3 вопроса сломавшие мозг… Гуру помогите раз
-
Доброе
1. Не путать Limiter и shaper. Это как теплое и мягкое.
2.Один арендатор взял себе белые IP. Пробовал вешать на VLAN белый IP арендатора (VLAN арендатора на котором раньше был внутренний IP) и прописывал System -> Routing -> Static Routes статичный роут на эти IP. Для их IP мой WAN должен выступать гейтом. Белые IP арендатора не видны из мира. Что не правильно?
А если на вашем WAN добавить virtual IP с внешними адр. арендатора и nat настроить для их сети на эти адреса ? Также не забывать про правила fw для этого случая.
3Есть сервер в DMZ зоне с FreeSwitch. Как правильно настроить siproxy что бы выпустить его или лучше на WAN просто пробросить порты SIP и RTP?
Попробуйте просто с пробросом портов. И еще. Узнайте , поддерживает ли ваш sip-провайдер IAX2. И если да, то все гораздо проще и удобнее, т.к. пробрасывать на ВАН нужно будет всего лишь один UDP порт - https://ru.wikipedia.org/wiki/IAX
P.s. А почему FreeSwitch ? Он ведь для больших инсталляций предназначен с тысячами абонентов. Чем готовый и удобный Freepbx не устроил ?
-
А вас арендаторы тоже сидят через squid?
Сейчас пока да. По крайней мере те кто имеет наши внутреннее IP.
@PbIXTOP:Кстати исли используете Limiter не забывайте его настраивать на обоих интерфейсах.
Зачем на обоих? Вроде достаточно на одном, именно на том который идет к арендатору. Нам то зачем ограничивать трафик?
@PbIXTOP:Ну и непонятно, как арендатор взял белые IP мимо вас у вашего провайдера. Если он взял у кого-то другого то это проблемы арендатора.
А вот тут я вас не понял совсем.
Давайте немного погрузимся в маршрутизацию. Возможно что я не правильно понимаю ее.
Небольшой пример.
Имеем подсеть от провайдера
Network - 192.168.1.1/30
Первый адрес - 192.168.1.1 - он прописывается на стороне провайдера и является для моего адреса default gate
Мой адрес - 192.168.1.2 - его я прописываю у себя на интерфейсе (на WAN, а как он подключен совсем не важно. это может быть оптика или ethernet или вообще ради релейка.)
Теперь делаем внутреннюю сеть (LAN) к примеру 10.10.10.1/24 Эта вся сеть класса С. На pfsense на LAN вешаю адрес 10.10.10.1 и настраиваю все сервисы (NAT, DHCP, Squid и так далее). Для всех юзверов мой LAN будет default gate (в зависимости от настроек DHCP ). Моя внутренняя сеть будет натиться и у юзверов будет инет.
Теперь имеем другую подсеть от провайдера
Network - 192.168.5.1/29
Первый адрес - 192.168.5.1 - его я вешаю скажем на OPT1 а остальные адреса отдаю арендатору и как он их там будет распределять меня не интересует. Но мне необходимо указать маршрут этого адреса (192.168.5.1 - OPT1) на мой WAN. То есть прописать Static roter на WAN. Получается что для OPT1 мой WAN будет default gateway и все пакеты пришедшие с OPT1 будут пересылаться на WAN и обратно. И не важно какие подсети будут главное что бы мой WAN (роутер) знал о них и строил маршруты.
Вроде так. Или я ошибаюсь?
Тут описал пример для работы с физическими ethernet но так же можно реализовать и на VLAN. На данный момент это реализовано у меня на VLAN.
И вот не могу понять как правильно прописать Static route на интерфейс арендатора с реальным IP.
@werter:А если на вашем WAN добавить virtual IP с внешними адр. арендатора и nat настроить для их сети на эти адреса ?
Для чего это делать? Это лишняя нагрузка на роутер.
@werter:P.s. А почему FreeSwitch ? Он ведь для больших инсталляций предназначен с тысячами абонентов. Чем готовый и удобный Freepbx не устроил ?
Честно то я так и не осилил терминологию Asterisk. Мне как то проще оказался простой XML до и планирую наращивать свою АТС.
@werter:И еще. Узнайте , поддерживает ли ваш sip-провайдер IAX2.
К сожалению Multifon не поддерживает IAX2. О нем я уже читал.
-
Т.е. у вас внешние адреса от одного провайдера - и у вас и у арендатора ? И все приходит по одному кабелю ? Или же этот же провадер для вашего арендатора отдельный кабель завел ?
-
Т.е. у вас внешние адреса от одного провайдера - и у вас и у арендатора ? И все приходит по одному кабелю ? Или же этот же провадер для вашего арендатора отдельный кабель завел ?
Да. Адреса выделил один провайдер и все приходит по одной оптике. Просто арендатору надо белые адреса для работы его сервисов. Каких не знаю да и не интересно мне. Моя задача вывести их в мир и настроить им полосу в 20M …
P.S. у меня приходит 100M ... Возможно расширение до 500М но это планы на будующее.
P.S.S. да и осталось совсем мало времени. максимум до конца недели. Если не получиться то удалю pfsense и поставлю старый и добрый Debian и все настрою ручками. -
Создайте virtual ip на wan с адресом (-ми), к-ый выдал провайдеру провайдер.
После создать правила nat и fw для сети арендатора.P.s. Не получится у самого - пишите в личку.
-
Вроде так. Или я ошибаюсь?
Никакой static route на WAN вам не нужен. pfSense и так прекрасно знает, что эта сеть висит на OPT1. Просто ваш провайдер, похоже, не в курсе, что вы спрятали 192.168.5.1/29 за pfSense. Вам нужно либо сказать ему, что вы хотите routed subnet и он пропишет у себя маршрут в 192.168.5.1/29 через ваш WAN, либо, если так он по какой-то причине сделать не может, в дополнение к настройкам OPT1 завести на WAN virtual IP типа Proxy ARP с этой подсетью, как уже советовали.
-
Арендатор за доступ в интернет платит вам или провайдеру?? Если Провайдеру, то в чем ваш профит? Если Вам, то на каком основании, ибо лицензии на предоставление телематических услуг у вас нет, а это ай-я-яй…
Я бы сию ситуевину реализовал следующим образом: Провайдер со своей стороны запиливает VLAN для каждого из клиентов на своей стороне. В свою очередь Вы на входе ставите управляемый свич с поддержкой VLAN и транслируете через свое оборудование необходимые VLAN куда надо. И все это в обход pfsense. На pfsense заводите только свое присоединение. А ваш свич на входе от Провайдера можно сдать ему-же в аренду, ну или договориться об уменьшении тарифа... Ну или пусть свое оборудование ставит!
-
.. И все это в обход pfsense
Задача у ТС состоит в том, чтобы мониторить весь трафик (?)
ТС, ваш вариант - virtual ip на WAN с адресами, к-ые выдал провайдер арендатору.
-
.. И все это в обход pfsense
Задача у ТС состоит в том, чтобы мониторить весь трафик (?)
ТС, ваш вариант - virtual ip на WAN с адресами, к-ые выдал провайдер арендатору.
Со слов создателя топика:
4-5-6VLAN - это арендаторы. Арендаторам выделены свои адреса и как они там рулят нам не интересно.
Моя задача вывести их в мир и настроить им полосу в 20M …
То есть цель мониторить трафик не стоИт. Тогда зачем резать свою полосу и отдавать 20% дяде, да еще и с белыми статическими IP? Да и сам факт что через мой шлюз фигачит чужой трафик, меня лично напрягает - ну а если мне планово что-то надо на шлюзе перенастроить - со своими я вопрос согласую. Как мне стороннему дяде объяснять обрывы в связи??
Чую я что там предыстория мутная… Но это к делу не относится.. -
Кстати исли используете Limiter не забывайте его настраивать на обоих интерфейсах.
Зачем на обоих? Вроде достаточно на одном, именно на том который идет к арендатору. Нам то зачем ограничивать трафик?
Поскольку pfSense формирует правила на интерфейсах и использует механизм statefull для сессий. И если нету правила на внешнем интерфейсе, то можно получить приятный перекос по скорости, если тестировать её из вне.
