MultiWan + NAT

remru · Nov 22, 2013, 2:24 PM

Доброго времени суток!

Подскажите пожалуйста где копать в такой вот ситуации:
два WANа один LAN
пробрасываю NATом порт на адрес в локальной сети
двумя правилами NAT (для каждого WANа)
NAT reflection - Use system default
Filter rule association - Rule NAT

с обоих WANов общение с портом локального адреса происходит нормально
но вопрос вот в чем, дефаулт шлюз WAN1
при обращении к WAN1, ответ приходит через интерфейс WAN1 с указанием IP- отправителя WAN1
при обращении к WAN2, ответ приходит через интерфейс WAN1 с указанием IP- отправителя WAN2?!
как вернуть ответ через WAN2 при обращении к WAN2
мои утверждения основаны на данных Packet Capture

и второй вопрос, после проброски порта в локалку,
срабатывает правила фаервола WAN на входящие соединение
соединение проходит успешно (запись в логе),
но разве не должны сработать правила LANа и соответственно остаться запись в логе по интерфейсу ЛАНа?
(соответствующую запись в правилах ЛАНа добавил с записью в лог, но в логах пусто)
или механизм фаервола такой, что раз соединение установлено по порту, значит проверять его больше не будем???

Заранее спасибо!

werter · Nov 22, 2013, 6:18 PM

Я не вижу какая схема у вас используется - LoadBalancing или Failover (или обе) и используется ли вообще (и зачем тогда 2 провайдера?) ? Если LoadBalancing , то параметры в конфигураторе Allow default gateway switching (http://macrodmin.blogspot.com/2012/02/multiwan-pfsense.html) и Use stickly connections включите.

…и второй вопрос...

Соединение установлено через WAN. Причем здесь внутренняя сеть? Будете устанавливать связь к ресурсам из внутренней сети вовне - будет вам запись в логах на LAN.

remru · Nov 23, 2013, 9:22 AM

По второму вопросу СПАСИБО, так и подозревал, но не было уверенности в этом
ссылку эту уже находил, там простой случай на получение связи локальной сетью с внешкой

Два провайдера используются для резервирование возможности работы с моим портом ЛАНа внешних клиентов
когда один канал упал, второй канал для внешнего клиента доступен
трафик у меня в основном идет от меня во вне, т.е. сейчас у меня отдача происходит только по дефаулт шлюзу,
при этом второй канал на отдачу не используется

до этого жил на PFSense 2.0.1, и там работали на отдачу оба канала, подтверждением этому графики WANов с веб интерфейса. После обновления до 2.1 график второго не основного канала на отдачу показывает близкое к нулю
на 2.0.1 в правилах WANов шлюзом стоял ЛоадБаланс, сейчас с таким шлюзом (ЛоадБаланс) не работает

на данный момент правило на каждом WANе для входящих с NATа соединений шлюз указан дефаулт
IPv4 TCP source:* port:* destination:192.168.15.100 port:19000 gateway:*
правило на лане
IPv4 TCP source:192.168.15.100 port:19000 destination:* port:* gateway:*

Use stickly connections включен
Allow default gateway switching включен, но как я понимаю он нужен только для смены default gateway при падении основного канала

пробовал в этих двух правилах шлюзом указывать и лоадбаланс и фэйловер и свои шлюзы (т.е. для WAN1 wan1gateway и для WAN2 wan2gateway)
все попытки неудачные, ответных пакетов ни где поймал
во всех экспериментах PacketCapture ловил только входящий трафик и последующие попытки внешнего клиента еще раз открыть соединение после таймаута,
ни на внешних ни на интерфейсе локальной подсети не удалось поймать каких либо пакетов ответа
вот думаю что же где поменять надо
(в локальной подсети шлюзом выступает PFSense)

при этом другая внутренняя подсеть инетом пользуется через FailOver нормально, тесты на падения и переключения дефаулт шлюза проводились успешно.

до кучи результат еще одного эксперимента
на WAN2 указал разрешающее правило для ICMP со шлюзом wan2gateway и записью в лог,
запись в логе появилась, что доказывает срабатывание именно этого правила
захват пакетов показал, что входящие пакеты ловятся на интерфейсе WAN2, а исходящие на WAN1 (default) с адресом WAN2

правила для пинга
в правилах WAN1
IPv4 ICMP * * WAN1 * WAN1gateway (дефаулт)
в правилах WAN2
IPv4 ICMP * * WAN2 * WAN2gateway

вопрос этот для меня практический, а не теоретический, при отдаче мне необходимо использовать пропускную способность обоих каналов

werter · Nov 23, 2013, 3:49 PM

Ну и наворотили же вы :( Сбрасывайте-ка вы настройки на дефолт (сохранив конфиг, разумеется) и настройте заново.

правило на лане
IPv4 TCP source:192.168.15.100 port:19000 destination:* port:* gateway:*****

Ну с какого перепугу у вас там порт указан, а? Не должно быть там никакого порта. Далее - интернет , это не только TCP, но и еще (как минимум) UDP, ICMP etc.
Поставьте там any , т.е. ***** . Следующее - в кач-ве gateway должна быть указана ваша LoadBalance-группа. Иначе все будет идти только через шлюз по-умолчанию.

правила для пинга
в правилах WAN1
IPv4 ICMP * * WAN1 * WAN1gateway (дефаулт)
в правилах WAN2
IPv4 ICMP * * WAN2 * WAN2gateway

Не WAN1\WAN2 , а WAN1 address\WAN2 address. И зачем вы еще и WAN1gateway\WAN2gateway принудительно (да еще и для ICMP !) указываете?

Я вам ссылку на статью давал - просто сделайте по-написанному и без отсебятины.

remru · Nov 23, 2013, 5:14 PM

уже делал так,
и сейчас повторил. результат тот же

соединение инициировано из внешней сети, т.е. правила срабатывают WANовские
шлюз в WANовских правилах указывать бестолку, правильно я понял?
отдача ответа идет по таблице роутинга, т.е. через дефаулт шлюз

шлюз "лоад балансе" указал в ЛАНе, проверил работает для
исходящих соединений из лана во внешку, нагружают оба канала и на отдачу и на получение
но у меня соединение инициируется ИЗ ВНЕШКИ, т.е. "лоадбаланс" в правилах ЛАНа тут уже ни при чем

остается только дождаться рабочего понедельника,
а то сбрасывать к "заводским" удаленно не очень хочется