Организация резервного канала wan

werter

Схему сети.

8888 порт и Опевпн - внутренние сервисы или внешние (не ваши) ?

6en9er

схема сети: есть lan (статические адреса 192.168.19.0/24 с доменом) -> pfsense -> wan1,wan2, openvpn
openvpn наш настроен на pfsense и подключает филиалы 192.168.22.0/24
на 8888 порт приходит запрос с wan и перенаправляется на 5555 порт на lan server

6en9er

скрины

1.jpg_thumb

2.jpg_thumb

3.jpg_thumb

4.jpg_thumb

DasTieRR

Указать в правиле fw для лан шлюз не дефолт (тогда будет переключаться), а явно. Для нужных портов оставить дефолт (тогда переключаться на резевр будет только правило с нужным портом).

6en9er

это я понял) а как сквид прозрачный заставить работать только через 1 gw? правила lan для него нет. если создать правило на 80 порт не будет ли трафик ходить мимо сквида?

DasTieRR

@6en9er:

это я понял) а как сквид прозрачный заставить работать только через 1 gw? правила lan для него нет. если создать правило на 80 порт не будет ли трафик ходить мимо сквида?

Да, точно, не внимательно прочитал.
Через nat я думаю. Надо попробовать создать правило (в нат) только для порта 80 и явный шлюз ему сделать. Галку для переключения шлюзов оставить.
P.S. Мне по подобной схеме только на 1 сайт нужно было через строго 1 провайдера выходить, я просто через routing указал сайт и шлюз и сквид съел это.

6en9er

в нат нельзя поставить определенный gw( только в rules на wan. Причем если я ставлю в rulse wan gw не дефолтный правило перестает работать(. если галку не ставить сквид не будет переключатся на другой gw соответсвенно и в интернет никто не полезет. НО и rulse wanr для резервного перенаправления не будет работать. Загвоздка в том чтобы назначить как то для разных nat правил с разными wan разные gw! Это все касается моего перенаправления 8888 порта. По поводу openvpn еще не капал.

werter

Речь идет о Port forwarding. Там явно можно указать GW.

DasTieRR

@6en9er:

в нат нельзя поставить определенный gw( только в rules на wan. Причем если я ставлю в rulse wan gw не дефолтный правило перестает работать(. если галку не ставить сквид не будет переключатся на другой gw соответсвенно и в интернет никто не полезет. НО и rulse wanr для резервного перенаправления не будет работать. Загвоздка в том чтобы назначить как то для разных nat правил с разными wan разные gw! Это все касается моего перенаправления 8888 порта. По поводу openvpn еще не капал.

Да, нельзя, но я бы попробовал в нат создать правило трансляции для порта 80 через нужный интерфейс (например wan) и если надо, поправить нат для резервной трансляции (например opt1) - типа not 80, тогда в нате для 80 порта будет только один вариант - через wan, а не opt1.
Галку при этом оставить для автоматического переключения шлюзов.
Сработает такое или нет, не знаю, сам не пробовал.
Если нет, может стоить форум почитать на счёт loadbalance, там тоже что то было про группу шлюзов.

6en9er

NAT Reflection mode for port forwards вот ответ на мой вопрос. Выставил для правил 8888 порта enable (Pure NAT) для остальных оставил по умолчанию NAT + Proxy. Убрал галку Allow default gateway switching. Теперь работает перенаправление и на wan1 и на wan2. осталось сделать openvpn и автоматическую смену wanов, чтобы wan2 был недоступен при активном wan1.