Multi Wan. Распределение трафика

Volk170288

Здравствуйте!
Помогите разобраться в следующей ситуации
–-
Кратко о моих настройках:
Версия: 2.0.3-RELEASE (i386) built on Fri Apr 12 10:22:21 EDT 2013
Четыре сетевые карточки:
1.LAN
2.WAN - анлим
3.WAN2 - мой местный инет, не анлим
4.Wireless

Wireless: в неё воткнул вот этот агрегат http://zyxel.ru/keenetic-lite-2, вывел в интернет (настройки получает по DHCP) и настроил в режиме точки доступа, ноутбуки через неё получают WiFi. Получается, что настройки идут только для IP зюкселя!

Настроил MultiWAN по вот этой схеме: http://macrodmin.ru/2012/02/multiwan-v-pfsense-podkljuchenie-k-dvum-provajderamMultiWAN вроде как работает, проверяю как и написано с помощью Tracert!

Задача следующая, хочу сделать так, чтобы все компы и ноуты выходили через анлим, но есть несколько ноутов, которыми пользуются бухгалтеры, у них там есть программка УФК Континет! Он по определённому порту подключается к УФК и, судя по всему, создаёт туннель, скажем так..
Если он подключается через анлим, то скорость работы очень низкая, связано это с тем, что трафик завёрнут через Москву, в то время как при подключении через местный инет, скорость отличная.

Реализовал я следующим образом, в System->Routers создал две группы, одна для реализации Failover, вторая для местного инета!
1 группа: Анлим - Tier1, Местный - Tier2
2 группа: Анлим - Tier2, Местный - Tier1
Во всех правилах добавляю "1 группу", но для УФК у меня отдельное правило, туда добавляю "2 группу".
Субъективно, все сработало, но команда Tracert показывает всё равно подключение к Анлиму!

Как это отследить? Чтобы у меня трафик основной внезапно не переключился на местный и я не выкачал кучу денег?

GateWays_Group.jpg_thumb

Wireless.jpg_thumb

GateWays.jpg_thumb

Volk170288

GW_OPT2 и GW_Kont - одинаковый, я создал их два для того, чтобы прописать разный MonitorIP. У нас большая задержка, и PfSense мог переключать интернет, считая связь потерянной, поэтому вынужден был подбирать IP таким образом, чтобы Tier2 имел задержку выше! :)

GateWays_status.jpg_thumb

Volk170288

Правильно ли я всё сделал? :) Как проверить наверняка? Tracert'у особо не доверяю…

werter

Правило простое :

Все что нужно особо выделить\направить\закрыть - ставите самым верхним.

pigbrother

Если порт для УФК Континет уникален и \или, если известен IP-адрес(адреса), к которым он коннектится - можно создать для LAN правило с указанием WAN2 в качестве шлюза. Для гарантии можно это правило назначить только для пользователей (их IP, создав алиас) УФК Континет.

Недостатком такого решения будет то, что при падении WAN2 УФК Континет будет неработоспособен.

werter

@ pigbrother

Как вариант, все выше Вами предложенное + для надежности выпускать этих клиентов через спец. группу Failover из WAN-ов, где WAN2 будет иметь Tier1.
И правило это повыше поднять, само собой.

pigbrother

@werter:

@ pigbrother

Как вариант, все выше Вами предложенное + для надежности выпускать этих клиентов через спец. группу Failover из WAN-ов, где WAN2 будет иметь Tier1.
И правило это повыше поднять, само собой.

Действительно, это решает проблему недоступности УФК при падении WAN2, спасибо.

Volk170288

@pigbrother:

Если порт для УФК Континет уникален и \или, если известен IP-адрес(адреса), к которым он коннектится - можно создать для LAN правило с указанием WAN2 в качестве шлюза. Для гарантии можно это правило назначить только для пользователей (их IP, создав алиас) УФК Континет.

Недостатком такого решения будет то, что при падении WAN2 УФК Континет будет неработоспособен.

Всё верно, порт уникален, на скрине это правило у меня подчёркнуто. Там порт 4433, адрес так же известен, он у меня алиасом прописан. Единственный момент, что правило не на лан прописано, а на Wireless, так как модем у меня к отдельной сетевухе подключен!

@werter:

@ pigbrother

Как вариант, все выше Вами предложенное + для надежности выпускать этих клиентов через спец. группу Failover из WAN-ов, где WAN2 будет иметь Tier1.
И правило это повыше поднять, само собой.

Там же на скрине я отметил, что шлюз у меня прописан по вашему варианту.

Вопрос то в том, есть ли способ как-то это проконтролировать, что у меня все выходят именно через те шлюзы, которые нужны? :)

Volk170288

Алиас IP_Wireless это адрес моего модема, все IP ноутбуков спрятаны за ним, то есть PfSense их не видит!

werter

@ Volk170288

Алиас IP_Wireless это адрес моего модема, все IP ноутбуков спрятаны за ним, то есть PfSense их не видит!

А у вас разве ADSL? Если нет, то настоятельно советую перевести ваш роутер в режим простой точки доступа \ отключить на нем DHCP, кабель от pfsense воткнуть роутеру в любой LAN-порт и пусть pfsense всем "рулит" - раздает адреса и т.д.

Вопрос то в том, есть ли способ как-то это проконтролировать, что у меня все выходят именно через те шлюзы, которые нужны?

Как вариант - попробуйте создать выше вашего правила для порта 4433 еще одно, например :

* IP_alias * * 80 Failover_GW

где - IP_alias - тот же алиас, что и для порта 4433

Затем делаете Reset states , заходите на 2ip.ru и смотрите какой адрес там отображается. Далее, отключаете WAN2 физически и снова проверяете адрес - он должен измениться. После этого включаете WAN2, немного ждете и вновь проверяете адрес.

После всех этих "шаманств" с проверкой работы Failover - правило отключить\удалить и сделать Reset states на всякий случай.

pigbrother

Вопрос то в том, есть ли способ как-то это проконтролировать, что у меня все выходят именно через те шлюзы, которые нужны? :)

Сбрасываете states, подключаете клиента к УФК.
Diagnostics-> States->Filter expression
И фильтруете по IP клиента, по порту УФК (:4433) и т.д.
Буден виден шлюз, через который работает клиент.

Volk170288

@werter:

А у вас разве ADSL? Если нет, то настоятельно советую перевести ваш роутер в режим простой точки доступа \ отключить на нем DHCP, кабель от pfsense воткнуть роутеру в любой LAN-порт и пусть pfsense всем "рулит" - раздает адреса и т.д.

Примерно так и сделал, сессия поднимается на PfSense, модем в режиме точки доступа (192.168.10.5), он получает настройки по DHCP (иначе не смог вывести его в интернет, почему-то..), а вот он уже, в свою очередь, раздаёт IP ноутам по WiFi автоматом (192.168.2.)! Моя локальная сеть 192.168.0.
–-
Вот можно ли его настроить так, чтобы к нему подключались ноуты по WiFi, но настройки они получали с PfSense?
А то у меня проблема прям, мой Lightsquid не видит трафик с сетевой карточки, через которую ноуты подключаются...

@werter:

Как вариант - попробуйте создать выше вашего правила для порта 4433 еще одно, например :

* IP_alias * * 80 Failover_GW

где - IP_alias - тот же алиас, что и для порта 4433

Вот этот IP_Alias у меня, фактически, статичен! Это адрес модема! В этом тоже есть проблема, я не смогу определить, с какого ноута у меня трафик качается..

werter

@ Volk170288

Вот можно ли его настроить так, чтобы к нему подключались ноуты по WiFi, но настройки они получали с PfSense?

Если нет, то настоятельно советую перевести ваш роутер в режим простой точки доступа \ отключить на нем DHCP, кабель от pfsense воткнуть роутеру в любой LAN-порт и пусть pfsense всем "рулит" - раздает адреса и т.д.

Извините, но Вы между строк читаете ?

P.s. У вас - ADSL ?

Volk170288

@werter:

@ Volk170288

Вот можно ли его настроить так, чтобы к нему подключались ноуты по WiFi, но настройки они получали с PfSense?

Если нет, то настоятельно советую перевести ваш роутер в режим простой точки доступа \ отключить на нем DHCP, кабель от pfsense воткнуть роутеру в любой LAN-порт и пусть pfsense всем "рулит" - раздает адреса и т.д.

Извините, но Вы между строк читаете ?

P.s. У вас - ADSL ?

Пардонте, у меня два разных инета, безлимит по оптике (мне дали статичный IP), а местный ADSL, сессия PPPOE. (логин/пароль).

1.jpg_thumb

2.jpg_thumb