нужен multiwan на одной сетевой
-
доброго времени.
небольшая история, чтобы объяснить, что хочу и может ли вообще это pfsenseнаш пров даёт БЕСПЛАТНЫЙ интернет
раздаются 10 подсети и прокся 85.233.74.5:8080 c аутентификацией и фильтрацией (все порты в интернет перекрыты)используется в данный момент ipfire (шлюз и прокся) с двумя сетевыми lan и wan и непрозрачный прокси на 3128 с авторизацией на вышестоящей
недавно появилась проблема - медленный интернет с 8 до 17, (в рабочее время)
пробовал на компе из локальной сети (шлюз ipfire - внешний 10.52.40.106) прописывать напрямую проксю 85.233.74.5:8080 тоже безрезультатноподнял второй прокси ipfire c внешним 10.52.40.107 - интернет быстрый
одни и те же страницы через 10.52.40.106 блокируются фильтром WebSense, через 10.52.40.107 - отображаются нормально
после звонков провайдеру пояснили: что на проксе 85.233.74.5:8080 установлен Websense, который агрится на большой траф с одного айпишнека (защита от DDoS)
рекомендация: или всех в 10 подсеть напрямую, либо раздать 10 подсеть через dhcp и отключить маскарадинг.
хотелось бы пока обойтись без радикальных мер, ибо придется переписывать кучу статичных устройствнужно решения ситуации менее безболезненно:
на компе с 2 сетевыми lan и wan, включить непрозрачный прокси на порту 3128 с авторизацией на вышестоящей проксе
создать на wan кучу внешних айпишников (10.***/24)(может быть даже с разными мак адресами)
и сделать так чтобы пользователи идущие в интернет через локальную проксю получили быстрый интернет,
чтобы вышестоящая прокся видела, что лезут не с одного ip, а с кучи различных.хочу узнать: может ли это pfsense, гуглил по теме - обычно используются много сетевых и разные провайдеры (а тут провайдер один и сетевая одна)
был бы благодарен за ссылки.
-
Доброе.
Рисуйте схему. -
правильно не правильно понял слово схема, но вот более подробно чтоли визуальнее:
локалка (192.168.0.0/24)
{
//это шлюз и прокси ipfire
–--LAN(192.168.0.2)----(физ интерфейс)
непрозрачный прокси :3128 c авторизацией на 85.233.74.5:8080
NAT из LAN в WAN
(+правила с WAN на локальные ресурсы)
----WAN(10.52.40.106)----(физ интерфейс)
}10.0.0.0/8 (локальная сети ЦИТА)
фаер ЦИТА и прокси с авторизацией 85.233.74.5:8080
нужно на WAN дополнительно создать 10.92.47.0/24 - дополнительный мой диапазон
и равномерно раскидывать сессии внутренних пользователей по разным айпишникамчтобы WebSense видел, что запросы идут от 10.52.40.106+10.92.47.0/24 и не агрился на большой трафик
(маки для каждого ip из 10.92.47.0/24 разные нужны?) -
Во первых, не проще ли договориться с провайдером??? Во вторых, рисовать не значит перефразировать.
В третьих, сделать задуманное на средствами (только) pfSense раз-два не выйдет, поэтому ставьте задачу чётче. -
В былые времена, я решал подобную задачу под виндой исключительно средствами 3proxy, правда мне не требовалось подделывать MAC адреса.
-
договориться с провайдером?
поверьте, не стал бы тревожить общественность этого форума
насчет схемы да, признаюсь, не знаю как это делается
В третьих, сделать задуманное на средствами (только) pfSense раз-два не выйдет, поэтому ставьте задачу чётче.
а куда позвольте спросить чётче? какой момент непонятен? попробую объяснить.
тему потому и поднял: может или не может(как сделать на линуксах представляю, но там еще тот велосипед будет)
-
Из быстрого решения могу только предложить управляемый комутатор и VLAN'ы
Генерим на каждом из портов в сторону провайдера отдельный VLAN и одним портом пробрасываем все VLAN в сторону pfSense.
Вот вам и куча интерфейсов без головной боли -
Это то понятно. При том управляемый коммутатор, возможно и не нужен, учитывая что всё в конечно сливается на один порт. Просто создать VLANы и завести на обычный коммутатор.
Вопрос как маршрутизировать трафик в pfSense, если шлюз для всех интерфейсов один.
И объяснить Squid как правильно работать с 10ю шлюзами. -
Проблем со шлюзами не должно быть, обычно шлюз привязывается дополнительно к интерфейсу. Правда по умолчанию трафик должен вроде как будет идти через интерфейс и минимальным IP-адресом
Обычный коммутатор не подойдет — кому то надо снимать теги в сторону провайдера.
Да и необходимо будет для каждого VLAN интерфейса прописать отдельный MAC, чтоб коммутатор и провайдер работали нормально.
Работа SQUID в режиме MultiWan-балансировки не раз поднималась на этом форуме. -
Тогда уж на виртуалку установить pfSense, и добавить максимум виртуальных адаптеров. Ещё быстрее будет.
-
в proxmox поставил pfsense
дал виртуалке дополнительно 4 карты (opt1 2 3 4) настраиваю
назначаю opt1 10.92.47.2 /32 шлюз 10.92.47.1
назначаю opt2 10.92.47.3 /32 шлюз 10.92.47.1 и тут система ругаться начинает на шлюз -
Во первых не /32, а /8. Во вторых, лично у меня получалось что-то подобное, только при получении адреса от DHCP. Иначе GUI никак не давала сохранить настройки.
-
Во первых не /32, а /8.
а можете уточить почему так…
в случае /32 я думаю ошибся и должна быть /24 (но делу это не помогло)
а вы говорите что нужна /8 подсеть для 10.92.47.5 -
/8 или /24 Вам виднее. Так понял, просто если подсеть /24, то зачем тогда MACи подделывать?
-
назначаю opt2 10.92.47.3 /32 шлюз 10.92.47.1 и тут система ругаться начинает на шлюз
тоесть так:
The following input errors were detected:
The gateway IP address "10.92.47.1" already existsdsstorm, разве сложно было процитировать гуй?
PbIXTOP, кто говорил проблем не будет?
-
разве сложно было процитировать гуй?
да да, посыпаю голову пеплом.
Так понял, просто если подсеть /24, то зачем тогда MACи подделывать?
есть подозрения что детектятся и они,но это не важно, в виртуальных сетевых proxmox есть возможность сменить мак)
насчет сетей- поискал дополнительные другие диапазоны…. нашел еще 5 наших подсетей...
в итоге имею 6 сетевых...буду исходить из этого... все равно лучше чем однано вопрос насчет
@Scodezan:тоесть так:
The following input errors were detected:
The gateway IP address "10.92.47.1" already existsвсе же интересен
-
но вопрос насчет
The gateway IP address "10.92.47.1" already exists
все же интересенА разве нет DHCP сервера на стороне "провайдера"? Он наверняка бы решил эту часть задачи.
-
Кстати если провайдер не учитывает логин, а только IP на своей проксе то можно повесить несколько Alias IP и попробовать соединяться через этот пулл настроив или сам Squid если он имеет балансер или заворачивая его пакеты в NAT выбирая случайный IP
-
попробовать соединяться через этот пулл настроив или сам Squid если он имеет балансер
или заворачивая его пакеты в NAT выбирая случайный IP
мне бы ссылки на решения задачи подобной моей тз… предположения я и сам генерировать горазд тоннами :)
в общем пока остановился на решении с proxmox с 6 сетевыми из разных подсетей (27 24) и разными маками...
дальше как я понимаю: мне нужно будет Gateway Priority поставить одинаковые чтобы работал Load Balancing и все?
триггеры и другое трогать не нужно??