Как правильно организовать работу 2х физических шлюзов?

werter

Добрый.

На обоих ВАНах реальные\ не серые IP?

Что стоит шлюзом в настройках fw на LAN для той машины, к к-ой нужно организовать проброс портов? Должен быть GW_Group из WANов и правило это должно стоять выше.
Плюс попробовать stickly connections покрутить.

Покажите скрины правил fw на ЛАН, NAT, port forwarding.

Konstanti

@k0st1k
Nat outbound используйте на lan интерфейсах pf
тогда клиенту будет прилетать не внешний ip , а ip адрес lan шлюза
и отвечать он будет на этот ip

k0st1k

на WAN реальные IP(белые) адреса.
на машине стоит по дефолу шлюзом LAN1 192.168.1.1
тоесть мне необходимо на певром шлюзе организивать мультиван груп из 2х шлюзов первым будет wan1. а второй какой? скрин правил для fw не покажу) там дефолт) один шлюз статичных маршрутов нет.

Konstanti

@k0st1k

Достаточно будет одного NAT OUTBOUND
для pf c wan2

k0st1k

Konstanti

@k0st1k

Это linux iptables
но смысл тот же
0_1549271107167_b650e2b0-fef3-4430-8222-2047d33db9b2-image.png

Konstanti

@k0st1k
Скорее всего так
0_1549271239228_74e91773-1854-45bc-9328-27f8188491fb-image.png

k0st1k

@konstanti я про этот вариант догадался. не сразу правда. так вот он не сработал и уже после этого написал тут.

Konstanti

@k0st1k
Давайте разбираться
1.ip адрес lan pf2 ?
2.пробрасываем только 80 порт ?
3. запускаем packetcapture на lan интерфейсе pf2 и смотрим , что происходит , когда пакет приходит на wan интерфейс pf2

k0st1k

@konstanti

Проброс необходимо сделать на машину в локальной сети 192.168.1.10(веб сервис)
Да для начала необходимо разобраться только с http
это мобильный с которого проверяю 178.176.170.252
wan 83.239.157.2
13:27:25.664112 IP 51.15.170.21.47898 > 83.239.157.2.8080: tcp 0
13:27:28.387901 IP 185.176.27.166.42414 > 83.239.157.2.58057: tcp 0
13:27:41.777688 IP 83.239.156.2.38359 > 83.239.157.2.23: tcp 0
13:27:50.827217 IP 185.156.177.129.53487 > 83.239.157.2.5303: tcp 0
13:27:52.108395 IP 185.176.27.166.42414 > 83.239.157.2.57854: tcp 0
13:27:54.365528 IP 178.176.170.252.11131 > 83.239.157.2.80: tcp 0
13:27:54.625240 IP 178.176.170.252.3311 > 83.239.157.2.80: tcp 0
13:27:55.364859 IP 178.176.170.252.11131 > 83.239.157.2.80: tcp 0
13:27:55.530315 IP 185.176.27.166.42414 > 83.239.157.2.58417: tcp 0
13:27:55.624814 IP 178.176.170.252.3311 > 83.239.157.2.80: tcp 0
13:27:57.344535 IP 178.176.170.252.11131 > 83.239.157.2.80: tcp 0
13:27:57.624931 IP 178.176.170.252.3311 > 83.239.157.2.80: tcp 0
13:28:01.364786 IP 178.176.170.252.11131 > 83.239.157.2.80: tcp 0
13:28:01.624776 IP 178.176.170.252.3311 > 83.239.157.2.80: tcp 0
13:28:09.404770 IP 178.176.170.252.24374 > 83.239.157.2.80: tcp 0
13:28:09.447491 IP 195.3.146.92.48070 > 83.239.157.2.10714: tcp 0
13:28:09.624894 IP 178.176.170.252.2550 > 83.239.157.2.80: tcp 0
13:28:17.852483 IP 222.73.52.31.53338 > 83.239.157.2.1433: tcp 0
13:28:25.686643 IP 178.176.170.252.52063 > 83.239.157.2.80: tcp 0
13:28:25.945277 IP 178.176.170.252.13055 > 83.239.157.2.80: tcp 0
13:28:25.955417 IP 188.19.187.5.60629 > 83.239.157.2.23: tcp 0
13:28:26.664896 IP 178.176.170.252.52063 > 83.239.157.2.80: tcp 0
13:28:26.944766 IP 178.176.170.252.13055 > 83.239.157.2.80: tcp 0

Konstanti

@k0st1k
я не вижу , что работает NAT OUTBOUND на lan интерфейсе !!!!!!!
нужен packetcapture на lan интерфейсе
вы должны видеть ip адрес lan интерфейса и 192.168.1.10
вот как это выглядит при правильной настройке
0_1549272765177_52e4d2e0-d8a7-40df-b94f-4854efd8a2f5-image.png

k0st1k

@konstanti я тоже не увидел.
13:45:07.175272 IP 10.0.8.3.60629 > 193.125.0.2.8443: tcp 0
13:45:07.175291 IP 10.0.8.3.60629 > 193.125.0.2.8443: tcp 0
13:45:07.175391 IP 10.0.8.3.60629 > 193.125.0.2.8443: tcp 0
13:45:07.220221 IP 10.0.8.3.60629 > 193.125.0.2.8443: tcp 0
чтото не так. 10.0 это впн с соседнего шлюза. и более обращений нет.
тестовая сеть и пробрасваю на 193.125.5.24

Konstanti

@k0st1k проброс случайно не удалили?
Я не вижу пакетов на 80 порт
Ip lan интерфейса какой?

тут работает связка проброс плюс нат

Konstanti

@k0st1k
Первое действие проброс 80 порта на Wan интерфейсе к хосту 192.168.1.10 порт 80
Второе действие, замена внешнего ip клиента на ip адрес lan интерфейса pf
В результате 1.10 получит запрос от ip lan интерфейса pf и ответит на этот ip

k0st1k

@konstanti первое я в nat выставил в NAT
Hybrid Outbound NAT rule generation.
(Automatic Outbound NAT + rules below)
и в Rules создаю правило на проброс порта?

Konstanti

@k0st1k я обычно все делаю в manual Nat outbound. Правило файрвола при пробросе создаётся автоматически. Покажите настройки правила проброса внутри, правило Nat outbound внутри и все правила на Wan интерфейсе общая картинка. И схему сети

k0st1k

@konstanti красота) спасибо. сработало перевод в ручной режим.

werter

@k0st1k
Скрины как настроили. Пригодится.

k0st1k

сначала переводим NAT в ручной режим

на LAN интрефейсе создаем правило(оно необходимо чтобы был ответ как локальному ресурсу)

и уже потом создал правило по пробросу

pigbrother

@k0st1k said in Как правильно организовать работу 2х физических шлюзов?:

Сделано так было чтобы обеспечить отказо устойчиовсть сети(конфиги между ними синхронизируются

А как, собственно, организована отказоустойчиовсть?