нужен multiwan на одной сетевой

dsstorm

доброго времени.
небольшая история, чтобы объяснить, что хочу и может ли вообще это pfsense

наш пров даёт БЕСПЛАТНЫЙ интернет 
раздаются 10 подсети и прокся 85.233.74.5:8080 c аутентификацией и фильтрацией (все порты в интернет перекрыты)

используется в данный момент ipfire (шлюз и прокся) с двумя сетевыми lan и wan  и непрозрачный прокси на 3128 с авторизацией на вышестоящей

недавно появилась проблема - медленный интернет с 8 до 17, (в рабочее время)
пробовал на компе из локальной сети (шлюз ipfire - внешний 10.52.40.106) прописывать напрямую проксю 85.233.74.5:8080 тоже безрезультатно

поднял второй прокси ipfire c внешним 10.52.40.107 - интернет быстрый

одни и те же страницы через 10.52.40.106 блокируются фильтром WebSense, через 10.52.40.107 - отображаются нормально

после звонков провайдеру пояснили: что на проксе 85.233.74.5:8080 установлен Websense, который агрится на большой траф с одного айпишнека (защита от DDoS)

рекомендация: или всех в 10 подсеть напрямую, либо раздать 10 подсеть через dhcp и отключить маскарадинг.
хотелось бы пока обойтись без радикальных мер, ибо придется переписывать кучу статичных устройств

нужно решения ситуации менее безболезненно:
на компе с 2 сетевыми lan и wan, включить непрозрачный прокси на порту 3128 с авторизацией на вышестоящей проксе
создать на wan кучу внешних айпишников (10.***/24)(может быть даже с разными мак адресами)
и сделать так чтобы пользователи идущие в интернет через локальную проксю получили быстрый интернет,
чтобы вышестоящая прокся видела, что лезут не с одного ip, а с кучи различных.

хочу узнать: может ли это pfsense, гуглил по теме - обычно используются много сетевых и разные провайдеры (а тут провайдер один и сетевая одна)

был бы благодарен за ссылки.

werter

Доброе.
Рисуйте схему.

dsstorm

правильно не правильно понял слово схема, но вот более подробно чтоли визуальнее:

локалка (192.168.0.0/24)

{
//это шлюз и прокси ipfire
–--LAN(192.168.0.2)----(физ интерфейс)
непрозрачный прокси :3128 c авторизацией на 85.233.74.5:8080
NAT из LAN в WAN
(+правила с WAN на локальные ресурсы)
----WAN(10.52.40.106)----(физ интерфейс)
}

10.0.0.0/8 (локальная сети ЦИТА)

фаер ЦИТА и прокси с авторизацией 85.233.74.5:8080

нужно на WAN дополнительно создать  10.92.47.0/24 - дополнительный мой диапазон
и равномерно раскидывать сессии внутренних пользователей по разным айпишникам

чтобы WebSense видел, что запросы идут от 10.52.40.106+10.92.47.0/24 и не агрился на большой трафик
(маки для каждого ip из 10.92.47.0/24 разные нужны?)

Scodezan

Во первых, не проще ли договориться с провайдером??? Во вторых, рисовать не значит перефразировать.
В третьих, сделать задуманное на средствами (только) pfSense раз-два не выйдет, поэтому ставьте задачу чётче.

Scodezan

В былые времена, я решал подобную задачу под виндой исключительно средствами 3proxy, правда мне не требовалось подделывать MAC адреса.

dsstorm

@Scodezan:

договориться с провайдером?

поверьте, не стал бы тревожить общественность этого форума

насчет схемы да, признаюсь, не знаю как это делается

@Scodezan:

В третьих, сделать задуманное на средствами (только) pfSense раз-два не выйдет, поэтому ставьте задачу чётче.

а куда позвольте спросить чётче? какой момент непонятен? попробую объяснить.
тему потому и поднял: может или не может

(как сделать на линуксах представляю, но там еще тот велосипед будет)

PbIXTOP

Из быстрого решения могу только предложить управляемый комутатор и VLAN'ы
Генерим на каждом из портов в сторону провайдера отдельный VLAN и одним портом пробрасываем все VLAN в сторону pfSense.
Вот вам и куча интерфейсов без головной боли

Scodezan

Это то понятно. При том управляемый коммутатор, возможно и не нужен, учитывая что всё в конечно сливается на один порт. Просто создать VLANы и завести на обычный коммутатор.

Вопрос как маршрутизировать трафик в pfSense, если шлюз для всех интерфейсов один.
И объяснить Squid как правильно работать с 10ю шлюзами.

PbIXTOP

Проблем со шлюзами не должно быть, обычно шлюз привязывается дополнительно к интерфейсу. Правда по умолчанию трафик должен вроде как будет идти через интерфейс и минимальным IP-адресом
Обычный коммутатор не подойдет — кому то надо снимать теги в сторону провайдера.
Да и необходимо будет для каждого VLAN интерфейса прописать отдельный MAC, чтоб коммутатор и провайдер работали нормально.
Работа SQUID в режиме MultiWan-балансировки не раз поднималась на этом форуме.

Scodezan

Тогда уж на виртуалку установить pfSense, и добавить максимум виртуальных адаптеров. Ещё быстрее будет.

dsstorm

в proxmox поставил pfsense
дал виртуалке дополнительно 4 карты (opt1 2 3 4) настраиваю
назначаю opt1 10.92.47.2 /32 шлюз 10.92.47.1
назначаю opt2 10.92.47.3 /32 шлюз 10.92.47.1 и тут система ругаться начинает на шлюз

Scodezan

Во первых не /32, а /8. Во вторых, лично у меня получалось что-то подобное, только при получении адреса от DHCP.  Иначе GUI никак не давала сохранить настройки.

dsstorm

@Scodezan:

Во первых не /32, а /8.

а можете уточить почему так…
в случае /32  я думаю ошибся и должна быть /24 (но делу это не помогло)
а вы говорите что нужна /8 подсеть для 10.92.47.5

Scodezan

/8 или /24 Вам виднее. Так понял, просто если подсеть /24, то зачем тогда MACи подделывать?

Scodezan

@dsstorm:

назначаю opt2 10.92.47.3 /32 шлюз 10.92.47.1 и тут система ругаться начинает на шлюз

тоесть  так:
The following input errors were detected:
The gateway IP address "10.92.47.1" already exists

dsstorm, разве сложно было процитировать гуй?

PbIXTOP, кто говорил проблем не будет?

dsstorm

@Scodezan:

разве сложно было процитировать гуй?

да да, посыпаю голову пеплом.

@Scodezan:

Так понял, просто если подсеть /24, то зачем тогда MACи подделывать?

есть подозрения что детектятся и они,но это не важно, в виртуальных сетевых proxmox есть возможность сменить мак)

насчет сетей- поискал дополнительные другие диапазоны…. нашел еще 5 наших подсетей...
в итоге имею 6 сетевых...буду исходить из этого... все равно лучше чем одна

но вопрос насчет
@Scodezan:

тоесть  так:
The following input errors were detected:
The gateway IP address "10.92.47.1" already exists

все же интересен

Scodezan

@dsstorm:

но вопрос насчет
The gateway IP address "10.92.47.1" already exists
все же интересен

А разве нет DHCP сервера на стороне "провайдера"?  Он наверняка бы решил эту часть задачи.

PbIXTOP

Кстати если провайдер не учитывает логин, а только IP на своей проксе то можно повесить несколько Alias IP и попробовать соединяться через этот пулл настроив или сам Squid если он имеет балансер или заворачивая его пакеты в NAT выбирая случайный IP

dsstorm

@PbIXTOP:

попробовать соединяться через этот пулл настроив или сам Squid если он имеет балансер

@PbIXTOP:

или заворачивая его пакеты в NAT выбирая случайный IP

мне бы ссылки на решения задачи подобной моей тз… предположения я и сам генерировать горазд тоннами :)

в общем пока остановился на решении с proxmox с 6 сетевыми из разных подсетей (27 24) и разными маками...
дальше как я понимаю: мне нужно будет Gateway Priority  поставить одинаковые чтобы работал Load Balancing и все?
триггеры и другое трогать не нужно??