установил систему уже Pfsense. Стандартно выставил 2 интерфейса (NAT в Оракле WM) + 1 для внутренней сети. Как обычно, я так делал и пробовал уже десятки раз.Настроил балансировку, уже не заглядываю в фак.И не идет. Но вот я решил проверить через Pfsense Инет.Даю пинг через wan-пинг идет, через wan2 – не идет.Отключаю главный(дефаулт гатевей), естественно инета нету ни на пфсенсе,ни на win 7
(Трассировка маршрута к ya.ru [87.250.250.3]
с максимальным числом прыжков 30:1 <1 мс <1 мс <1 мс pfsense.localdomain [192.168.0.1]
2 pfsense.localdomain [192.168.0.1] сообщает: Заданный узел недоступен.Трассировка завершена.)
. Иду в роутинг и ставлю дефаул гатевей wan2 и инет сразу появляется
Трассировка маршрута к ya.ru [87.250.250.3]
с максимальным числом прыжков 30:1 1 ms 1 ms <1 мс pfsense.localdomain [192.168.0.1]
2 1 ms <1 мс <1 мс 10.0.2.2Я уже даже поставил Wmware, настроил там, правда там для двух wan один и тот же gateway.Но там я поставил на один чтобы мониторил google.ru
А какие маски подсетей wan и wan2 ? Сросьте что у вас на pf выдает ifconfig (Diagnostics: Execute command)
Скорее всего проблема в том, что у ваших wan маска 255.0.0.0 т.е они находятся в одной подсети$ ifconfig
em0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=9b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum>ether 08:00:27:f3:ea:fe
inet6 fe80::a00:27ff:fef3:eafe%em0 prefixlen 64 scopeid 0x1
inet 10.0.2.15 netmask 0xffffff00 broadcast 10.0.2.255
nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
em1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=9b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum>ether 08:00:27:76:95:bf
inet6 fe80::a00:27ff:fe76:95bf%em1 prefixlen 64 scopeid 0x2
inet 10.0.3.15 netmask 0xffffff00 broadcast 10.0.3.255
nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
em2: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=9b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum>ether 08:00:27:0a:e5:c8
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
inet6 fe80::a00:27ff:fe0a:e5c8%em2 prefixlen 64 scopeid 0x3
nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
pfsync0: flags=0<> metric 0 mtu 1460
syncpeer: 224.0.0.240 maxupd: 128 syncok: 1
pflog0: flags=100 <promisc>metric 0 mtu 33200
enc0: flags=0<> metric 0 mtu 1536
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
options=3 <rxcsum,txcsum>inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
nd6 options=43<performnud,accept_rtadv></performnud,accept_rtadv></rxcsum,txcsum></up,loopback,running,multicast></promisc></full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum></up,broadcast,running,simplex,multicast></full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum></up,broadcast,running,simplex,multicast></full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum></up,broadcast,running,simplex,multicast> -
Методика тестирования несколько другая должна быть
1. С самого pf делаем ping вначале одного шлюза через первое подключение, потом второго через второе
2. Тестируем балансировку отключая интерфейсы
Делаем вывод, что с сетевыми интерфейсами и правилами фаервола на wan все в порядке
3. Тестируем NAT и правила фаервола на LAN пингуя с клиентов любимый ip и через tracert смотрим через какой шлюз идет
4. Через nslookup смотрим, что у нас с dns -
Методика тестирования несколько другая должна быть
1. С самого pf делаем ping вначале одного шлюза через первое подключение, потом второго через второе
2. Тестируем балансировку отключая интерфейсы
Делаем вывод, что с сетевыми интерфейсами и правилами фаервола на wan все в порядке
3. Тестируем NAT и правила фаервола на LAN пингуя с клиентов любимый ip и через tracert смотрим через какой шлюз идет
4. Через nslookup смотрим, что у нас с dnsЯ днем сделал видео,на видео установка с нуля. И голая система, если не сложно взглянуть, посмотрите. А дома буду, уже по вашим методам проверю
https://mega.co.nz/#!LMQlWB4R!b0OCWmDrgiX6vYaZBHj4tEAjBF9uLl5R95495E5PJu8