Default шлюзы

chieftech

Всем доброго времени.

2.4.1-RELEASE (amd64)
built on Sun Oct 22 17:26:33 CDT 2017
FreeBSD 11.1-RELEASE-p2

Два провайдера - два шлюза для этих интерфейсов.

Еще один интерфейс OVPN на некий сервер. Айпи интерфейсу прилетает по DHCP при подключении. Следовательно и для этого интерфейса есть шлюз.

Loadbalancing настроен.

Gateway switching включен.

Иногда шлюз интерфейса впнки становится Default и в маршрутах его айпи это подтверждает.

Есть ли возможность исключить этот шлюз из Gateway Swiching'а?

derwin

вы передайте роуты по vpn (ospf или статикой) ??

werter

Доброго.
Галка на Allow default gw switching у вас на пф установлена ? Впн интерфейс объявлен явно?

В настр. vpn-сервера на той стороне может быть установлено использование впн-подключения для заворачивания всего трафика в туннель. Надо бы проверить.

Скрины правил fw на LAN,VPN, настроек шлюзов. А также покажите таблицу марш-ции на вашем пф.

chieftech

@werter:

Доброго.
Галка на Allow default gw switching у вас на пф установлена ? Впн интерфейс объявлен явно?

В настр. vpn-сервера на той стороне может быть установлено использование впн-подключения для заворачивания всего трафика в туннель. Надо бы проверить.

Скрины правил fw на LAN,VPN, настроек шлюзов. А также покажите таблицу марш-ции на вашем пф.

Объясню. Впнка поднята для того чтобы заворачивать через статик роуты некоторый трафик в неё с некоторых и на некоторые хосты.

Галка Allow default gw switching установлена. Интерфейс объявлен в Interface Assignments.

В настройках впн сервера на той стороне выключено принудительное заворачивание трафика с клиента.

В правилах fw на интерфейсе впн все разрешено, на интерфейсе ovpn тоже все разрешено. Так же настроен Outbound NAT, создано правило для этого интерфейса, чтобы трафик уходил в тунель с ip интерфейса, а не ip из подсетей.

Да в общем-то всё работает как надо, до того момента когда отваливаются оба ip мониторинга шлюзов провайдеров, которые кстати 8.8.8.8 и 8.8.4.4(Да с недавних пор пинг на них переодически пропадал и это не связано с падением провайдера), а так как шлюз впнки мониторится по своему внутреннему ip, он остается поднятым в апингере, и Pfsense назначает его default как единственный рабочий.

werter

Отключите (на время) мониторинг gw на впн-интерфейсе.

Объясню. Впнка поднята для того чтобы заворачивать через статик роуты некоторый трафик в неё с некоторых и на некоторые хосты.

Дело в том, что ваш пф как впн клиент получает роуты от удаленного впн-сервера. Ручное создание правил марш-тии - лишнее.
Достаточно правил fw на ЛАН чтобы разрешать\запрещать хождение трафика из ЛАН-сети в туннель.

Так же настроен Outbound NAT, создано правило для этого интерфейса, чтобы трафик уходил в тунель с ip интерфейса, а не ip из подсетей.

Трафик и так будет будет уходить в туннель от общего адреса - адреса впн-клиента вашего пф. Создавать руками не надо. Как раз руками надо, если nat не нужен (создается ручное правило в nat на впн-интерфейсе и ставится галка на No NAT).

Объявление впн-интерфейса явно - особый случай, ИМХО.

pigbrother

Галка Allow default gw switching установлена

А если ее снять?

Pfsense назначает его default как единственный рабочий.

Как раз при снятой галке Allow default gw switching это происходить не будет.

Объявление впн-интерфейса явно - особый случай, ИМХО.

Несколько лет назад реализовывал подобную схему.

По идее, чтобы задействовать Policy based routing, нужно указать в правиле на LAN, откуда, куда и через какой шлюз будут уходить пакеты. А без назначения OVPN интерфейсом этот шлюз для выбора будет отсутствовать.

Так же интересно следующее. При создании правил NAT без объявления OpenVPN интерфейсом  можно выбрать OpenVPN address, как например тут:
https://www.privateinternetaccess.com/pages/client-support/pfsense

Но что будет, если в системе несколько экземпляров OpenVPN - клиентов и серверов?

chieftech

Галка Allow default gw switching установлена

А если ее снять?

Pfsense назначает его default как единственный рабочий.

Как раз при снятой галке Allow default gw switching это происходить не будет.

А будет ли корректно работать WAN Failover группы и loadbalancing?

По идее, чтобы задействовать Policy based routing, нужно указать в правиле на LAN, откуда, куда и через какой шлюз будут уходить пакеты. А без назначения OVPN интерфейсом этот шлюз для выбора будет отсутствовать.

Именно! Тоже относится и к настройке статик роутов.

pigbrother

А будет ли корректно работать WAN Failover группы и loadbalancing?

loadbalancing у меня работал, насколько помню.

Если я правильно понимаю, то Allow default gw switching - частично это возможность создания Failover без создания GW Group и без задействования Policy based routing.

Цитата:
https://forum.pfsense.org/index.php?topic=45081.msg235084#msg235084

Is dificult to me explain it, Eng. is not my mother lang.

I try to explain with this example:

Lets say, you have 2 WAN & LAN, WAN1 is your "Main" connection, WAN2 is your "Backup"

If you have created the GW Group, named "FOGW"; WAN1–> TIER1 & WAN2--> TIER2

and you have WAN1 as "default gateway"

In you LAN rules you have only the "Anti-Lockout Rule" & "Default allow LAN to any rule"  ( just as they are when you install pfSense )

*    LAN net    *    *    *    *    none

If you have "allow default gateway switching", in normal condition, all outbound traffic will go trough the Default GW ( WAN1 GW )
when WAN1 goes Down, the Default GW will be switched to WAN2 GW and all your outbound traffic will go trough the Deafult GW  taht now is the WAN2 GW.

But if you dont set "allow default gateway switching", when WAN1 goes Down, the outbound traffic will try to go out trough the Default GW ( WAN1 GW) and you will loose your "internet ".

If you edit the "Default allow LAN to any rule" and set the GW to your  FOGW

*    LAN net    *    *    *    FOGW    none

If you dont set "allow default gateway switching",  and WAN1 goes Down, you will not loose your "internet" because now all outbound traffic will go trough WAN2 and its GW.

If you dont set "allow default gateway switching", the only one who will loose its "internet" connection will be the Firewall (you wont be able to install packages / check for updates)

so, is up to you how you will implementing / setting it

Таким образом, IMHO, если даже провайдер VPN и "заворачивает" весь трафик в свой туннель, но мы:
1. не назначаем его шлюз как 0/0 (default gw) как принудительно, так и через allow default gateway switching
2. не включаем его в GW Group
трафик по нему вообще не пойдет ни при каких условиях, пока мы не не позволим этого отдельным правилом.

chieftech

@pigbrother:

Таким образом, IMHO, если даже провайдер VPN и "заворачивает" весь трафик в свой туннель, но мы:
1. не назначаем его шлюз как 0/0 (default gw) как принудительно, так и через allow default gateway switching
2. не включаем его в GW Group
трафик по нему вообще не пойдет ни при каких условиях, пока мы не не позволим этого отдельным правилом.

Ну да, у меня в fw на LAN настроены четкие правила только на группы loadbalancing и Failover.

Всегда думал что gw switching неотъемлемая часть failover групп.

Спасибо огромное за разъяснение.

pigbrother

Всегда думал что gw switching неотъемлемая часть failover групп.

allow default gateway switching позволяет, например самому pf не терять выхода в интернет - обновлять время, следить за обновлениями bogon networks, обновлениями для IDS типа Snort и т.д. 
Ничто не мешает использовать  gw switching и failover совместно, но не с псевдо-WAN типа OVPN.

werter

Доброго.
2 chieftech

Скрины правил fw на LAN,VPN, настроек шлюзов. А также покажите таблицу марш-ции на вашем пф.

Вот когда такое просят - уж соизвольте. Потому как гадать, что и как у вас настроено - просто терять время. К-го и так немного.