Как с Wan раздать инет VLAN?
-
Здравствуйте ув. форумчане. Подставляя в качестве шлюза на клиентских компах IP адрес Lan интернет есть. Когда создал VLAN со статическим IP адресом и родителя поставил WAN , то подставляя Влановский ай пи в шлюзы компов -интернета нет. Делал родителем Лан тоже никакого эффекта. Подскажите что не так ? С браузера захожу в веб-морду с обеих ай пи адресов и ЛАН и ВЛАН :)) заранее благодарен за ответ :)
-
Доброе.
NAT смотрите. -
Здравствуйте. А можно поточнее ? :)
-
Скрины настроек правил fw, NAT покажите.
-
в Фаерволе пусто только значение отбаунд. И в правилах ВАН тоже отсутствует. Я так понимаю надо создать правило в ВАН чтобы раздать на соответсвующую сеть или адрес ? И вопрос ещё: какой родитель должен быть ВЛАН ? ЛАН или ВАН ?
-
В NAT перекл. на Hybrid и внимательно добавляете правила для OPT1 по аналогии ниже с WAN.
В настр fw на LAN создаете правило - src - LAN net + явно указываете GW - OPT1. Ставите его выше всех - ваши пол-ли будут ходить через OPT1.
Можно также настроить отказоустойчивость и\или балансировку из двух WAN. -
Благодарю за ответ.
@werter:В NAT перекл. на Hybrid и внимательно добавляете правила для OPT1 по аналогии ниже с WAN.
Надо создать правила в mappings ?
@werter:В настр fw на LAN создаете правило - src - LAN net + явно указываете GW - OPT1. Ставите его выше всех - ваши пол-ли будут ходить через OPT1.
Что такое GW ? в правилах указать Сорс будет Лан нет,а Destination OPT1 ?
Скажите а почему такие трудности раздачи интернет по ВЛАН ? Ведь по Лан элементарно передается. По идее при создании ВЛАН и прописке родителя ВАН и правил таких же как в ЛАН по идее должно хватить.
И ещё вопрос надо ли, что бы сетевая карта поддерживала 801q ? Может из-за этого такие трудности ? -
Помогите пожалуйста ! В долгу не останусь ! Реально срочно надо. Скоро открытие офиса. вайбер +7-978-8-535-600
-
В Outbound NAT нужное правило, похоже, создалось.
Для интерфейса VLAN\OPT1 есть ли правило, аналогичное правилу для LAN:
IPv4 * LAN net * * * ваш шлюз\или * none Default allow LAN to any rule
т.е
IPv4 * OPT1 net * * * ваш шлюз\или * none Default allow OPT1 to any rule -
Благодарю Вас за ответы. Попробовал все равно не идет. Тут возник вопрос в следующем. Порезать скорость на Лане смог пользователям с помощью правил. Вопрос к знающей и уважающей публике : как,зная IP адреса сайтов и порты - этим ресурсам включить больше пропускной способности ? Это надо для того, что бы пользователи в локалке сидели по 2 мбита интернета , например, а когда начнется обновление виндоус ,скайп или другие программы, то на эти ресурсы выставить по 10 мбит.
-
Доброе.
Скрины настроек WAN, VLAN. -
И Вам добрый. Вот скрины. Упорно инет не заходит на мою подсеть ВЛАН 192.168.3.234 Не знаю есть ли статья на тему как настроить инетс ВАНА на ВЛАН? Вопрос стал так : что легче пробросить инет на ВЛАН или Надо сделать так, чтобы трафик к определенным ресурсам не попадал в данное правило шейпера присвоенный ЛАНУ
-
Итак уже 3 дня шаманства до глубокой ночи выявили следующие нюансы. Попробовал пойти от ВЛАНА другим путем. Создал виртуальный айпи. Прикрепил его к ЛАНу в настройках. Прописал его в РУЛах и и поставил НАТ на автомат (рифма :)))). Урааа ! Радость была не долгая пока выяснил что сквозит от этого виртуального айпи. В шейпере задал лимитеры и вписал в РУЛЫ ничего не помогает как сквозит ЛАН так и Виртуальный Ай пи. Теперь вопрос : Как ограничить скорость этого виртуального АЙ ПИ ?
-
Доброе.
Какой там лимитер-шейпер ? Вы куда рванули? Вы доступ в инет доведите до ума. У вас на OPT1 в NAT настройки невнимательно перенесены с WAN.Начнем c начала. Как у вас ВЛАН организован для ОПТ1 ? У вас есть л2-свитч, в к-ый воткнуто ДВА кабеля от 2-х пров-ров и один кабель воткнут в trunk-порт этого свитча и из него - в сетевую (ВАН) для пф?
Или у вас ДВЕ внешн. сетевые (для ВАНов) на пф и в них воткнуто по кабелю от пров-ров ?
-
Здравия и Вам :) Расскажу все сначала. Думаю как легче решить. Есть один вход физический ВАН и есть выход физический на свич ЛАН. Так как из железа есть мать Асрок с одним PCI слотом, вот и задумался что сделать. Задача стоит такая:на офис всем поделить скорость по 5 мбит, подставляя шлюз с подсети ЛАНА 192.168.0.1 и настроить ВЛАН 192.168.1.1 и пустить на него интернет и вручную батником менять шлюз на клиентских компах на 10 мбит при обновлениях. По умолчанию на ЛАНЕ появляется интернет и его шейпером легко порезать. А на созданном ВЛАНЕ 192.168.1.1 нет интернета хотя с этого айпи можно зайти в веб-морду. Правила одинаковые что на ЛАНе, что на ВЛане.
Теперь если не получится пустить на ВЛАН инет чуть изменить задачу. Увсех клиентов скорость по 5 мбит, но к определенным хостам или интернет ресурсам сделать скорость доступа 10 мбит. Вот что проще ? :))) Заранее благодарен за ответ. -
Скажите а почему такие трудности раздачи интернет по ВЛАН ? Ведь по Лан элементарно передается. По идее при создании ВЛАН и прописке родителя ВАН и правил таких же как в ЛАН по идее должно хватить.
да, правильно настроенный VLAN для pfsense - просто еще один интерфейс\сетевая плата.
И ещё вопрос надо ли, что бы сетевая карта поддерживала 801q ? Может из-за этого такие трудности?
Желательна аппаратная поддержка. Теоретически дешевые сетевые платы могут криво поддерживать работу с VLAN.
Выполните ifconfig. В выводе для физической карты должны быть упоминания о VLAN. У меня это выглядит так:
igb0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=400bb<rxcsum,txcsum,<strong>VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO>
HW - аппаратная поддержка. Она не обязательна, но с ней лучше.Не очень ясно, для чего вам VLAN. Если не для разделения подсетей, то для ограничения скоростей VLANы не нужны.
и вручную батником менять шлюз на клиентских компах
Тоже не ясно, т.к
Есть один вход физический ВАН
О смене каких шлюзов идет речь?</rxcsum,txcsum,<strong></up,broadcast,running,simplex,multicast> -
Здравствуйте. Я делаю батники что бы в подсетях подставлять в свойствах ТСP/IPv4 в графе шлюз 192.168.х.х , что бы юзеры виндовые смогли с рабочего стола одним кликом поменять шлюз и тем самым увеличить или уменьшить скорость. Сейчас объясню как. Например есть две подсети 192.168.0.1 и 192.168.5.1 На них шейпером ставлю ограничение по скорости и в РУЛАх прописываю 192.168.0.1 - 5 мбит и 192.168.5.1 - 10мбит. Затем делаю батники
10 мбит
route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1
route -p add 0.0.0.0 mask 0.0.0.0 192.168.5.15 мбит
route delete 0.0.0.0 mask 0.0.0.0 192.168.5.1
route -p add 0.0.0.0 mask 0.0.0.0 192.168.0.1Теперь когда надо нам нужная скорость просто клацаем на батник и получаем результат. Так вот, я хотел что бы с одного физического конца получить две подсети LAN и VLAN вместе с интернетом. У ЛАНА есть инет,у ВЛАНА нет. Видно придется толкнуть Асрок с одной PCI и купить другую мамку и подкупить еще одну сетевую. Надве сетевушки думаю колдовать не надо инет сразу будет раздаваться на них.
Я может устарел в планах раздачи и ограничения пользователей скорости инета, но на старом сервере было десять таких шлюзов и 10 батников которые переключали и ограничивали интернет. Я так подумал что так можно было бы замутить с ВЛАНАМИ :)))
Потом попробовал с виртуальным айпи но на него шейпер недействует сквозит как и физический ЛАН :) -
Я может устарел в планах раздачи и ограничения пользователей скорости инета, но на старом сервере было десять таких шлюзов и 10 батников которые переключали и ограничивали интернет.
Самый, пожалуй, экзотический способ управления трафиком, который я встречал.
Да и как проследить, что юзер сознательно ограничил сам себе скорость?
-
Ну так подскажите пожалуйста как порезать трафик и что бы изменять виндовыми средствами ? Кстати собрал на двух сетевухах и нормально режет скорость. И раздается инет нормально. Пока все начальные настройки и полет нормальный. Но тут появилась одна хрень. Если юзер начинает качать на своем компе что-то, то падает инет во всем офисе. У юзера ограничение 5 мбит вроде и скорость не большая от 100 мбит общей, но все-таки. Может подскажите куда смотреть или что делать ? Правда странно как-то. Может шейпер не так работает ?
-
Ну так подскажите пожалуйста как порезать трафик и что бы изменять виндовыми средствами
Если хотите управлять скоростью именно на клиенте - лет 15 назад использовал такую штуку:
https://www.netlimiter.com
Позволяет управлять не только трафиком клиента вообще, но и управлять трафиком конкретных приложений.
Минус - программа платная.Правильным же, IMHO, способом является настройка лимитера\шейпера на самом pfsense.