PFsense 2.4.4 не работает DNS в MultiWan
-
Policy-routing фаервольное правило с указанием группы шлюзов с одинаковым Tier настроили на LAN для трафика исходящего из LAN сети наружу?
https://docs.netgate.com/pfsense/en/latest/book/multiwan/policy-routing-configuration.html
-
@vladimirlind said in PFsense 2.4.4 не работает DNS в MultiWan:
Policy-routing фаервольное правило с указанием группы шлюзов с одинаковым Tier настроили на LAN для трафика исходящего из LAN сети наружу?
https://docs.netgate.com/pfsense/en/latest/book/multiwan/policy-routing-configuration.html
Что то не найду в чем проблема. Вроде все настроил.
-
Ок, а шлюзы в группе MultiWan активные оба? В Status > Gateways dpinger их обоих зеленым помечает?
Outbound NAT сделан для обоих WAN? Когда генерите трафик с разных хостов LAN , как стейты раскладываются gпо ванам? Diag> Command prompt - pfctl -ss | grep <имя интерфейса MTS и SOTCOM, как в системе - igbX, emX и т.п.>
-
@vladimirlind said in PFsense 2.4.4 не работает DNS в MultiWan:
Ок, а шлюзы в группе MultiWan активные оба? В Status > Gateways dpinger их обоих зеленым помечает?
Outbound NAT сделан для обоих WAN? Когда генерите трафик с разных хостов LAN , как стейты раскладываются gпо ванам? Diag> Command prompt - pfctl -ss | grep <имя интерфейса MTS и SOTCOM, как в системе - igbX, emX и т.п.>
не раскладываются)) идет, все через sotcom
через мтс ничего не идет только удаленщики подключаются
-
А если у SOTCOM ухудшить Tier до 2, а МТС оставить 1 - пойдет через МТС?
Дефолтным шлюзом является СОТКОМ - такое ощущение, что трафик не матчится полиси-рутингом правилом на ЛАН, а идет по дефолтному маршруту. У вас во флоатинг правилах точно ничего нет? Подключение идет из ЛАН сети?
-
@vladimirlind said in PFsense 2.4.4 не работает DNS в MultiWan:
А если SOTCOM ухудшить Tier до 2, а МТС оставить 1 - пойдет через МТС?
Нет. Тоже самое. Geteway default Automatic стоит он автоматом выбирает wan. На данный момент выбран Sotcom и держиться за него. Если поставить MTS через MTS все будет ходить, ставишь automatic какой шлюз выберет чрез такой и будет все ходить пока шлюз живой если умер то переключается на другой
Floating пусты, да подключение по lan
-
Значит полиси-рутинг правило не матчится по какой-то причине. Но какое-то правило на ЛАНе все же должно выпускать трафик наружу. На ЛАНе дальше после полиси-рутинга правила какие? Трафик точно из LAN сети идет?
Что интересно вот тут:
cat /tmp/rules.debug | grep MultiWan
-
@vladimirlind said in PFsense 2.4.4 не работает DNS в MultiWan:
Значит полиси-рутинг правило не матчится по какой-то причине. Но какое-то правило на ЛАНе все же должно выпускать трафик наружу. На ЛАНе дальше после полиси-рутинга правила какие? Трафик точно из LAN сети идет?
Что интересно вот тут:
cat /tmp/rules.debug | grep MultiWan
вот что пишет
GWMultiWan = " route-to { ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re0 10y.y.y.y ) ( re0 10y.y.y.y ) } round-robin "
основной трафик с lan идет еще с wi-fi идет трафик -
@wezen said in PFsense 2.4.4 не работает DNS в MultiWan:
GWMultiWan = " route-to { ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re0 10y.y.y.y ) ( re0 10y.y.y.y ) } round-robin "
хм, группа из пяти шлюзов? А само правило с GWMultiWan не вывелось в команде? Получается, правила нет...
Надо бы удалить полиси-рутинг правило и группу шлюзов MultiWan и создать все заново. Посмотреть в сислоге, нет ли ошибок pf при создании правила, колокольчик не брякает ли в правом верхнем углу.
-
@wezen Должно быть как минимум 2 строчки
1 строка - алиас
2 правило
алиас есть , правила нет
например , вот такGWTUN200_TUNNELV4 = " route-to ( gre1 10.10.200.2 ) " pass in quick on $LAN $GWTUN200_TUNNELV4 inet from 192.168.1.96 to any tracker 1530287339 keep state label "USER_RULE"Попробуйте сделать так , как Вам написали выше
-
GWMultiWan = " route-to { ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re0 10y.y.y.y ) ( re0 10y.y.y.y ) } round-robin " по ходу нормально, установилна каждом Gateway Weight на сотком 3 и на мтс 2 видимо он так прописывает. пересоздал мульти группу. Пошел трафик.
-
Поставил 7-5 в весе шлюзов вот такую красоту отображает)))
GWMultiWans = " route-to { ( re1 x.x.x.x ) ( re1 x.x.x.x ) ( re1 x.x.x.x ) ( re1 x.x.x.x ) ( re1 x.x.x.x ) ( re1 x.x.x.x ) ( re1 x.x.x.x ) ( re0 y.y.y.y ) ( re0 y.y.y.y ) ( re0 y.y.y.y ) ( re0 y.y.y.y ) ( re0 y.y.y.y ) } round-robin "
pass in quick on $LAN $GWMultiWans inet from 10.10.10.0/24 to any tracker 1423503327 keep state label "USER_RULE: Default allow LAN to any rule"
pass in quick on $WIFI $GWMultiWans inet proto { tcp udp } from 192.168.2.0/24 to any tracker 1551818363 keep state dnpipe ( 1,2) label "USER_RULE" -
Ага, похоже weight просто увеличивает частоту выбора шлюза в round-robin механизме. Если оставить weight 1 , то шлюзы дублироваться не будут в группе. То есть соотношение балансировки WAN1 к WAN2 будет 7 к 5.
Ну, по крайней мере, сейчас правило есть.
-
да сейчас раскидывает на два провайдера, спасибо за подсказки.
-
@wezen, @vladimirlind, @Konstanti Добрый день ребята. Ваша тема с весами на внешних интерфейсах и консольные команды позволяющие это проверить меня натолкнуло проверить тоже самое у меня. И кое-что частично заработало (по крайней мере маршрут по умолчанию в States начал переключаться и по traceroute начало направляться при переключении провайдеров куда нужно), но при попытке разрешить имя (nslookup через консоль на шлюзе или через интерфейс Diagnostics-DNS Lookup) имя не может быть разрешено
У вас в теме шло придметное обсуждение и оно мне частично помогло, может быть что-то в моем случае посоветуете (вот моя бесперспективная тема https://forum.netgate.com/topic/142687/multiwan-usb3g-adsl-optic_fiber-%D0%BF%D0%B5%D1%80%D0%B5%D1%81%D1%82%D0%B0%D0%BB%D0%BE-%D1%81%D1%80%D0%B0%D0%B1%D0%B0%D1%82%D1%8B%D0%B2%D0%B0%D1%82%D1%8C-%D0%BF%D0%B5%D1%80%D0%B5%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BA%D0%B0%D0%BD%D0%B0%D0%BB%D0%BE%D0%B2/9)
помогло изменение весов в "1" на всех WANs, когда-то читал описание этого параметра и сделал сосотношение wan2=30 на основном интерфейсе, а остальные wan1="2" и wan3="1" и получилась ситуация как в моей теме. -
@dvv06 said in PFsense 2.4.4 не работает DNS в MultiWan:
при попытке разрешить имя (nslookup через консоль на шлюзе или через интерфейс Diagnostics-DNS Lookup) имя не может быть разрешено
Добрый день. Policy-routing правило работает для трафика, входящего на интерфейс, на котором это правило настроено. Nslookup запросы в консоли фаервола будут маршрутизироваться согласно таблице маршрутов, полиси-рутинг тут уже никаким боком не задействован - так как это трафик, исходящий от самого фаервола. Если у вас Nslookup запросы к каким-то апстрим днм серверам остаются без ответов - смотрите, есть ли дефолтный маршрут, пингуется ли днс сервер.
-
@vladimirlind У меня в System- General Setup 4 публичных рабочих днс (на wan2 (основной канал) они пингаются и все успешно разрешают имена как через консоль фаервола, так и через Diagnostics - DNS Lookup), я в консоли делаю ifconfig em1 down (WAN2) и в происходит переключение на opt4 (WAN3 3G Modem) и в мониторе показано что он Online (пингуя внешний ip) в routes показано что шлюзом по умолчанию является шлюз этого интерфейса а не предыдущий (до прочтения вашей ветки по весам этого не было), но этиже днс уже не пингуются и не разрешают имена никак
[2.3-RELEASE][admin@nacyalnika.local]/root: cat /tmp/rules.debug | grep MyMultiWAN GWMyMultiWAN = " route-to { ( ue0 192.168.8.1 ) } " ......... -
Weight в настройках интерфейсов я бы вообще без особой надобности не трогал. Достаточно корректных Tier в настройках групп интерфейсов.
но этиже днс уже не пингуются
Пинг появляется не сразу при переключении на др. интерфейс.
и не разрешают имена никак
Разрешать имена будет тот ДНС, к-ый указан в настройках конкретного интерфейса.
Для решения проблемы попробовать завернуть ВСЕ днс-запросы клиентов на адрес пф. Затем в настройках DNS Resolver-а (DNS Forwarder на пф НЕ ПОЛЬЗОВАТЬ!) вкл. Форвардинг.
-
@werter вроде бы у меня так как вы и говорите было, дополнительно (чтоб наверняка и не возникало путаницы поставил всем интерфейсам Tier1, Tier2, Tier3 )
В поле "Interface" там невидно, но LAN, LAN2, localhist выбрано
заметил, что после переключения на резервный WAN секунд 10 имена разрешаются, а потом ни по имени, ни по ip уже не пингаются (ждал минут 5), но traceroute yahoo.com (например) идет по нужному wan'у."Для решения проблемы попробовать завернуть ВСЕ днс-запросы клиентов на адрес пф." - так и есть прописал в настройках сетевой карты на клиенте именно DNS = ip_pfSense
-
@dvv06
Мил человек.Для решения проблемы попробовать завернуть ВСЕ днс-запросы клиентов на адрес пф. Затем в настройках DNS Resolver-а (DNS Forwarder на пф НЕ ПОЛЬЗОВАТЬ!)
Это для кого написано? Вы между строк читаете?
Честно? Такая откровенная лень и глупость достойны увольнения. Будь я Вашим начальником.
Не еб... себе и др. моСк.
Откл. Форвардер, настраивайте Резольвер, заворачивайте ВСЕ днс-запросы на пф Порт Форвардингом на ЛАН.
Как ЕЩЕ надо объяснять?Зы. След. совет Вам будет только за $$$.
