Проброс портов ftp в 2xWAN

adm1nb3k

Здравствуйте. Такая ситуация:
Система 2.1.4-RELEASE (i386)
Есть 2 WAN:

1. Static IP 89.236.0.1
Gateway 89.236.0.254

2. PPPoE 213.230.0.1
Gateway 10.3.0.1

Настроил пере адресацию FTP и RDP на 192.168.1.254 у обоих WAN. Для обоих RDP прекрасно работает. А FTP для 1 го без проблем работает. А для 2 го авторизация проходить, а дальше чтение файлов и все. Куда копать? Правильно ли я понимаю, что это проблема основного шлюза?

Сейчас стоит Gateway 89.236.0.254 default.

pigbrother

2. PPPoE 213.230.0.1
Gateway 10.3.0.1

Странный адрес шлюза. Russian\Dual?

adm1nb3k

@pigbrother:

2. PPPoE 213.230.0.1
Gateway 10.3.0.1

Странный адрес шлюза. Russian\Dual?

Нет, местный монопольный телеком, Узбекистан.

pigbrother

Я не про страну. Это тип соединения - DHCP+PPPOE.
У вас шлюз из "серого" диапазона IP, этим могут объясняться трудности проброса портов.
Вы и сами про это пишете:
Правильно ли я понимаю, что это проблема основного шлюза?
Попробуйте на клиенте FTP включить пассивный режим, а на pfsense - Use sticky connections в System: Advanced: Miscellaneous

adm1nb3k

@pigbrother:

Я не про страну. Это тип соединения - DHCP+PPPOE.
У вас шлюз из "серого" диапазона IP, этим могут объясняться трудности проброса портов.
Вы и сами про это пишете:
Правильно ли я понимаю, что это проблема основного шлюза?
Попробуйте на клиенте FTP включить пассивный режим, а на pfsense - Use sticky connections в System: Advanced: Miscellaneous

Да, тип соединения DHCP+PPPOE.
По умолчанию, у клиента включен пассивный режим. На pfSense поставиль галочку, но без только.

adm1nb3k

Я тут проверил, если соединить только 2е подключение и сделать как основной, то любые проблемы решаются.

werter

@adm1nb3k:

Я тут проверил, если соединить только 2е подключение и сделать как основной, то любые проблемы решаются.

Все верно. Убирайте DHCP. Оставьте только pppoe.

adm1nb3k

@werter:

@adm1nb3k:

Я тут проверил, если соединить только 2е подключение и сделать как основной, то любые проблемы решаются.

Все верно. Убирайте DHCP. Оставьте только pppoe.

Прощу прощение, но тип соединение данный момент PPPoE. Оператор сам автоматические назначает IP и шлюз.

PbIXTOP

Интересно, а как ваш FTP-сервер открывает порты для пассивных клиентов?
Раньше в pfSense 1.x был модуль сетевой модуль (вроде ftp-proxy) мониторящий ftp-соединения и открывающий необходимые порты на WAN интерфейсах. Сейчас с ходу этой настройки не нашел, а может он у вас и работает, раз одного из интерфейсов пассивные клиенты могут зайти. Как вариант этот helper не умеет работать с DUALWAN
Из рекомендаций могу только посоветовать жестко для FTP выбрать порты для передачи-данных и пробросить их с pfSense дополнительно к 21 порту команд.

P.S как оказалось в версии 2.2 убрали ftp-proxy
Рекомендации к прочтению
https://forum.pfsense.org/index.php?topic=87582.0
https://doc.pfsense.org/index.php/FTP_without_a_Proxy

werter

FTP-клиент для 2.2.х . На свой страх и риск

N.B.: This is for clients and not servers. So local clients, remote servers.

https://forum.pfsense.org/index.php?topic=89841.0

pigbrother

На свой страх и риск

Установил  ч неделю назад из пакетов в 2.2.5.
Локальные FTP клиенты заработали в активном режиме.

WY6EPT

к сожалению, это не победить.
я тоже пользую мульти ван и даже пассивные порты прописывал на всех ванах и редиректил, проходит авторизация и зависает сессия, потому, что FTP сервер кидает настройки пассивных портов клиенту, а там айпишник допустим первого вана, а ты через второй ломишься!
я даже через DNS зону пробовал. нифига. только 1 канал и причём тот который первый подключился ;)
насчёт ftp passthr надо глянуть.

PbIXTOP

@WY6EPT:

к сожалению, это не победить.
я тоже пользую мульти ван и даже пассивные порты прописывал на всех ванах и редиректил, проходит авторизация и зависает сессия, потому, что FTP сервер кидает настройки пассивных портов клиенту, а там айпишник допустим первого вана, а ты через второй ломишься!
я даже через DNS зону пробовал. нифига. только 1 канал и причём тот который первый подключился ;)
насчёт ftp passthr надо глянуть.

Я так понял при настройке ftp-сервера указать какой у него внешний IP, так что можно просто поднять два экземпляра ftp-сервера c разными настройками  портов коммуникации (т.е. те которые по умолчанию 21).

WY6EPT

кстати о таком я не думал. надо попробовать. если разнести по портам, должно пройти с привязкой каждого демона к своему каналу.
надо только посмотреть как у меня это реализовать

werter

@WY6EPT:

к сожалению, это не победить.
я тоже пользую мульти ван и даже пассивные порты прописывал на всех ванах и редиректил, проходит авторизация и зависает сессия, потому, что FTP сервер кидает настройки пассивных портов клиенту, а там айпишник допустим первого вана, а ты через второй ломишься!
я даже через DNS зону пробовал. нифига. только 1 канал и причём тот который первый подключился ;)
насчёт ftp passthr надо глянуть.

В правилах fw на LAN для ip-адреса ftp-сервера шлюзом явно указана группа loadbalance\failover ?
На Stickly connections галка стоит в настройках pf ?