PfSense 2.2.6 три линка с одинаковым шлюзом

Electricshock

Понял, а как делать тогда? Только ставить другой роутер и с него роутить инет в локалку?

pigbrother

1 канал оставить обслуживать pfSense, 2 других отдавать pfSense через предстоящие роутеры.
Минус- двойной NAT для LAN через эти интерфейсы.
Плюсы - failower\load balancing средствами pfSense и единый GW для LAN.

Electricshock

Двойной NAT - сильно плохо? Сталкивался как-то с этим уже, но вроде работало.
Дело в том, что инет нужен другой организации, которая будет арендовать у нас кабинеты. Вот и думаю, как лучше сделать.

pigbrother

@Electric^shock:

Двойной NAT - сильно плохо? Сталкивался как-то с этим уже, но вроде работало.
Дело в том, что инет нужен другой организации, которая будет арендовать у нас кабинеты. Вот и думаю, как лучше сделать.

Если провайдер выпускает в Интернет с серым IP - разницы особой нет, port forward все равно работать не будет.
Если с белым - и port forward нужен - придется организовывать двойной проброс - на роутере и на pfSense, или включать на роутере то, что в бытовых моделях неправильно называется "DMZ".

werter

Доброе.
2 Electric^shock

Немного подскажу в выборе роутеров.

Роутеры с возможностью использовать альтернат. прошивку от Padavan-а:
https://bitbucket.org/padavan/rt-n56u/wiki/Home
https://wikidevi.com/wiki/List_of_Padavan_firmware_supported_devices

Внимание! Сейчас в продаже имеются модели Asus RT-N11P B1 и RT-N12VP B1 По железу - братья-близнецы.
Шьются прошивкой для RT-N11P B1 Она не stable (но работает).  Лучше бы поискать RT-N11P A1 (в продаже еще попадаются - видел в Связном или на Авито).

Роутеры с возможностью использовать альтернат. прошивку Tomato by Shibby :
http://tomato.groov.pl/?page_id=69
Внимание! После перепрошивки сбросить NVRAM.

Роутеры с возможностью использовать альтернат. прошивку LEDE (форк OpenWRT на 4-м ядре linux):
https://lede-project.org/supported_devices

Перед перепрошивкой понять, что же у вас за ревизия вашей модели роутера, т.к. как внешне роутеры выглядят совершенно одинаково! Также изучить инс-ции по перепрошивке (и восстановлению). Инс-ции имеются на форуме 4pda.

P.s. Узнать, что "внутри" у вашего роутера - https://wikidevi.com/wiki/Main_Page

Electricshock

Понял, спасибо, буду изучать, хотя, думаю, сами аренданторы купят какой-нибудь недорогой DIR-300 и воткнут его.

werter

DIR-300 новый стоит столько же, сколько тот же asus rt-n11p (~1000 руб), к-ый в разы функциональнее с альтерн. прошивкой. Смысл? Подскажите им, что ли.

Electricshock

А у этих прошивок есть реализация OpenVPN, интересно? Т.е. можно ли их дружить с pfSense?

werter

Доброе.
Мил человек, вы до сих пор даже не соизволили сходить по данным ссылкам и глянуть возможности?
Теперь вот не знаю, стоит ли вам дальше помогать-подсказывать  :-\

pigbrother

@Electric^shock:

А у этих прошивок есть реализация OpenVPN, интересно? Т.е. можно ли их дружить с pfSense?

У большинства - есть. Но:
1. Вам она для реализации "поставить роутер перед pfSense" ничего не даст
2. CPU в таких роутерах для OpenVPN откровенно слаб - скорости будут мизерные
3. Для использования OpenVPN используйте pfSense

werter

2. CPU в таких роутерах для OpenVPN откровенно слаб - скорости будут мизерные

Эээ, поправлю. Тот же SOC MT7628 имеет аппаратную реализацию по работе с шифрованием (вроде).
Да и 50-100 Мб\с по впн даааалеко не кажный x86 CPU потянет.

pigbrother

@werter:

2. CPU в таких роутерах для OpenVPN откровенно слаб - скорости будут мизерные

Эээ, поправлю. Тот же SOC MT7628 имеет аппаратную реализацию по работе с шифрованием (вроде).
Да и 50-100 Мб\с по впн даааалеко не кажный x86 CPU потянет.

Увы,  MT7628 не содержит модулей аппаратной поддержки шифрования:

MT7628 Datashit:
http://datasheet4u.com/datasheet-pdf/MediaTek/MT7628/pdf.php?id=948259

Ну, или увы мне - он содержит, но я не нашел.

А 60 Мбит OpenVPN без включенной аппаратной поддержки AES-NI спокойно тянет Celeron N3150 с загрузкой одного ядра прибл. 30-50%.

Все идет к тому, что аппаратная поддержка шифрования будет обязательной, но пока этого нет в большинстве устройств на рынке.

werter

Доброе.
Их там целое семейство - https://wikidevi.com/wiki/MediaTek
https://wikidevi.com/wiki/MediaTek
https://www.mediatek.com/products/homeNetworking/mt7628k-n-a

https://forum.lede-project.org/t/hardware-crypto-for-mediatek-missing/3314 - в конце

И как раз те недорогие уст-ва на MT 7628N, что я советовал выше - https://goo.gl/QNAxmJ
Аппаратно AES поддерживается в случае использования альтернативной прошивки (от Padavan-а в данном случае), ес-но.

pigbrother

Чтож, копнул глубже - и да, вроде как AES поддерживается,  причем популярный AES128/256-CBC.
https://s3-ap-southeast-1.amazonaws.com/mediatek-labs-imgs/downloads/1f9d1b96f0f20242df0e3826fccc9da0.pdf?response-content-disposition=inline%3B%20filename%3DMT7688_Datasheet_v1_4.pdf&X-Amz-Content-Sha256=UNSIGNED-PAYLOAD&X-Amz-Security-Token=FQoDYXdzENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaDBFvJPxLbC%2B%2FbBmZjCKmAwK25w%2Flc2Z5rl4fBiqVnX6V2WxcWTt4RF5kJh3HHjJAbRWSfndMI2mk5gT%2B8wl04oQ1Q3wOHBWbfhgVNa8j63nvSD7FvoATI7xaJyk86xLupg9R%2BVpBfNQY8wRjjHVseupFoJi3MxPUjFzXawPMHWw7vZx9ONqcq%2BvYOjgYZSMegw%2BiJHlohAGsFxT50zOQR70Un0ZQ0jV8yrp%2BdB705cDvbH2mZrCzxZxJ3ZXdcYCKlibN9q%2FWWXAreS2OWDKuhiH3ASTHPtrNSLCXPstMRPh06A%2FAcasmT3Bo%2BMT%2FDOcAQx64q2ZQnUwkPar2lahVksycrRbxYd1pporZX%2FRfPajh1eY3BR9Ybkx85beQxOo1KmgtjSS8fkwa%2BbyFJrnlQZ7nZe5ffamiuEgXu68DhCVA8ufPTdKM%2BHwemeUDZGB2TNZ0QXZp0v3Ok%2F5VT98JtSH0w7h%2FSbH0xi9R3h99XK%2FoINmadlfJXWu5Jhm68QFTiiCr3v7onvz1npQTEiZtce2miQNCSMcwkd6UXG0ByuYiD4mbfcJ%2B3PSLWWSu1Fkno4ZpeYhGKPrZw84F&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=ASIAJHII3S73UYZQP2SA%2F20171001%2Fap-southeast-1%2Fs3%2Faws4_request&X-Amz-Date=20171001T142250Z&X-Amz-SignedHeaders=host&X-Amz-Expires=600&X-Amz-Signature=97f4d499e38c38d6427ba4b5f3e1a8cd6646235034ad04997b4ea58ea7d49c6e