Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Как правильно организовать работу 2х физических шлюзов?

    Scheduled Pinned Locked Moved Russian
    28 Posts 4 Posters 2.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      k0st1k
      last edited by

      на WAN реальные IP(белые) адреса.
      на машине стоит по дефолу шлюзом LAN1 192.168.1.1
      тоесть мне необходимо на певром шлюзе организивать мультиван груп из 2х шлюзов первым будет wan1. а второй какой? скрин правил для fw не покажу) там дефолт) один шлюз статичных маршрутов нет.

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @k0st1k
        last edited by

        @k0st1k

        Достаточно будет одного NAT OUTBOUND
        для pf c wan2

        1 Reply Last reply Reply Quote 0
        • K
          k0st1k
          last edited by

          0_1549270925671_pf2.PNG

          K 2 Replies Last reply Reply Quote 0
          • K
            Konstanti @k0st1k
            last edited by

            @k0st1k

            Это linux iptables
            но смысл тот же
            0_1549271107167_b650e2b0-fef3-4430-8222-2047d33db9b2-image.png

            1 Reply Last reply Reply Quote 0
            • K
              Konstanti @k0st1k
              last edited by

              @k0st1k
              Скорее всего так
              0_1549271239228_74e91773-1854-45bc-9328-27f8188491fb-image.png

              K 1 Reply Last reply Reply Quote 0
              • K
                k0st1k @Konstanti
                last edited by

                @konstanti я про этот вариант догадался. не сразу правда. так вот он не сработал и уже после этого написал тут.

                K 1 Reply Last reply Reply Quote 0
                • K
                  Konstanti @k0st1k
                  last edited by

                  @k0st1k
                  Давайте разбираться
                  1.ip адрес lan pf2 ?
                  2.пробрасываем только 80 порт ?
                  3. запускаем packetcapture на lan интерфейсе pf2 и смотрим , что происходит , когда пакет приходит на wan интерфейс pf2

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    k0st1k @Konstanti
                    last edited by

                    @konstanti

                    1. Проброс необходимо сделать на машину в локальной сети 192.168.1.10(веб сервис)
                    2. Да для начала необходимо разобраться только с http
                    3. это мобильный с которого проверяю 178.176.170.252
                      wan 83.239.157.2
                      13:27:25.664112 IP 51.15.170.21.47898 > 83.239.157.2.8080: tcp 0
                      13:27:28.387901 IP 185.176.27.166.42414 > 83.239.157.2.58057: tcp 0
                      13:27:41.777688 IP 83.239.156.2.38359 > 83.239.157.2.23: tcp 0
                      13:27:50.827217 IP 185.156.177.129.53487 > 83.239.157.2.5303: tcp 0
                      13:27:52.108395 IP 185.176.27.166.42414 > 83.239.157.2.57854: tcp 0
                      13:27:54.365528 IP 178.176.170.252.11131 > 83.239.157.2.80: tcp 0
                      13:27:54.625240 IP 178.176.170.252.3311 > 83.239.157.2.80: tcp 0
                      13:27:55.364859 IP 178.176.170.252.11131 > 83.239.157.2.80: tcp 0
                      13:27:55.530315 IP 185.176.27.166.42414 > 83.239.157.2.58417: tcp 0
                      13:27:55.624814 IP 178.176.170.252.3311 > 83.239.157.2.80: tcp 0
                      13:27:57.344535 IP 178.176.170.252.11131 > 83.239.157.2.80: tcp 0
                      13:27:57.624931 IP 178.176.170.252.3311 > 83.239.157.2.80: tcp 0
                      13:28:01.364786 IP 178.176.170.252.11131 > 83.239.157.2.80: tcp 0
                      13:28:01.624776 IP 178.176.170.252.3311 > 83.239.157.2.80: tcp 0
                      13:28:09.404770 IP 178.176.170.252.24374 > 83.239.157.2.80: tcp 0
                      13:28:09.447491 IP 195.3.146.92.48070 > 83.239.157.2.10714: tcp 0
                      13:28:09.624894 IP 178.176.170.252.2550 > 83.239.157.2.80: tcp 0
                      13:28:17.852483 IP 222.73.52.31.53338 > 83.239.157.2.1433: tcp 0
                      13:28:25.686643 IP 178.176.170.252.52063 > 83.239.157.2.80: tcp 0
                      13:28:25.945277 IP 178.176.170.252.13055 > 83.239.157.2.80: tcp 0
                      13:28:25.955417 IP 188.19.187.5.60629 > 83.239.157.2.23: tcp 0
                      13:28:26.664896 IP 178.176.170.252.52063 > 83.239.157.2.80: tcp 0
                      13:28:26.944766 IP 178.176.170.252.13055 > 83.239.157.2.80: tcp 0
                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @k0st1k
                      last edited by Konstanti

                      @k0st1k
                      я не вижу , что работает NAT OUTBOUND на lan интерфейсе !!!!!!!
                      нужен packetcapture на lan интерфейсе
                      вы должны видеть ip адрес lan интерфейса и 192.168.1.10
                      вот как это выглядит при правильной настройке
                      0_1549272765177_52e4d2e0-d8a7-40df-b94f-4854efd8a2f5-image.png

                      K 1 Reply Last reply Reply Quote 0
                      • K
                        k0st1k @Konstanti
                        last edited by k0st1k

                        @konstanti я тоже не увидел.
                        13:45:07.175272 IP 10.0.8.3.60629 > 193.125.0.2.8443: tcp 0
                        13:45:07.175291 IP 10.0.8.3.60629 > 193.125.0.2.8443: tcp 0
                        13:45:07.175391 IP 10.0.8.3.60629 > 193.125.0.2.8443: tcp 0
                        13:45:07.220221 IP 10.0.8.3.60629 > 193.125.0.2.8443: tcp 0
                        чтото не так. 10.0 это впн с соседнего шлюза. и более обращений нет. 0_1549273668564_pf22.PNG
                        тестовая сеть и пробрасваю на 193.125.5.24

                        K 2 Replies Last reply Reply Quote 0
                        • K
                          Konstanti @k0st1k
                          last edited by Konstanti

                          @k0st1k проброс случайно не удалили?
                          Я не вижу пакетов на 80 порт
                          Ip lan интерфейса какой?

                          • тут работает связка проброс плюс нат
                          1 Reply Last reply Reply Quote 0
                          • K
                            Konstanti @k0st1k
                            last edited by Konstanti

                            @k0st1k
                            Первое действие проброс 80 порта на Wan интерфейсе к хосту 192.168.1.10 порт 80
                            Второе действие, замена внешнего ip клиента на ip адрес lan интерфейса pf
                            В результате 1.10 получит запрос от ip lan интерфейса pf и ответит на этот ip

                            K 1 Reply Last reply Reply Quote 0
                            • K
                              k0st1k @Konstanti
                              last edited by

                              @konstanti первое я в nat выставил в NAT
                              Hybrid Outbound NAT rule generation.
                              (Automatic Outbound NAT + rules below)
                              и в Rules создаю правило на проброс порта?

                              K 1 Reply Last reply Reply Quote 0
                              • K
                                Konstanti @k0st1k
                                last edited by Konstanti

                                @k0st1k я обычно все делаю в manual Nat outbound. Правило файрвола при пробросе создаётся автоматически. Покажите настройки правила проброса внутри, правило Nat outbound внутри и все правила на Wan интерфейсе общая картинка. И схему сети

                                K 1 Reply Last reply Reply Quote 1
                                • K
                                  k0st1k @Konstanti
                                  last edited by

                                  @konstanti красота) спасибо. сработало перевод в ручной режим.

                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter
                                    last edited by

                                    @k0st1k
                                    Скрины как настроили. Пригодится.

                                    1 Reply Last reply Reply Quote 0
                                    • K
                                      k0st1k
                                      last edited by

                                      сначала переводим NAT в ручной режим
                                      0_1549347105506_pfNAT.PNG
                                      на LAN интрефейсе создаем правило(оно необходимо чтобы был ответ как локальному ресурсу)
                                      0_1549347309086_pfNATLAn.PNG
                                      и уже потом создал правило по пробросу
                                      0_1549347398451_pfNATRule.PNG

                                      1 Reply Last reply Reply Quote 1
                                      • P
                                        pigbrother @k0st1k
                                        last edited by

                                        @k0st1k said in Как правильно организовать работу 2х физических шлюзов?:

                                        Сделано так было чтобы обеспечить отказо устойчиовсть сети(конфиги между ними синхронизируются

                                        А как, собственно, организована отказоустойчиовсть?

                                        K 1 Reply Last reply Reply Quote 0
                                        • K
                                          k0st1k @pigbrother
                                          last edited by

                                          @pigbrother отказо устойчивость сервиса который расположен у нас в сети(два провайдера - два шлюза). так же пф меж собой держат одинаковый конфиг и настройки. Если упадет один меняем на время ремонта ип на основной и продолжаем работу. схема скорее реализует работу ведущий - ведомый.

                                          P werterW 2 Replies Last reply Reply Quote 0
                                          • P
                                            pigbrother @k0st1k
                                            last edited by

                                            @k0st1k, т.е. это не штатный CARP в pfSense, и переключение\синхронизация конфигов выполняется вручную, так?

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.