Настройка 2 WAN и 2 LAN

rubic

@Konstanti а лучше прямо через Diagnostics > Command prompt сразу pfctl -sn && pfctl -sr и вывод сюда
настройки вроде выглядят корректно, но тянуть инфу по капле через скриншоты до темноты можно :)

Konstanti

@rubic

я с такой ошибкой встречаюсь впервые , поэтому мне лично для начала было бы достаточно , чтобы ТС посмотрел всего на 2 правила , которые попадают под мой шаблон
PBR в PF пока ни разу не подводил
Хотя , конечно , бывает всякое - не удивлюсь , если есть какие-нибудь мудреные флоатинг правила

mihail_204

pfctl.txt

138.201.100.138 - WAN1
148.251.68.211 - WAN2

192.168.1.0/24 - LAN1
192.168.2.0/24 - LAN2

Konstanti

This post is deleted!

rubic

@mihail_204 дайте Diagnostics > Routes

mihail_204

После того, как изменение Gateway по-умолчанию ни к чему не привело, я вернул настройки на старый Gateway по-умолчанию

rubic

@mihail_204 у вас какой-то кошмар с настройкой шлюзов и интерфейсов до сих пор. 138.201.100.138 у вас и default gateway и принадлежит самому pfSense одновременно. Default gateway должен по идее быть 138.201.100.137

mihail_204

Изменил Default GW на .138.201.100.137, при прошлом изменении это ничего не дало.
Вот логи:
pfctl.txt

rubic

@mihail_204 сейчас все ок, думаю, проблема в multihomed smtp server, до завтра

mihail_204

Хорошо, спасибо

Konstanti

@mihail_204
Попробуйте удалить эти правила и создать их заново .
На обоих интерфейсах. На виртуальных машинах такой трюк иногда помогает

rubic

@mihail_204 Не вижу никаких проблем в наборе правил, все должно работать. Чтобы изолировать проблему надо подключить какую-нибудь машину (не ваш сервер) в тот и другой LAN и смотреть как ходят пакеты

Konstanti

@rubic
в качестве гипотезы
я не совсем понимаю вот эти 2 правила

rdr on hn1 inet proto tcp from any to 138.201.100.138 port = pop3s tag PFREFLECT -> 127.0.0.1 port 19000
rdr on hn2 inet proto tcp from any to 138.201.100.138 port = pop3s tag PFREFLECT -> 127.0.0.1 port 19000

что-то постороннее запущено ?

rubic

@Konstanti это NAT reflection скорее всего - чтобы из LAN можно было было обратится на адрес 138.201.100.138, как и извне

mihail_204

Проблема решилась после того, как на втором интерфейсе настроил получение параметров по DHCP и включил DHCP в pfSense на LAN2.
Спасибо за помощь в решении проблемы!

werter

@mihail_204
Крутить пф на Нyper-V - фу.

Напр., попробуйте "на лету" сменить\добавить VLAN TAG в настройках сетевой гипера. Получится? С KVM + openvswitch - да. У вас - нет.