Два Интернет провайдера - Policy Routing

pigbrother

@strannik said in Два Интернет провайдера - Policy Routing:

оба назначать как Default Gateway, или только одного

Одного.
А что, оно дает выбрать оба?

strannik

pigbro, я имел в виду - в настройках System->Routing->Gateways->Edit. Там на каждый gateway можно поставить галочку "Default Gateway". Таким образом, у меня провайдеров два и шлюзов тоже два.

Оба шлюза будем использовать (для разного трафика), Gateway Group делать не будем. Пока что я оставил только быстрого провайдера, как основного - то есть Default. Потому, что через медленного провайдера мы хотим оставить только VoIP трафик.

Правильно-ли сделан дизайн или надо что-то менять

pigbrother

@strannik said in Два Интернет провайдера - Policy Routing:

Правильно-ли сделан дизайн или надо что-то менять

Правильно. Создание\несоздание группы ни на что не влияет, просто после создания можно будет указать "групповой" шлюз - это расширит возможность управлять балансировкой\файловером.
Шлюз по умолчанию pfSense при желании умеет переключать сам, но нужен он только самому pfSense для обновлений\синхронизации времени и т.д.
Для клиента LAN при явном указании шлюза нужного ISP то, что назначено шлюзом по умолчанию pfSense безразлично. Упал этот ISP - у него нет интернента.

strannik

в том-то и дело, что можно: в настройках на КАЖДЫЙ шлюз можно поставить галочку "Default Gateway" и тогда оба показаны как (default)

Я пока-что оставил один (быстрый). По нему и сам pfsense будет, например - время сверять (как pigbrother обЪяснил). Значит, направление исходящего трафика задаётся прямым указанием шлюза в правиле LAN. И ещё NAT нужно перенаправить на нужный интерфейс (WAN-2). У нас NAT вручную так, как с 3CX-сервера нужно транслировать Static Port

strannik

Точно оба: у меня были два Шлюза - первый в Интернет, второй - на L3 комутатор. И оба в списке были показаны как "Default Gateway". Я на это не обращал внимания. А сейчас оставил только ИнтернетьШлюз как Default.

pigbrother

@strannik said in Два Интернет провайдера - Policy Routing:

И ещё NAT нужно перенаправить на нужный интерфейс (WAN-2). У нас NAT вручную так, как с 3CX-сервера нужно транслировать Static Port

Если нужен Static Port - то вероятно да, нужно ручное правило NAT. Для просто доступа в интернент через конкретного ISP достаточно правила на LAN.

@strannik said in Два Интернет провайдера - Policy Routing:

в том-то и дело, что можно: в настройках на КАЖДЫЙ шлюз можно поставить галочку "Default Gateway" и тогда оба показаны как (default)

И это видно после сохранения настроек? Можно скриншот?

Официальная документация говорит следующее:
https://www.netgate.com/docs/pfsense/routing/gateway-settings.html
Default Gateway: A checkbox to control whether this gateway is the default gateway for this Address Family. Only one gateway may be the default for either IPv4 or IPv6.

strannik

Вы обсолютно правы: только один DG. Меня сбил с толку наш L3-комутатор: к нему тоже есть маршрут и его можно установить как Default. Но для WAN, действительно сохраняется только один DG

0_1534280687658_Default Gateway.png

igroykt

@strannik не уверен сработает ли у вас но вообще смысл должен быть один.
предположим есть 2 wan (wan1,wan2) у которых есть 2 dg (dg1,dg2) и default dg это dg1.
задача скажем пустить весь трафик через dg1 а sip пустить через dg2.
у нас есть созданное по дефолту правило в firewall->rules где написано что весь трафик ходит через * то бишь через dg1.
создаем алиас где указываем айпи адрес sip сервера.
создаем над дефолтным правилом в rules еще одно правило где будет примерно такое:
action:pass
interface:lan
address family:ipv4
protocol:any (mojno i sip)
source:lan
destination:single host or alias->sip (eto nash alias v firewal->aliases gde propisan ip sip servera)
gateway:dg2
далее в firewall->nat->outbound надо будет сделать копии правила для lan с dg1 где надо подправить dg1 на dg2
после чего все должно будет заработать. проверить можно будет утилитой traceroute с любого пк в lan.
у меня так работает pbr по openvpn. надеюсь поможет.

Konstanti

По-моему , задача несложная
как уже указали выше это просто PBR ( Policy based routing)
делается несложно
1 картинка ( настройка правил)
0_1534332947308_ba1808a3-02ad-400b-85c5-96b9d9cad358-image.png

Главное условие , чтобы правило PBR стояло выше остальных правил , чтобы срабатывало первым (см вторую картинку )

0_1534333052363_e6460b8e-dc74-4bc3-956b-28e4984873f8-image.png

Т е все правила с гейтвеем не по умолчанию , стоят выше последнего правила
3 NAT тоже несложно
дублируете правило NAT по умолчанию , которое использует интерфейс wan
и и режиме редактирования вместо WAN выбираете интерфейс который нужен
0_1534333244462_8a40f46d-f4e4-4f83-b831-0521579a3364-image.png

igroykt

@konstanti said in Два Интернет провайдера - Policy Routing:

По-моему , задача несложная
как уже указали выше это просто PBR ( Policy based routing)
делается несложно
1 картинка ( настройка правил)

Главное условие , чтобы правило PBR стояло выше остальных правил , чтобы срабатывало первым (см вторую картинку )

Т е все правила с гейтвеем не по умолчанию , стоят выше последнего правила
3 NAT тоже несложно
дублируете правило NAT по умолчанию , которое использует интерфейс wan
и и режиме редактирования вместо WAN выбираете интерфейс который нужен

Спасибо что подправил а то lan указал в outbound )
бывает...

strannik

@konstanti

Что у Вас за интефейс - TUN100 ?

Konstanti

Это мой туннель в " прекрасное туда" GRE over IPSEC ( не обращайте внимания, это просто для примера , что вместо WAN1 по умолчанию , Вам надо указывать WAN2 принудительно в качестве маршрута для SIP и RTP) .
Т е в Вашем случае - вместо моего 192.168.1.96 - ваш адрес сервера
вместо UDP - TCP
вместо 53 порта - порт 5060/5061
вместо Default gateway - интерфейс нужного вам провайдера

strannik

Уважаемые коллеги, большое спасибо за советы. Теперь, вооружённый Вашими советами, я пытаюсь отработать конкретные шаги - сначала в дом. лаборатории а затем - на производстве.

Прилагаю картинки. Если какая ошибка - пожалуйста поправляйте

0_1534343983671_Oubound NAT for 3CX server.png 0_1534343987376_Outbound NAT for 3CX server - config.png 0_1534344011327_LAB - FW rule - LAN - policy routes.png 0_1534344055004_Port Forward to 3CX server.png

Konstanti

@strannik скажем там , вектор атаки выбран правильный .
ничего сложного нет
только не забудьте про проброс портов с wan 2 на 3cx сервер
вот мой вариант
0_1534344253749_ae117e82-d359-4676-98b7-f1e506cca202-image.png

strannik

@konstanti said in Два Интернет провайдера - Policy Routing:

вместо Default gateway - интерфейс нужного вам провайдера

Спасибо за пояснение. Я только-что показал скрин-шаты моих настроек. Если Вас не затруднит - посмотрите, пожалуйста - есть ли какие ошибки

Konstanti

@strannik все ответил чуть выше

strannik

@konstanti
Спасибо

Konstanti

@strannik так как я - пользователь новый, не могу быстро отвечать ((( блокирует система ответы
Не за что , если что , обращайтесь

strannik

@konstanti

Проброс к 3CX - так будет правильно ?

0_1534345558073_NAT - Port Forward to 3CX server.png

0_1534345565191_NAT - Port Forward to 3CX server - Config.png

igroykt

@strannik в outbound должно быть 2 правила на интерфейс один который с двумя стрелками пересекающимися и один который с галочкой.
manual outbound nat лучше поменяй на hybrid outbound nat (automatic outbound nat + rules below).
в edit advanced outbound nat entry вроде все верно кроме source. там должна быть указана сеть локальная (то бишь 192.168.10.0/24 или какая там маска).
далее в firewall/rules/lan1 в destination надо указать адрес sip сервера т.е. до куда надо достучатсья через шлюх wan2_dhcp (удобно это делать через firewall->aliases поскольку потом в этот список можно будет добавить другие адреса не плодя лишних правил). если будет стоять wildcard то бишь * то возникнет конфликт и весь трафик пойдет через дефолтный гейтвей которым наверное является wan1_dhcp.
firewall/rules/wan это лишнее. обычно правила для внешних интерфейсов используются для проброса трафика извне в локалку, а у тебя задача наоборот выпустить из локалки туда-то по определенному шлюзу.