Два PFsense…
-
я о том что сейчас у меня всё на одном крутится, два PPPOE, а так просто будет один)
Второй PF должен будет иметь 2 WAN - PPPOE от Провайдера 2 и DHCP\static для работы с PF1.
Для port forward в LAN за PF2 со стороны Провайдера 1 нужно будет сделать дважды, на каждом PF.Хотя можно сказать и вашими словами - шлюзом для интерфейса PF2, смотрящего на PF1 будет IP PF1.
-
port forward в LAN за PF2 со стороны Провайдера 1 нужно будет сделать дважды, на каждом PF.
Достаточно на PF1 завести статический маршрут в "Локальную сеть" через PF2 и ни port forward, ни outbound nat на PF2 не понадобятся.
-
port forward в LAN за PF2 со стороны Провайдера 1 нужно будет сделать дважды, на каждом PF.
Достаточно на PF1 завести статический маршрут в "Локальную сеть" через PF2 и ни port forward, ни outbound nat на PF2 не понадобятся.
Простите, а по подробнее можно, что-то я совсем запутался…
Как не мудрил, когда на PF2 отключаю PPPOE, интернета с PF1 не вижу...
Если кому не лень может поможет мне всё настроить..., так сказать в ипишниках, типа с самого начала, на данный момент у меня всё равно всё выключено и могу эксперименты проводить... -
port forward в LAN за PF2 со стороны Провайдера 1 нужно будет сделать дважды, на каждом PF.
Достаточно на PF1 завести статический маршрут в "Локальную сеть" через PF2 и ни port forward, ни outbound nat на PF2 не понадобятся.
Т.е. создать шлюз на PF1 и повесить на него маршрут в LAN за PF2, так? Оutbound nat на не-PPPOE интерфейсе PF2 можно выключить, а на PPPOE интерфейсе оставить?
-
port forward в LAN за PF2 со стороны Провайдера 1 нужно будет сделать дважды, на каждом PF.
Достаточно на PF1 завести статический маршрут в "Локальную сеть" через PF2 и ни port forward, ни outbound nat на PF2 не понадобятся.
Т.е. создать шлюз на PF1 и повесить на него маршрут в LAN за PF2, так? Оutbound nat на не-PPPOE интерфейсе PF2 можно выключить, а на PPPOE интерфейсе оставить?
Дык…, инет вроде появился, специально отключал то один то другой канал (завёл из в Мультиван и поставил галочку автоматичекской смены gateway по умолчанию) вроде работает.
Firewall- NAT - Outbound певёл попробовал сделать как вы сказали, перевёл ручной режим и удалил как вы и советовали все строки относящиеся к не-PPPOE интерфейсу, но после этого перестал работать инет с этого не-pppoe интерфейса, так что вернул всё обратно в автоматический режим.
Только вот не пойму нужно ли пробрасывать порты для PPPoE с PF1 ?!схема примерно такая:
PF1:
PPPoE оно и в Африке одинаковое.
LAN - 192.168.1.1, маска 255.255.255.0Создал статичный маршрут:
Destination network: 192.168.2.1/32
Gateway: 192.168.1.5
PF2:
Так же PPPoE
LAN - 192.168.2.1, маска 255.255.255.0
так же создал интерфейс OPT1
c
LAN - 192.168.1.5, маска 255.255.255.0
gateway - 192.168.1.1 -
Только вот не пойму нужно ли пробрасывать порты для PPPoE с PF1 ?!
По "классической схеме" да, дважды, я об этом писал.
По схеме, о которой писал rubic - нет, но я сам о ней задал ему пару вопросов. -
Я забыл написать про NAT, ну давайте на примере:
PPPoE-PF1-10.0.0.1 –- 10.0.0.2-PF2-192.169.0.1 –- ЛокальнаяСеть(192.168.0.0/24)
На PF1 заводим новый Gateway:
Interface: LAN
Name: LAN_GW
Gateway: 10.0.0.2далее заводим новый статический маршрут:
Destination network: 192.168.0.0/24
Gateway: LAN_GWдалее, так как сеть 192.168.0.0/24 будет ходить через PF1 в интернет, необходимо NATить не только 10.0.0.0/8, но и ее тоже
поэтому, отключаем автоматический NAT на PF1 и дублируем все правила, что там созданы автоматом, но уже с 192.168.0.0/24 в SourceНа PF2 отключем весь NAT и port forward на интерфейсе с адресом 10.0.0.2
-
Короче не поленился переделал всю сеть как в последнем примере господина rubic, все IP сделал как там.
PPPoE-PF1-10.0.0.1 –- 10.0.0.2-PF2-192.169.0.1 --- ЛокальнаяСеть(192.168.0.0/24)
Кстати я так понял не 192.169.0.1, а 192.168.0.1PF1 - LAN - 10.0.0.1
PF2 - LAN - 192.168.0.1
PF2 - OPT - 10.0.0.2 (не-PPPoE)10.0.0.2 = RostelecomFilter в скринах.
в локалке пока только один комп 192.168.0.2Но как не работал "проброс" портов c PPoE на PF1, так и не работает, с PF2 естественно всё нормально.
Вот на всякий случай скрины:далее, так как сеть 192.168.0.0/24 будет ходить через PF1 в интернет, необходимо NATить не только 10.0.0.0/8, но и ее тоже
поэтому, отключаем автоматический NAT на PF1 и дублируем все правила, что там созданы автоматом, но уже с 192.168.0.0/24 в SourceКстати на PF1 я только убрал автоматическое создание Outbound правил всё остальное там и так было и я ничего не добавлял и не убирал.
 -
А что у вас в 'IPv4 Upstream gateway' в настройках интерфейса 10.0.0.2 на PF2?
-
А что у вас в 'IPv4 Upstream gateway' в настройках интерфейса 10.0.0.2 на PF2?
Вот скрин:
Кстати могу добавить что при отключении в Outbound автоматического создания правил начинаются проблемы с интернетом, не переключаются каналы в случае пропадании связи на одном из них, да и в общем возникают какие-то не понятные глюки, стоит включить автоматику и всё сразу налаживается.
-
Как минимум, верните Outbound NAT для 127.0.0.0/8 на ROSTELECOMFILTER
-
Как минимум, верните Outbound NAT для 127.0.0.0/8 на ROSTELECOMFILTER
Хорошо, проверю чуть позже…, хотя вы сами говорили отключить всё в NAT и PForward связанное с 10.0.0.2.
Кстати, а так называемая классическая схема, с DHCP\static, я так понял отличается только тем что на PF1 включается DHCP, не будет статичного маршрута, и два проброса портов, на каждом из PF по одному (кстати пробросы в обоих случаях в 192.168.0.0/24, то есть на локалку ?)
И как думаете что ещё может помешать в нашей схеме работе проброса портов с PF1, может что в Firewall или настройки какие дополнительные?p.s.
Ещё раз проверил, при переводе Outbound NAT в ручной режим, начинаются проблемы с открытием сайтов, если отключаю на PF1 то проблемы при работе с провайдером который на PF1, если перевожу в ручной режим на PF2 то проблемы с провайдером который на нём, как только включаю автоматику всё начинает работать нормально. -
И как думаете что ещё может помешать в нашей схеме работе проброса портов с PF1, может что в Firewall или настройки какие дополнительные?
Не, ну я не пишу очевидные вещи. Просто представьте как пойдет исходящий пакет и как ответ на него. Естественно, firewall PF1 на вкладке LAN должен пускать в интернет не только 'Lan net' (которая у него 10.0.0.0/8), но и 192.168.0.0/24, которая приходит из-за PF2 без NATа в неизменном виде.
На PF1 Outbound NAT отключать не надо. На PF2 - отключить Outbound NAT для 192.168.0.0/24 -
Да бред какой то…, я пробую от знакомого стучаться на мой web браузер через PPPoE с PF1, но пакеты дальше интерфейса PPPoE не уходят, я их больше нигде не вижу, не на LAN-PF1, не не одном интерфейсе PF2, если же делаю проброс порта на PF1 то они хоть появляются на PF2.
Получается такая фигня при обращении к web серверу за PF2 через PF1, просто приходят данные на PPPoE 1 и не знают куда идти дальше, проброс портов мы на PF1 не делаем, статичный маршрут работает только с LAN интерфейсом, естественно пакеты никуда не идут, или я что-то не понимаю ?!
Вот на всякий случай модифицировал первую схему:
 -
На PF1:
Static Route в сеть 192.168.0.0/24 через 10.0.0.2 (завести gateway 10.0.0.2 на LAN)
Outbound NAT на WAN1 для 10.0.0.0/8 и 192.168.0.0/24 (должно создаться автоматом)
Port Forward - Destination: WAN1:80 Redirect: 192.168.0.2:80 (адрес:порт web-сервера)
Firewall:WAN1 - разрешить трафик отовсюду в 192.168.0.2:80 (должно создаться автоматом)
Firewall:LAN - разрешить все для 192.168.0.0/24На PF2:
На интерфейсе OPT1 Upstream gateway установить в 10.0.0.1
Outbound NAT на OPT1 - запретить для 192.168.0.0/24
Firewall:OPT1 - разрешить трафик отовсюду в 192.168.0.2:80 -
На PF1:
Static Route в сеть 192.168.0.0/24 через 10.0.0.2 (завести gateway 10.0.0.2 на LAN)
Outbound NAT на WAN1 для 10.0.0.0/8 и 192.168.0.0/24 (должно создаться автоматом)
Port Forward - Destination: WAN1:80 Redirect: 192.168.0.2:80 (адрес:порт web-сервера)
Firewall:WAN1 - разрешить трафик отовсюду в 192.168.0.2:80 (должно создаться автоматом)
Firewall:LAN - разрешить все для 192.168.0.0/24На PF2:
На интерфейсе OPT1 Upstream gateway установить в 10.0.0.1
Outbound NAT на OPT1 - запретить для 192.168.0.0/24
Firewall:OPT1 - разрешить трафик отовсюду в 192.168.0.2:80Маленький вопрос, почему 10.0.0.0/8, а не 10.0.0.0/24, мне много адресов не нужно, сетка маленькая, или есть ещё какая то причина ?
-
Неа, не работает, даю скрины по каждой из ваших строк:
-
Короче решил не тратить ваше время и нервы, снёс оба PF и настроил всё с нуля, вроде получилось пробросить порт с PF1, но точно ли всё работает смогу сказать только завтра, не все настройки сделал, а пора бежать на работу, завтра всё доделаю и отпишусь, но похоже что за несколько лет где-то в настройках PF2 закралась ошибка и из-за неё эта схема и не работала, но завтра будет известно точно…
-
Вроде всё работает, огромное спасибо, конечно я ещё "погоняю" эту конструкцию :), но похоже всё будет и дальше.