Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2
-
@Борис А в чем проблема, собственно? Для Port forward указываете интерфейс WAN1 и Destination address в LAN1, для WAN2 - аналогично. Для того чтобы травик LAN1 шел наружу только через WAN в правилах Firewall LAN1нужно указать Gateway WAN1, для LAN2 - то же самое
-
@Борис
Firewall/Rules/Edit
-
@rubic said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:
Firewall LAN1
Я просто хочу собрать мини пс c 4 сетевыми картами, у меня старый помер с алиекпрес брал 3 года отпахал в старом мини пс нету Firewall LAN1 нету такого пункта!
-
@Борис тогда "Правила" > LAN
-
@rubic а инструкции что вообще нету с картинками?
-
@Борис для вас могу сделать, читайте личные сообщения - это такой значек облака там справа вверху (Chats)
-
@rubic
Заинтересовало.
Есть подобная задача: WAN1 и WAN2, один LAN1. NAT в автоматическом режиме.
Я правильно вас понял, что если я сделаю перенаправление портов на WAN1 например для порта 25, а на WAN2 перенаправление для порта 80, то пакеты идущие из LAN в ответ на начальный трафик из интернета будут автоматически перенаправлены для порта 25 на WAN1, а для порта 80 на WAN2? Т.е. уйдут с нужного WAN интерфейса.
И никаких дополнительных настроек не требуется? -
@lucas1
Да , верно
только если я Вас верно понял ,и речь идет о пробросе портов , а не о PBR .
Те по таблице состояний PF определит , через какой интерфейс прошел первый пакет , туда и отправит ответный . Есть нюанс - это работает только в том случае , если WAN1 или WAN2 физические интерфейсы , а не виртуальные ( GRE,VTI,OPENVPN ... ) . В этом случае пакет пойдет через интерфейс по умолчанию -
@Konstanti
Да речь идет о пробросе портов (Port Forward).
Спасибо за ответ.Что такое PBR?
-
@lucas1
https://docs.netgate.com/pfsense/en/latest/routing/directing-traffic-with-policy-routing.html -
@lucas1 said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:
@rubic
Заинтересовало.
Есть подобная задача: WAN1 и WAN2, один LAN1. NAT в автоматическом режиме.
Я правильно вас понял, что если я сделаю перенаправление портов на WAN1 например для порта 25, а на WAN2 перенаправление для порта 80, то пакеты идущие из LAN в ответ на начальный трафик из интернета будут автоматически перенаправлены для порта 25 на WAN1, а для порта 80 на WAN2? Т.е. уйдут с нужного WAN интерфейса.
И никаких дополнительных настроек не требуется?В настройках WAN1 и WAN2 нужно явно указать Gateway. В этом случае в првила pf добавится reply-to и ответный трафик пойдет через нужный WAN.
-
@Konstanti said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:
Те по таблице состояний PF определит , через какой интерфейс прошел первый пакет , туда и отправит ответный .
Судя по всему, не совсем так, раз уж в правилах делается этот reply-to
Пример проброса:
pass in quick on vmx0.102 reply-to (vmx0.102 188.xxx.xx.201) inet proto tcp from <hRDPACCESS> to <hBUZZER> port = rdp flags S/SA keep state label "USER_RULE: NAT " -
Те по таблице состояний PF определит , через какой интерфейс прошел первый пакет , туда и отправит ответный .
Фигушки. Отправит в дефолтный ВАН. И только явное указание GW спасает галактику.
Я просто хочу собрать мини пс c 4 сетевыми картами
Откройте для себя
мыло палмо..VLAN.
ОДНА сетевая на пф-боксе + (любая) Б/У мыльница от ТП-Линка\Д-линка с openwrt на бортукупленная на авито за 300 рэспасет галактику и в этот раз. Да еще и ви-фи получите в придачу. -
@rubic
Не понял это:
"В настройках WAN1 и WAN2 нужно явно указать Gateway".
Оба интерфейса PPPoE. И поля Gateway там нет.Или это в правилах для WANs указать Gateway?
Речь идет о трафике из интернета, а не в интернет. -
@lucas1 said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:
@rubic
Не понял это:
"В настройках WAN1 и WAN2 нужно явно указать Gateway".
Оба интерфейса PPPoE. И поля Gateway там нет.Про PPPoE не подскажу, возможно pfSense в этом случае делает все нужное за нас. Дайте в Diagnostics > Command Prompt команду pfctl -sr | grep reply-to, если есть правила pass соответствующие вашим проброшенным портам, то ничего настраивать не нужно
-
@rubic Собственно это и имел в виду, что пакет пойдет обратно через интерфейс ,на который он пришел . И что reply-to не работает в случае виртуальных интерфейсов.
-
@rubic
Дело в том, что сейчас WAN2 нет. т.е. предстоит переход на конфигурацию WAN1 и WAN2.
Поэтому хочу максимально подготовиться, чтобы меньше было недорозумений.Команда pfctl -sr | grep reply-to для WAN1 выдала набор правил reply-to, например:
pass in quick on pppoe0 reply-to (pppoe0 10.x.x.x) inet proto tcp from any to <DVR08> port = 377xx flags S/SA keep state label "USER_RULE: NAT "Будем считать как указал Konstanti, что table state содержит всю необходимую информацию для автоматического распределения пакетов на нужные интерфейсы WAN1 и WAN2.
-
Оба интерфейса PPPoE. И поля Gateway там нет.
Проверил. При ПОДНЯТОМ pppoe появляется GW. И пользовать можно для явного указания в правилах fw.
-
@Konstanti Я всего лишь хочу продчеркнуть, что сами по себе sates не обеспечивают прохождение возвратного трафика через исходный входящий интерфейс (в struct state, если углублятся, попросту нет инфы о нем). Это разные вещи. Если нет reply-to, то ответный трафик пойдет через default gateway. А наличие reply-to в случае Static IP интерфейса pfSense, например, определяется явным указанием gateway в настройках интерфейса. pfSense делает многое за нас, это и хорошо и плохо одновременно. Приходится помнить эти нюансы.
-
@rubic Я просто не так выразился . Естественно , что таблица состояний служит для других целей. Просто PF сам создает правила с нужным синтаксисом , и все работает. А чтобы понять , как это работает , приходится ставить голую freebsd с установленным PF , и уже в ней копаться для тестирования и отладки
