Два Интернет провайдера - Policy Routing

pigbrother

@strannik said in Два Интернет провайдера - Policy Routing:

И ещё NAT нужно перенаправить на нужный интерфейс (WAN-2). У нас NAT вручную так, как с 3CX-сервера нужно транслировать Static Port

Если нужен Static Port - то вероятно да, нужно ручное правило NAT. Для просто доступа в интернент через конкретного ISP достаточно правила на LAN.

@strannik said in Два Интернет провайдера - Policy Routing:

в том-то и дело, что можно: в настройках на КАЖДЫЙ шлюз можно поставить галочку "Default Gateway" и тогда оба показаны как (default)

И это видно после сохранения настроек? Можно скриншот?

Официальная документация говорит следующее:
https://www.netgate.com/docs/pfsense/routing/gateway-settings.html
Default Gateway: A checkbox to control whether this gateway is the default gateway for this Address Family. Only one gateway may be the default for either IPv4 or IPv6.

strannik

Вы обсолютно правы: только один DG. Меня сбил с толку наш L3-комутатор: к нему тоже есть маршрут и его можно установить как Default. Но для WAN, действительно сохраняется только один DG

0_1534280687658_Default Gateway.png

igroykt

@strannik не уверен сработает ли у вас но вообще смысл должен быть один.
предположим есть 2 wan (wan1,wan2) у которых есть 2 dg (dg1,dg2) и default dg это dg1.
задача скажем пустить весь трафик через dg1 а sip пустить через dg2.
у нас есть созданное по дефолту правило в firewall->rules где написано что весь трафик ходит через * то бишь через dg1.
создаем алиас где указываем айпи адрес sip сервера.
создаем над дефолтным правилом в rules еще одно правило где будет примерно такое:
action:pass
interface:lan
address family:ipv4
protocol:any (mojno i sip)
source:lan
destination:single host or alias->sip (eto nash alias v firewal->aliases gde propisan ip sip servera)
gateway:dg2
далее в firewall->nat->outbound надо будет сделать копии правила для lan с dg1 где надо подправить dg1 на dg2
после чего все должно будет заработать. проверить можно будет утилитой traceroute с любого пк в lan.
у меня так работает pbr по openvpn. надеюсь поможет.

Konstanti

По-моему , задача несложная
как уже указали выше это просто PBR ( Policy based routing)
делается несложно
1 картинка ( настройка правил)
0_1534332947308_ba1808a3-02ad-400b-85c5-96b9d9cad358-image.png

Главное условие , чтобы правило PBR стояло выше остальных правил , чтобы срабатывало первым (см вторую картинку )

0_1534333052363_e6460b8e-dc74-4bc3-956b-28e4984873f8-image.png

Т е все правила с гейтвеем не по умолчанию , стоят выше последнего правила
3 NAT тоже несложно
дублируете правило NAT по умолчанию , которое использует интерфейс wan
и и режиме редактирования вместо WAN выбираете интерфейс который нужен
0_1534333244462_8a40f46d-f4e4-4f83-b831-0521579a3364-image.png

igroykt

@konstanti said in Два Интернет провайдера - Policy Routing:

По-моему , задача несложная
как уже указали выше это просто PBR ( Policy based routing)
делается несложно
1 картинка ( настройка правил)

Главное условие , чтобы правило PBR стояло выше остальных правил , чтобы срабатывало первым (см вторую картинку )

Т е все правила с гейтвеем не по умолчанию , стоят выше последнего правила
3 NAT тоже несложно
дублируете правило NAT по умолчанию , которое использует интерфейс wan
и и режиме редактирования вместо WAN выбираете интерфейс который нужен

Спасибо что подправил а то lan указал в outbound )
бывает...

strannik

@konstanti

Что у Вас за интефейс - TUN100 ?

Konstanti

Это мой туннель в " прекрасное туда" GRE over IPSEC ( не обращайте внимания, это просто для примера , что вместо WAN1 по умолчанию , Вам надо указывать WAN2 принудительно в качестве маршрута для SIP и RTP) .
Т е в Вашем случае - вместо моего 192.168.1.96 - ваш адрес сервера
вместо UDP - TCP
вместо 53 порта - порт 5060/5061
вместо Default gateway - интерфейс нужного вам провайдера

strannik

Уважаемые коллеги, большое спасибо за советы. Теперь, вооружённый Вашими советами, я пытаюсь отработать конкретные шаги - сначала в дом. лаборатории а затем - на производстве.

Прилагаю картинки. Если какая ошибка - пожалуйста поправляйте

0_1534343983671_Oubound NAT for 3CX server.png 0_1534343987376_Outbound NAT for 3CX server - config.png 0_1534344011327_LAB - FW rule - LAN - policy routes.png 0_1534344055004_Port Forward to 3CX server.png

Konstanti

@strannik скажем там , вектор атаки выбран правильный .
ничего сложного нет
только не забудьте про проброс портов с wan 2 на 3cx сервер
вот мой вариант
0_1534344253749_ae117e82-d359-4676-98b7-f1e506cca202-image.png

strannik

@konstanti said in Два Интернет провайдера - Policy Routing:

вместо Default gateway - интерфейс нужного вам провайдера

Спасибо за пояснение. Я только-что показал скрин-шаты моих настроек. Если Вас не затруднит - посмотрите, пожалуйста - есть ли какие ошибки

Konstanti

@strannik все ответил чуть выше

strannik

@konstanti
Спасибо

Konstanti

@strannik так как я - пользователь новый, не могу быстро отвечать ((( блокирует система ответы
Не за что , если что , обращайтесь

strannik

@konstanti

Проброс к 3CX - так будет правильно ?

0_1534345558073_NAT - Port Forward to 3CX server.png

0_1534345565191_NAT - Port Forward to 3CX server - Config.png

igroykt

@strannik в outbound должно быть 2 правила на интерфейс один который с двумя стрелками пересекающимися и один который с галочкой.
manual outbound nat лучше поменяй на hybrid outbound nat (automatic outbound nat + rules below).
в edit advanced outbound nat entry вроде все верно кроме source. там должна быть указана сеть локальная (то бишь 192.168.10.0/24 или какая там маска).
далее в firewall/rules/lan1 в destination надо указать адрес sip сервера т.е. до куда надо достучатсья через шлюх wan2_dhcp (удобно это делать через firewall->aliases поскольку потом в этот список можно будет добавить другие адреса не плодя лишних правил). если будет стоять wildcard то бишь * то возникнет конфликт и весь трафик пойдет через дефолтный гейтвей которым наверное является wan1_dhcp.
firewall/rules/wan это лишнее. обычно правила для внешних интерфейсов используются для проброса трафика извне в локалку, а у тебя задача наоборот выпустить из локалки туда-то по определенному шлюзу.

igroykt

@strannik said in Два Интернет провайдера - Policy Routing:

@konstanti

Проброс к 3CX - так будет правильно ?

лучше укажи конкретный протокол udp поскольку в tcp будут задержки (зависит от конфига атс но лучше перестраховаться пусть лучше коннекта не будет чем будет плохой коннект).
source address все таки лучше указывать если конечно на той стороне статический адрес (чтобы никто лишний без дела не вклинивался).
source port лучше указать конкретный если известно.
nat ports пусть уж лучше совпадает с source ports (хотя тоже зависит от настроек атс).
остальное вроде норм.

Konstanti

@igroykt я бы sourceports указал any - по-моему, тут косяк вылезет
мало ли с какого порта придет пакет
а вот destination - да ,надо
рабочий вариант
0_1534346133362_67621eea-a31b-426c-bfca-c28afa3c44f1-image.png

igroykt

@konstanti а я бы не стал. мало ли что прилетит с той стороны. максимум какой нить диапазон портов не большой. в любом случае уточнился бы у провайдера услуги.

strannik

Спасибо за советы.

все проблемы: требования документации на 3CX: они требуют пробрасывать вот так:

0_1534346579781_3CX Port Forward - Recomended.png

а порты транслировать вот так:
0_1534346626786_3CX Oubound NAT - Recomended.png

strannik

@igroykt said in Два Интернет провайдера - Policy Routing:

в outbound должно быть 2 правила на интерфейс один который с двумя стрелками пересекающимися и один который с галочкой.

Прилагаю какртинку: у меня первое правило - конкретое 3CX-Server и порты 3CX - через WAN-2, а следующее за ним правило - общее для всех остальных VLAN - через WLAN-1 (Default Gateway).

3CX сервер тоже часть одной VLAN. Таким способом я надеюсь, что через WAN-2 пойдёт только траффик с/на 3CX-server-IP и только на портах 3CX-Ports, а любой другой траффик (например HTTP/HTTPS) останется на WAN-1.

Вот такая идея. Надеюсь, всё правильно
0_1534350534729_Outbound NAT for 3CX server.png