1 провайдер 2 порта 3 ipaddr в 1 subnet
-
Здравствуйте!
Возможно ли настроить два WAN к одному провайдеру, имея IP и GW в одной подсети? Это необходимо для работы веб-сервера в LAN через отдельный (WAN2) физический интерфейс, который не загружен тяжелым трафиком.Имеется 3 IP в одиной подсети, выданные провадером, GW одинаковый для них и в этой подсети.
2 из них должны быть настроены соответственно на WAN и WAN2. 3-й - это VIP, который создан на WAN2 с той же маской.Сейчас вижу проблему, что при такой конфигурации pfSense ругается на пересекающиеся сети WAN и WAN2.
Вот, если настроить WAN2 на другую подсеть со своим шлюзом, то работает, но перенести VIP из той подсети не получается, т.к. как раз они не пересекаются в этом случае.
Есть pfSense (gw1) как одна VM Hyper-V в ДЦ (провайдер).
2.3.2-RELEASE-p1 (amd64) built on Tue Sep 27 12:13:07 CDT 2016 FreeBSD 10.3-RELEASE-p9
Провайдер выдал
IP-адрес 1.2.125.5/22. Шлюз 1.2.124.1/22. Он сконфигурирован на WAN gw1.
IP-адрес 1.2.125.3/22. Шлюз 1.2.124.1/22. Он должен быть сконфигурирован на WAN2 gw1.
IP-адрес 1.2.125.8/22. Должен быть настроен как VIP на WAN gw1, с этой маской в режиме IP Aliase.
Запросы HTTP на этот VIP (1.2.125.8/22) DNATятся настройкой Port Forward на один приватный IP 192.168.100.50 (VM веб-сервер - web1) в DMZ (Настроен как VLAN100 на LAN if gw1). На web1 шлюз 192.168.100.1 - все запросы уходят через один if в gw1.Задача состоит в подключении web1 > gw1 > через другой WAN2 - отдельный физический 100 Mbps порт в сервере.
Также, есть адрес, который удалось настроить на WAN2
IP-адрес 1.2.108.5/22. Шлюз 1.2.108.1/22. Может быть сконфигурирован на WAN2 gw1.
Могу на него прописать 1.2.125.8/22, пинг проходит до gw1, но сервис в LAN через DNAT не отвечает, т.к. маршрут gw1 ведет к WAN для подсети 1.2.125.8/22. Я так понимаю. -
Вроде получилось с
VIP 1.2.125.8**/16**Но странно, что в правилах
FirewallNATOutbound
нормально работает когда в правиле c web1 выбран if по умолчанию - WAN, а не WAN2 по логике. -
Доброе.
Мультиван от одного провайдера - это костыль. Изыщите возможность подключить еще одного провайдера. -
Доброе.
Мультиван от одного провайдера - это костыль. Изыщите возможность подключить еще одного провайдера.Да, но задача не в резервировании, а в получении отдельного интерфейса от провайдера через существующий pfSense для ответственных сервисов (веб).
Кстати, сейчас решил вопрос и с
Но странно, что в правилах
FirewallNATOutbound
нормально работает когда в правиле c web1 выбран if по умолчанию - WAN, а не WAN2 по логике.Работает с WAN2, нужно было добавить правило со своим Gateway WAN2GW в FirewallRulesLANVLAN100 scr * dest !RFC1918.
Вроде получилось с
VIP 1.2.125.8/16Также, работает и VIP c масками /22 (совпадает с интерфейсной) и /32. Ранее что-то не так пошло.
-
В этой схеме есть один недостаток. Большой такой. Проблемы у единственного провайдера - проблемы у вас. Большие.
Ни интернета, ни доступности ваших серверов извне. Всё. Занавес. -
В этой схеме есть один недостаток. Большой такой. Проблемы у единственного провайдера - проблемы у вас. Большие.
Ни интернета, ни доступности ваших серверов извне. Всё. Занавес.Да, но сервер размещен Colocation в Датацентре и резервирование каналов обеспечивает он сам. Подключение нескольких провайдеров не возможно. Если это и было возможно, то не решило бы проблемы, т.к. веб-сервер не кластеризован и висит на одном своем публичном IP, который нужно перепрописывать в ресурсных записях DNS вручную при переключении.
Благодарю за участие и внимание к моему вопросу! -
Если у вас 1 провайдер то просто повешайте все IP адреса на 1 интерфейс и не мучайтесь