2 WAN, come gestire al meglio il traffico
-
Guarda , se non ho capito male ho anche io il tuo stesso problema:
- Dual wan ed una lan con la necessita' di effettuare il NAT sui server della lan in base al servizio che si vuole pubblicare (es. FTP).
Ho notato una cosa (non so' se puo' esserti d'aiuto).
Su pfsense per nattare una porta su un client specifico (in configurazione single wan) e' abbastanza facile , basta andare sul menu del nat - port forward ed immettere la regola :
WAN TCP * * "ip pubblico" 21 (FTP) "ip interno del server ftp" 21 (FTP) , abilitare il NAT reflection ed impostare la regola su "pass" e funziona.
Ma quando sei in multi wan devi stare attendo a quale default gateway e' impostato , a me ad esempio funziona solo se il gateway predefinito e' quello corrispondente all'IP pubblico impostato, anhe se nelle recole di nat imposto il "secondo" gateway della seconda wan , non funziona.
Spero magari di averti chiarito.
E magari se c'e' qualcun'altro che conosce ancora meglio di me le dinamiche e mi corregge sono anche piu' contento :) -
Per pubblicare il server FTP ho creato questa regola (default gateway WAN1), che tuttavia non funziona in modalità FTP attiva, ma solo in passiva:
If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports Description
WAN2_HDSL2M TCP * * WAN2_HDSL2M address 21 (FTP) 192.168.0.1 21 (FTP) Inoltra traffico FTP in ingressoIl mio problema principale è far uscire tutto il traffico FTP attivo e passivo salla WAN2 (in particolare gli upload/download su un server remoto)
Infatti se inoltro tutto il traffico TCP uscente dalle porte >1024 e destinato alle porte 20/21 sulla WAN2 la connessione va in timeout. -
Infatti solo in passiva. Mi ricordo che tempo fa' avevo letto (in inglese) qualcosa in merito all'ftp dentro pfsense e mi pareva non si potesse, pero' qui mi fermo xche' non ho le competenze.
Nel forum inglese hai trovato qualcosa?? -
Ciao, si ho provato a chiedere anche su quello inglese, nel frattempo posto la configurazione con le 2 regole sulla LAN che mi mandano sempre in timeout i comandi PUT e GET in FTP.
-
immagino che tu abbia anche provato ad inserire l'IP del server FTP nel campo source.
-
Veramente no, perchè la connessione FTP che voglio dirottare sulla WAN2 viene iniziata in modalità client da un qualsiasi PC all'interno della rete che tenta di connettersi ad un qualsiasi server FTP remoto.
La mia intenzione era di far uscire il traffico FTP sulla WAN2, non di fare uscire il server sulla WAN2 a prescindere dal tipo di traffico.
In alternativa ho provato anche a fargli fare il lavoro inverso, invertendo il default gateway e dirottando il traffico internet sulla WAN1:WAN2 (gateway predefinito) > FTP, SMTP
WAN1 > HTTP e HTTPSregola firewall sulla LAN:
Proto Source Port Destination Port Gateway Queue Schedule Description
TCP LAN net * * 443 80 WAN1GW None Inoltra traffico internet su WAN1ma questa regola non ha sortito alcun effetto, il traffico internet continuava ad uscire sul defalut gateway WAN2.
Forse c'entrano qualcosa squid e squidguard e HAVP? -
Ciao,
credo che la configurazione non funzioni perchè ti sei complicato troppo la vita :DIn pfsense in configurazione multi-wan il traffico lascia la stessa interfaccia da cui è arrivato, mi spiego meglio, se hai connessioni ftp in entrata dalla wan2 non devi far nulla affinchè le risposte escano sempre dalla wan 2
Quindi tornando alle origini, per far in modo che le connessioni FTP in uscita escano sempre dalla wan2 basta creare una regola che utilizza wan2 come gateway delle connessioni destinate alle porte 20 e 21, mentre per il traffico in entrata non devi fare nulla.
Per completare la tua configurazione io creerei queste regole in questa sequenza:
- traffico destinato alle porte 21 e 20 -> Gateway = wan2
- traffico destinato alla porta 110 -> Gateway = wan2
- traffico destinato alla porta 25 -> Gateway = wan2
- traffico destinato alla porta 143 -> Gateway = wan2
- traffico destinato a qualsiasi porta -> Gateway = wan1
Non dimenticare che oltre a 110, 25 e 143 devi inserire anche le porte per la versione sicura di questi protocolli.
Ciao fabio
-
Ciao Fabio, innanzitutto ti ringrazio molto per gentile risposta.
Purtroppo il mio problema è in uscita e si verifica già con la 1° regola, se l'attivo mi apre la connessione attiva con il server, ma se faccio un PUT o un GET si blocca e va in timeout, probabilmente perchè il server cerca di aprire una connessione dalla sua porta 20 ad una mia porta >1024, ma non ci riesce.
Come già detto non riesco neanche a dirottare il traffico diretto alla porta 80 sulla WAN secondaria.
Nel forum in lingua inglese un utente mi ha risposto che potrebbe dipendere dall'interferenza di squid con le VPN:
http://forum.pfsense.org/index.php/topic,59882.0.html
ma devo ancora verificarlo… -
Nel frattempo ho provato a disattivare i servizi squid e squidguard, ma si fermano per 2 secondi e poi ripartono automaticamente.
::) ??? ::) ??? -
scusate ma pure io ho lo stesso problema, voglio dirottare il traffino pop3 , smtp, imap, ecc ecc, che usano determinate porte sul una delle due interfacce, ma non va, creo la regola metto le porte, leggendo la risposta di Fabio mi fa capire che devo creare la stessa regola anche su OPT1 oltre che la LAN? corretto?
