Multi Wan. Распределение трафика

werter

Правило простое :

Все что нужно особо выделить\направить\закрыть - ставите самым верхним.

pigbrother

Если порт для УФК Континет уникален и \или, если известен IP-адрес(адреса), к которым он коннектится - можно создать для LAN правило с указанием WAN2 в качестве шлюза. Для гарантии можно это правило назначить только для пользователей (их IP, создав алиас) УФК Континет.

Недостатком такого решения будет то, что при падении WAN2  УФК Континет будет неработоспособен.

werter

@ pigbrother

Как вариант, все выше Вами предложенное + для надежности выпускать этих клиентов через спец. группу Failover из WAN-ов, где WAN2 будет иметь Tier1.
И правило это повыше поднять, само собой.

pigbrother

@werter:

@ pigbrother

Как вариант, все выше Вами предложенное + для надежности выпускать этих клиентов через спец. группу Failover из WAN-ов, где WAN2 будет иметь Tier1.
И правило это повыше поднять, само собой.

Действительно, это решает проблему недоступности УФК при падении WAN2, спасибо.

Volk170288

@pigbrother:

Если порт для УФК Континет уникален и \или, если известен IP-адрес(адреса), к которым он коннектится - можно создать для LAN правило с указанием WAN2 в качестве шлюза. Для гарантии можно это правило назначить только для пользователей (их IP, создав алиас) УФК Континет.

Недостатком такого решения будет то, что при падении WAN2  УФК Континет будет неработоспособен.

Всё верно, порт уникален, на скрине это правило у меня подчёркнуто. Там порт 4433, адрес так же известен, он у меня алиасом прописан. Единственный момент, что правило не на лан прописано, а на Wireless, так как модем у меня к отдельной сетевухе подключен!

@werter:

@ pigbrother

Как вариант, все выше Вами предложенное + для надежности выпускать этих клиентов через спец. группу Failover из WAN-ов, где WAN2 будет иметь Tier1.
И правило это повыше поднять, само собой.

Там же на скрине я отметил, что шлюз у меня прописан по вашему варианту.

Вопрос то в том, есть ли способ как-то это проконтролировать, что у меня все выходят именно через те шлюзы, которые нужны? :)

Volk170288

Алиас IP_Wireless это адрес моего модема, все IP ноутбуков спрятаны за ним, то есть PfSense их не видит!

werter

@ Volk170288

Алиас IP_Wireless это адрес моего модема, все IP ноутбуков спрятаны за ним, то есть PfSense их не видит!

А у вас разве ADSL? Если нет, то настоятельно советую перевести ваш роутер в режим простой точки доступа \ отключить на нем DHCP, кабель от pfsense воткнуть роутеру в любой LAN-порт и пусть pfsense всем "рулит" - раздает адреса и т.д.

Вопрос то в том, есть ли способ как-то это проконтролировать, что у меня все выходят именно через те шлюзы, которые нужны?

Как вариант - попробуйте создать выше вашего правила для порта 4433 еще одно, например :

*  IP_alias  *  *  80  Failover_GW

где - IP_alias - тот же алиас, что и для порта 4433

Затем делаете Reset states , заходите на 2ip.ru и смотрите какой адрес там отображается. Далее, отключаете WAN2 физически и снова проверяете адрес - он должен измениться. После этого включаете WAN2, немного ждете и вновь проверяете адрес.

После всех этих "шаманств" с проверкой работы Failover - правило отключить\удалить и сделать Reset states на всякий случай.

pigbrother

Вопрос то в том, есть ли способ как-то это проконтролировать, что у меня все выходят именно через те шлюзы, которые нужны? :)

Сбрасываете states, подключаете клиента к УФК.
Diagnostics-> States->Filter expression
И фильтруете по IP клиента, по порту УФК (:4433) и т.д.
Буден виден шлюз, через который работает клиент.

Volk170288

@werter:

А у вас разве ADSL? Если нет, то настоятельно советую перевести ваш роутер в режим простой точки доступа \ отключить на нем DHCP, кабель от pfsense воткнуть роутеру в любой LAN-порт и пусть pfsense всем "рулит" - раздает адреса и т.д.

Примерно так и сделал, сессия поднимается на PfSense, модем в режиме точки доступа (192.168.10.5), он получает настройки по DHCP (иначе не смог вывести его в интернет, почему-то..), а вот он уже, в свою очередь, раздаёт IP ноутам по WiFi автоматом (192.168.2.)! Моя локальная сеть 192.168.0.
–-
Вот можно ли его настроить так, чтобы к нему подключались ноуты по WiFi, но настройки они получали с PfSense?
А то у меня проблема прям, мой Lightsquid не видит трафик с сетевой карточки, через которую ноуты подключаются...

@werter:

Как вариант - попробуйте создать выше вашего правила для порта 4433 еще одно, например :

*  IP_alias  *  *  80  Failover_GW

где - IP_alias - тот же алиас, что и для порта 4433

Вот этот IP_Alias у меня, фактически, статичен! Это адрес модема! В этом тоже есть проблема, я не смогу определить, с какого ноута у меня трафик качается..

werter

@ Volk170288

Вот можно ли его настроить так, чтобы к нему подключались ноуты по WiFi, но настройки они получали с PfSense?

Если нет, то настоятельно советую перевести ваш роутер в режим простой точки доступа \ отключить на нем DHCP, кабель от pfsense воткнуть роутеру в любой LAN-порт и пусть pfsense всем "рулит" - раздает адреса и т.д.

Извините, но Вы между строк читаете ?

P.s. У вас - ADSL ?

Volk170288

@werter:

@ Volk170288

Вот можно ли его настроить так, чтобы к нему подключались ноуты по WiFi, но настройки они получали с PfSense?

Если нет, то настоятельно советую перевести ваш роутер в режим простой точки доступа \ отключить на нем DHCP, кабель от pfsense воткнуть роутеру в любой LAN-порт и пусть pfsense всем "рулит" - раздает адреса и т.д.

Извините, но Вы между строк читаете ?

P.s. У вас - ADSL ?

Пардонте, у меня два разных инета, безлимит по оптике (мне дали статичный IP), а местный ADSL, сессия PPPOE. (логин/пароль).