PFsense 2.4.4 не работает DNS в MultiWan
-
После обновления на 2.4.4 возникли проблемы с DNS при использовании Multiwan. Имеются два Wan канала объединенные в группу Multiwan. При пинге с pfsense через канал по умолчанию нет пинга, если пингуем ip все нормально. если выбрать канал одного из wan пинг идет и по dns и по ip. не пойму почему не работает. На версии 2.4.3 все отлично работает. Развернул с нуля pfsense создал новую конфигуарцию чисто для подключения тоже не работает. Если в default getaway выбрать один из каналов работает. Если выбрать группу Multiwan не работает. Ребята подскажите как настроить очень хочется использовать последнюю версию и пакеты можно без лишних проблем установить много плюсов. Хоть старая и работает но хочу добить новую. В opnsene таких проблем нет но PFsense больше по душе для меня удобнее.
-
В Default gateway IPv4 не надо ставить группы с одинаковым Tier. В этом меню можно ставить либо один шлюз, либо группу шлюзов с разным приоритетом, потому что система с помощью Default gateway IPv4 устанавливает маршрут по умолчанию в таблицу маршрутизации - только один. А Multiwan группу только в policy-routing надо использовать, как вы и делаете на LAN.
Для начала уберите Multiwan из Default gateway IPv4, сделайте и поставьте туда группу с разными Tier. -
Я вас понял, но задача в том что бы работали 2 wan одновременно что бы разбрасывался трафик на две сети, Default gateway если ставить один из шлюзов то не будет переключаться если один wan не доступен, поставил туда Automatic тогда переключается.
-
2 WAN одновременно могут работать в policy-routing правилах фаервола - у вас так и сделано на LAN. А kernel маршрутизация - там только один маршрут всегда будет. То есть трафик, исходящий от самого фаервола нельзя балансировать. Фейловер маршрутов - да, для этого либо automatic, либо группу wan шлюзов с разными Tier. До 2.4.4 эта функция была в адвансед - default gateway switching.
-
У меня похожая проблема на 2.4.4 с multi wan, но с Nat reflection.
Если я в lan rules выставляю группу шлюзов (по инструкции настройки multi wan) с одинаковым тиром (балансировка), то Nat reflection не работает, то есть, я не могу обращаться к своему внешнему ip и проброшенным портам изнутри сети, хотя при обращении с внешней сети (4G на телефоне) все работает великолепно...
Если выставляю в lan rules шлюзом default, то Nat reflection работает отлично, но не работает балансировка.В System - Routing - Default gateway стоит группа шлюзов с тир 1 и тир 2 (с разными тирами), но пробовал тут практически все варианты, проблеме не помогает.
Подскажите, куда копать? Уже всю голову переломал.
Кстати, с DNS была похожая проблема, исправил так:
-
И не должно работать - policy-routing правило выпуливает трафик на WAN шлюз без проверки таблицы маршрутов, а Nat reflection - перенаправляет из внутренней сети на внутренний айпи сервера, который указан в порт-форвардинг правиле или NAT1:1. Для того, чтобы это перенаправление сработало - надо, чтобы на внутреннем интерфейсе было разрешающее правило с адресом назначения внутреннего айпи сервера - без полиси-рутинга (без шлюза). Тогда трафик не выкинется наружу на шлюз, а по таблице маршрутов уйдет на внутренний айпи сервера. В случае с DNS вы так и сделали - просто сделайте аналогичное правило до policy-routing правила.
-
@vladimirlind спасибо, я немного тупанул видимо вчера, и что-то не так прописал, ибо пробовал так сделать, и не сработало, сейчас прописал заново и все взлетело.
Ещё раз спасибо! -
@lazy said in PFsense 2.4.4 не работает DNS в MultiWan:
то есть, я не могу обращаться к своему внешнему ip и проброшенным портам изнутри сети,
И самое главное - зачем эта петля может быть нужна? Обращайтесь ко внутренним ресурсам по внутренним ip.
Нужно обращение по внешнему имени из внутренней сети - настройте split dns, тем более, что пф это умеет.
В особо тяжких случаях port forwarding на LAN прекрасно завернет все необходимое туда, куда укажите. -
Да Default gateway преобразовался в Default gateway Automatic, группу multiwan с одинаковым весом wan. В фаерволе выставил шлюз как wan. Но балансировки нет.
Все идет через один канал(((. По удаленке можно подключатся к разным провайдерам все работает. Я так и не понял как можно сделать балансировку трафика между двумя провайдерами? -
Policy-routing фаервольное правило с указанием группы шлюзов с одинаковым Tier настроили на LAN для трафика исходящего из LAN сети наружу?
https://docs.netgate.com/pfsense/en/latest/book/multiwan/policy-routing-configuration.html
-
@vladimirlind said in PFsense 2.4.4 не работает DNS в MultiWan:
Policy-routing фаервольное правило с указанием группы шлюзов с одинаковым Tier настроили на LAN для трафика исходящего из LAN сети наружу?
https://docs.netgate.com/pfsense/en/latest/book/multiwan/policy-routing-configuration.html
Что то не найду в чем проблема. Вроде все настроил.
-
Ок, а шлюзы в группе MultiWan активные оба? В Status > Gateways dpinger их обоих зеленым помечает?
Outbound NAT сделан для обоих WAN? Когда генерите трафик с разных хостов LAN , как стейты раскладываются gпо ванам? Diag> Command prompt - pfctl -ss | grep <имя интерфейса MTS и SOTCOM, как в системе - igbX, emX и т.п.>
-
@vladimirlind said in PFsense 2.4.4 не работает DNS в MultiWan:
Ок, а шлюзы в группе MultiWan активные оба? В Status > Gateways dpinger их обоих зеленым помечает?
Outbound NAT сделан для обоих WAN? Когда генерите трафик с разных хостов LAN , как стейты раскладываются gпо ванам? Diag> Command prompt - pfctl -ss | grep <имя интерфейса MTS и SOTCOM, как в системе - igbX, emX и т.п.>
не раскладываются)) идет, все через sotcom
через мтс ничего не идет только удаленщики подключаются
-
А если у SOTCOM ухудшить Tier до 2, а МТС оставить 1 - пойдет через МТС?
Дефолтным шлюзом является СОТКОМ - такое ощущение, что трафик не матчится полиси-рутингом правилом на ЛАН, а идет по дефолтному маршруту. У вас во флоатинг правилах точно ничего нет? Подключение идет из ЛАН сети?
-
@vladimirlind said in PFsense 2.4.4 не работает DNS в MultiWan:
А если SOTCOM ухудшить Tier до 2, а МТС оставить 1 - пойдет через МТС?
Нет. Тоже самое. Geteway default Automatic стоит он автоматом выбирает wan. На данный момент выбран Sotcom и держиться за него. Если поставить MTS через MTS все будет ходить, ставишь automatic какой шлюз выберет чрез такой и будет все ходить пока шлюз живой если умер то переключается на другой
Floating пусты, да подключение по lan
-
Значит полиси-рутинг правило не матчится по какой-то причине. Но какое-то правило на ЛАНе все же должно выпускать трафик наружу. На ЛАНе дальше после полиси-рутинга правила какие? Трафик точно из LAN сети идет?
Что интересно вот тут:
cat /tmp/rules.debug | grep MultiWan
-
@vladimirlind said in PFsense 2.4.4 не работает DNS в MultiWan:
Значит полиси-рутинг правило не матчится по какой-то причине. Но какое-то правило на ЛАНе все же должно выпускать трафик наружу. На ЛАНе дальше после полиси-рутинга правила какие? Трафик точно из LAN сети идет?
Что интересно вот тут:
cat /tmp/rules.debug | grep MultiWan
вот что пишет
GWMultiWan = " route-to { ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re0 10y.y.y.y ) ( re0 10y.y.y.y ) } round-robin "
основной трафик с lan идет еще с wi-fi идет трафик -
@wezen said in PFsense 2.4.4 не работает DNS в MultiWan:
GWMultiWan = " route-to { ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re0 10y.y.y.y ) ( re0 10y.y.y.y ) } round-robin "
хм, группа из пяти шлюзов? А само правило с GWMultiWan не вывелось в команде? Получается, правила нет...
Надо бы удалить полиси-рутинг правило и группу шлюзов MultiWan и создать все заново. Посмотреть в сислоге, нет ли ошибок pf при создании правила, колокольчик не брякает ли в правом верхнем углу.
-
@wezen Должно быть как минимум 2 строчки
1 строка - алиас
2 правило
алиас есть , правила нет
например , вот такGWTUN200_TUNNELV4 = " route-to ( gre1 10.10.200.2 ) " pass in quick on $LAN $GWTUN200_TUNNELV4 inet from 192.168.1.96 to any tracker 1530287339 keep state label "USER_RULE"Попробуйте сделать так , как Вам написали выше
-
GWMultiWan = " route-to { ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re0 10y.y.y.y ) ( re0 10y.y.y.y ) } round-robin " по ходу нормально, установилна каждом Gateway Weight на сотком 3 и на мтс 2 видимо он так прописывает. пересоздал мульти группу. Пошел трафик.
