Второй Интернет-провайдер

werter

Добрый.
Созданием правил с явным указанием gw в настройках правил fw.
Можна на конкретных интерфейсах, а можно и во floating rules.

factorylan

Спасибо werter

Получается, что - целых 3 способа… а какой самый простой ?

У нас на floating-rules уже задействовано QoS для SIP

Scodezan

Так то один способ

Созданием правил с явным указанием gw в настройках правил fw.

В Вашем случае для sip, возможна модификация существующих во floating.

factorylan

Scodezan. пожалуйста, объясните в паре слов - какие установки надо менять в Floating-Rules: может быть - interface, gateway ?

Сейчас у нас только один WAN, он-же Default Gateway. Все NAT-установки идут через него.

Мы уже добавили двух-канальную карту NC382T и она видна в INTERFACES. Имея два доп. интерфаса, мы уже можем подключить модем от Быстрого провайдера (static IP). Может-быть его сразу установить как Default Gateway ?

Scodezan

@factorylan:

может быть - interface, gateway ?

Да.

@factorylan:

Может-быть его сразу установить как Default Gateway ?

Разумеется, да.

factorylan

Спасибо за инфу :)

Извините, я не понял: Floating - нам нужно менять обе настройки - Gateway и Interface или только одну из этих настроек ?

У нас только одно Floating правило, которе надо направить через Медленного провайдера: qVoIP.
Весь остальной трафик мы пустим через новый Default Gateway - OPT1. Надо-ли добавлять новое правило в
Firerwall -> Rules -> LAN (с указанием Gateway) или достаточно только Floating ?

Я приделал картинки для этого Floating-правила.

Заранее Спасибо

qVoIP_top.png_thumb

qVoiP_bottom.png_thumb

pigbrother

В принципе - можно обойтись и правилом на LAN:

IPv4 TCP/UDP LAN net * * 3CX_port GW_OPT none
или
IPv4 * LAN net * * 3CX_port GW_OPT none

Можно указать и Queue, хотя если OPT используется только под SIP, особенного смысла в этом нет
Правило поместить выше, чем Default allow LAN to any rule.

factorylan

Большое Спасибо за конкретный совет, pigbrother :)

Только вот, в нашем случае, интерфейсы использованны наоборот: мы хотим сделать OPT1 (Быстрого провайдера) Default Gateway, а через старого (Медленного) провайдера оставить только трафик с сервера 3CX

Вопрос: если установить новый (Быстрый) WAN-интерфейс как Default Gateway, мы точно так-же ставим LAN-rule, как Вы показали, или по-другому ?

Я приделал картинку со списком портов для 3CX.

Ещё вопрос: у нас сейчас много портов проведены через NAT на внутренние IP-адреса, в том числе и на адрес 3CX сервера. Мы хотим оставить проводку 3CX портов через Старого провайдера, но все остальные провести через новый WAN-интерфасе. Какие установки мы должны изменить на NAT:Port Forward ?

![Firewall - Alias for 3CX server.png_thumb](/public/imported_attachments/1/Firewall - Alias for 3CX server.png_thumb)
![Firewall - Alias for 3CX server.png](/public/imported_attachments/1/Firewall - Alias for 3CX server.png)
![3CX - NAT Port Forward.png](/public/imported_attachments/1/3CX - NAT Port Forward.png)
![3CX - NAT Port Forward.png_thumb](/public/imported_attachments/1/3CX - NAT Port Forward.png_thumb)

werter

@factorylan:

Ещё вопрос: у нас сейчас много портов проведены через NAT на внутренние IP-адреса, в том числе и на адрес 3CX сервера. Мы хотим оставить проводку 3CX портов через Старого провайдера, но все остальные провести через новый WAN-интерфасе. Какие установки мы должны изменить на NAT:Port Forward ?

Пробрасывайте порты на том WAN , к-ый Вам нужен, т.е. для 3CX на старом WAN , а все остальные - на новом.

P.s. Если возможность исп. IAX2 вместо SIP+RTP - используйте её. Один udp-порт для всего намного жизнь облегчает.

P.p.s. Перевел контору с 3CX на Астериск + freepbx и не жалею. Готовый дистрибутив - https://www.schmoozecom.com/distro-download.php

pigbrother

Вопрос: если установить новый (Быстрый) WAN-интерфейс как Default Gateway, мы точно так-же ставим LAN-rule, как Вы показали, или по-другому ?

В правиле просто смените шлюз на нужный, медленный, я просто ошибся.

Какие установки мы должны изменить на NAT:Port Forward ?
По идее - никакие, ведь в Port Forward вы привязали эти правила к нужному интерфейсу.

Указание default gateway ничего не меняет, с 2-мя WAN вы работаете в режиме, называемом
https://en.wikipedia.org/wiki/Policy-based_routing

Так как 3CX находится в вашей LAN, можно поступить еще проще, изменив правило просто указав как source IP-адрес 3CX

IPv4 * 10.0.1.40 * * * GW_WAN none

поставив его выше, чем

IPv4 * LAN net * * * GW_OPT none Default allow LAN to any rule

Которое будет все остальное пускать через быстрый OPT

Я для голосового шлюза использовал именно такой вариант, не оперируя портами вообще.

Если возможность исп. IAX2 вместо SIP+RTP - используйте её. Один udp-порт для всего намного жизнь облегчает.

Если можете - последуйте этому совету, правда поддержка нужна и со стороны АТС и со стороны оборудования. Работа зоопарка SIP+RTP через NAT когда сервер снаружи - тот eще квест.

pigbrother

P.p.s. Перевел контору с 3CX на Астериск + freepbx и не жалею. Готовый дистрибутив - https://www.schmoozecom.com/distro-download.php
Этот дистрибутив лучше чем, например, Эласткс или FreePBX?

factorylan

Огромное Спасибо, pigbrother :)

С портами 3CX возиться мне всё-таки придётся потoму, что 10.0.1.40 это не только 3CX, но и много других сервисов, включая Windows Update… Я думаю построить LAN-Rule по Вашему совету, только вместо Source-Port "*" поставить "3CX-Ports" Alias.

IPv4 * 10.0.1.40 * * * WAN none

primerno так:

IPv4 * 10.0.1.40 3CX-Ports * * WAN none
IPv4 * LAN net * * * OPT_WAN_GW none Default allow LAN to any rule

Люди советовали вообще выключить "Default allow LAN to any rule", а Вы нашли классное применение этому правилу ;)

Скажите, а Default Gateway на новом интерфасе надо галочку ставить ?

Ещё раз СПАСИБО !

pigbrother

Скажите, а Default Gateway на новом интерфасе надо галочку ставить ?

Да, тогда все правила, где шлюзом указан default (так в правилах по умолчанию) , будут использовать шлюз этого интерфейса (сам интерфейс)

Люди советовали вообще выключить "Default allow LAN to any rule"

Это обычное правило, просто созданное pfsense во время установки. Без него были бы сплошные крики "меня не пускает в интернет"
Его можно редактировать под свои нужды - менять шлюзы, включать очереди, лимитеры, планировщик и прочее.

Раз у вас стало 2 провайдера - подумайте, кстати, нужен ли вам failover, чтобы при аварийном падении быстрого шлюза в работу для всей сети включался медленный. В pfsense это делается парой кликов.

factorylan

Теперь похоже, всё ясно

Попробую настроить

Огромное СПАСИБО, pigbrother :) :)

factorylan

при аварийном падении быстрого шлюза в работу для всей сети включался медленный.

Насчёт Failover: насколько мне известно, нужно Gateway Group…

А как это сделать в нашем случае, если 2 провайдера работают одновременно на разный трафик ?

pigbrother

насколько мне известно, нужно Gateway Group…
Да, в группу. Быстрый - tier1, медленный - tier2, группа - Failover

А как это сделать в нашем случае, если 2 провайдера работают одновременно на разный трафик ?
Ну и что? Мы указали в правиле для SIP конкретный шлюз, только он и будет использоваться.
Для Default allow LAN to any rule назначаем шлюзом Failover. И пока tier1 не упадет, tier2 использоваться не будет.

Вообще, в Gateway Group можно включать\не включать любые шлюзы с разными tier и и использовать разные группы в разных правилах. Можно, например, создать группу SiPFailover с tier, назначенными обратно к Failover и пускать SIP в быстрый интернет если упал медленный. Правда учитывая специфику SIP переключение будет происходить не быстро и придется включить State Killing on Gateway Failure.

factorylan

Ещё раз Спасибо, pigbrother :)

Вы - настоящий эксперт по pfSense !

А вот я Gateway-Groups никогда не использовал и у меня сразу возникли вопросы:

Быстрый - tier1, медленный - tier2, группа - Failover

а какой надо ставить Trigger Level для этой Группы ?

Ещё вопрос : Новые правила Firewall:Rules: LAN, касающиеся Gateway-Groups,
надо ставить ДО всех остальных или В КОНЦЕ списка правил?
Я знаю, что правила проверяются сверху-вниз до первого подходящего

…и ещё вопрос: State Killing on Gateway Failure – это где такая установка ?

Заранее Спасибо за такие полезные советы :)

werter

@pigbrother:

P.p.s. Перевел контору с 3CX на Астериск + freepbx и не жалею. Готовый дистрибутив - https://www.schmoozecom.com/distro-download.php
Этот дистрибутив лучше чем, например, Эласткс или FreePBX?

Внимательнее. Это и есть Asterisk+FreePBX.
FreePBX - это не отдельный дистриб, а web-интерфейс к Asterisk. Как и Elastix etc.

pigbrother

Я вовсе не эксперт, просто описываю то, что делал сам. Многое мне вовсе не знакомо.
pfSense - система, где всего несколько страниц основных настроек, причем прекрасно прокомментированных, практически все пункты любых прочих настроек содержат исчерпывающие рекомендации.

а какой надо ставить Trigger Level для этой Группы ?

По моему, их названия самоговорящие. When to trigger exclusion of a member -> Member down
можете экспериментировать с другими.

правила Firewall:Rules: LAN, касающиеся Gateway-Groups,
надо ставить ДО всех остальных или В КОНЦЕ списка правил?
Правила действуют сверху вниз. Ставите их выше, чем Default allow LAN to any rule.

State Killing on Gateway Failure – это где такая установка ?
System: Advanced: Miscellaneous
Галку нужно снять

factorylan

Большое СПАСИБО, pigbrother