Два PFsense…

Uranus

А что у вас в 'IPv4 Upstream gateway' в настройках интерфейса 10.0.0.2 на PF2?

Вот скрин:

Кстати могу добавить что при отключении в Outbound автоматического создания правил начинаются проблемы с интернетом, не переключаются каналы в случае пропадании связи на одном из них, да и в общем возникают какие-то не понятные глюки, стоит включить автоматику и всё сразу налаживается.

RostelecomFilter.png_thumb

rubic

Как минимум, верните Outbound NAT для 127.0.0.0/8 на ROSTELECOMFILTER

Uranus

@rubic:

Как минимум, верните Outbound NAT для 127.0.0.0/8 на ROSTELECOMFILTER

Хорошо, проверю чуть позже…, хотя вы сами говорили отключить всё в NAT и PForward связанное с 10.0.0.2.

Кстати, а так называемая классическая схема, с DHCP\static, я так понял отличается только тем что на PF1 включается DHCP, не будет статичного маршрута, и два проброса портов, на каждом из PF по одному (кстати пробросы в обоих случаях в 192.168.0.0/24, то есть на локалку ?)
И как думаете что ещё может помешать в нашей схеме работе проброса портов с PF1, может что в Firewall или настройки какие дополнительные?

p.s.
Ещё раз проверил, при переводе Outbound NAT в ручной режим, начинаются проблемы с открытием сайтов, если отключаю на PF1 то проблемы при работе с провайдером который на PF1, если перевожу в ручной режим на PF2 то проблемы с провайдером который на нём, как только включаю автоматику всё начинает работать нормально.

rubic

@Uranus:

И как думаете что ещё может помешать в нашей схеме работе проброса портов с PF1, может что в Firewall или настройки какие дополнительные?

Не, ну я не пишу очевидные вещи. Просто представьте как пойдет исходящий пакет и как ответ на него. Естественно, firewall PF1 на вкладке LAN должен пускать в интернет не только 'Lan net' (которая у него 10.0.0.0/8), но и 192.168.0.0/24, которая приходит из-за PF2 без NATа в неизменном виде.
На PF1 Outbound NAT отключать не надо. На PF2 - отключить Outbound NAT для 192.168.0.0/24

Uranus

Да бред какой то…, я пробую от знакомого стучаться на мой web браузер через PPPoE с PF1, но пакеты дальше интерфейса PPPoE не уходят, я их больше нигде не вижу, не на LAN-PF1, не не одном интерфейсе PF2, если же делаю проброс порта на PF1 то они хоть появляются на PF2.

Получается такая фигня при обращении к web серверу за PF2 через PF1, просто приходят данные на PPPoE 1 и не знают куда идти дальше, проброс портов мы на PF1 не делаем, статичный маршрут работает только с LAN интерфейсом, естественно пакеты никуда не идут, или я что-то не понимаю ?!

Вот на всякий случай модифицировал первую схему:

![Без имени-1.png](/public/imported_attachments/1/Без имени-1.png)
![Без имени-1.png_thumb](/public/imported_attachments/1/Без имени-1.png_thumb)

rubic

На PF1:
Static Route в сеть 192.168.0.0/24 через 10.0.0.2 (завести gateway 10.0.0.2 на LAN)
Outbound NAT на WAN1 для 10.0.0.0/8 и 192.168.0.0/24 (должно создаться автоматом)
Port Forward - Destination: WAN1:80 Redirect: 192.168.0.2:80 (адрес:порт web-сервера)
Firewall:WAN1 - разрешить трафик отовсюду в 192.168.0.2:80 (должно создаться автоматом)
Firewall:LAN - разрешить все для 192.168.0.0/24

На PF2:
На интерфейсе OPT1 Upstream gateway установить в 10.0.0.1
Outbound NAT на OPT1 - запретить для 192.168.0.0/24
Firewall:OPT1 - разрешить трафик отовсюду в 192.168.0.2:80

Uranus

@rubic:

На PF1:
Static Route в сеть 192.168.0.0/24 через 10.0.0.2 (завести gateway 10.0.0.2 на LAN)
Outbound NAT на WAN1 для 10.0.0.0/8 и 192.168.0.0/24 (должно создаться автоматом)
Port Forward - Destination: WAN1:80 Redirect: 192.168.0.2:80 (адрес:порт web-сервера)
Firewall:WAN1 - разрешить трафик отовсюду в 192.168.0.2:80 (должно создаться автоматом)
Firewall:LAN - разрешить все для 192.168.0.0/24

На PF2:
На интерфейсе OPT1 Upstream gateway установить в 10.0.0.1
Outbound NAT на OPT1 - запретить для 192.168.0.0/24
Firewall:OPT1 - разрешить трафик отовсюду в 192.168.0.2:80

Маленький вопрос, почему 10.0.0.0/8, а не 10.0.0.0/24, мне много адресов не нужно, сетка маленькая, или есть ещё какая то причина ?

Uranus

Неа, не работает, даю скрины по каждой из ваших строк:

Static-PF1.png_thumb
Outbound-10.0.0.1.png
Outbound-10.0.0.1.png_thumb
![Port Forward-10.0.0.1.png](/public/imported_attachments/1/Port Forward-10.0.0.1.png)
![Port Forward-10.0.0.1.png_thumb](/public/imported_attachments/1/Port Forward-10.0.0.1.png_thumb)

Rules-PF1.png_thumb

Rules2-PF1.png_thumb

RostelecomFilter.png_thumb
Outbound-10.0.0.2.png
Outbound-10.0.0.2.png_thumb

RostelecomFilterRules.png_thumb

Uranus

Короче решил не тратить ваше время и нервы, снёс оба PF и настроил всё с нуля, вроде получилось пробросить порт с PF1, но точно ли всё работает смогу сказать только завтра, не все настройки сделал, а пора бежать на работу, завтра всё доделаю и отпишусь, но похоже что за несколько лет где-то в настройках PF2 закралась ошибка и из-за неё эта схема и не работала, но завтра будет известно точно…

Uranus

Вроде всё работает, огромное спасибо, конечно я ещё "погоняю" эту конструкцию :), но похоже всё будет и дальше.