Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2

Konstanti

@lucas1
Да , верно
только если я Вас верно понял ,и речь идет о пробросе портов , а не о PBR .
Те по таблице состояний PF определит , через какой интерфейс прошел первый пакет , туда и отправит ответный . Есть нюанс - это работает только в том случае , если WAN1 или WAN2 физические интерфейсы , а не виртуальные ( GRE,VTI,OPENVPN ... ) . В этом случае пакет пойдет через интерфейс по умолчанию

lucas1

@Konstanti
Да речь идет о пробросе портов (Port Forward).
Спасибо за ответ.

Что такое PBR?

Konstanti

@lucas1
https://docs.netgate.com/pfsense/en/latest/routing/directing-traffic-with-policy-routing.html

rubic

@lucas1 said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:

@rubic
Заинтересовало.
Есть подобная задача: WAN1 и WAN2, один LAN1. NAT в автоматическом режиме.
Я правильно вас понял, что если я сделаю перенаправление портов на WAN1 например для порта 25, а на WAN2 перенаправление для порта 80, то пакеты идущие из LAN в ответ на начальный трафик из интернета будут автоматически перенаправлены для порта 25 на WAN1, а для порта 80 на WAN2? Т.е. уйдут с нужного WAN интерфейса.
И никаких дополнительных настроек не требуется?

В настройках WAN1 и WAN2 нужно явно указать Gateway. В этом случае в првила pf добавится reply-to и ответный трафик пойдет через нужный WAN.

rubic

@Konstanti said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:

Те по таблице состояний PF определит , через какой интерфейс прошел первый пакет , туда и отправит ответный .

Судя по всему, не совсем так, раз уж в правилах делается этот reply-to

Пример проброса:

pass in quick on vmx0.102 reply-to (vmx0.102 188.xxx.xx.201) inet proto tcp from <hRDPACCESS> to <hBUZZER> port = rdp flags S/SA keep state label "USER_RULE: NAT "

werter

Те по таблице состояний PF определит , через какой интерфейс прошел первый пакет , туда и отправит ответный .

Фигушки. Отправит в дефолтный ВАН. И только явное указание GW спасает галактику.

@Борис

Я просто хочу собрать мини пс c 4 сетевыми картами

Откройте для себя мыло палмо.. VLAN.
ОДНА сетевая на пф-боксе + (любая) Б/У мыльница от ТП-Линка\Д-линка с openwrt на борту купленная на авито за 300 рэ спасет галактику и в этот раз. Да еще и ви-фи получите в придачу.

lucas1

@rubic
Не понял это:
"В настройках WAN1 и WAN2 нужно явно указать Gateway".
Оба интерфейса PPPoE. И поля Gateway там нет.

Или это в правилах для WANs указать Gateway?
Речь идет о трафике из интернета, а не в интернет.

rubic

@lucas1 said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:

@rubic
Не понял это:
"В настройках WAN1 и WAN2 нужно явно указать Gateway".
Оба интерфейса PPPoE. И поля Gateway там нет.

Про PPPoE не подскажу, возможно pfSense в этом случае делает все нужное за нас. Дайте в Diagnostics > Command Prompt команду pfctl -sr | grep reply-to, если есть правила pass соответствующие вашим проброшенным портам, то ничего настраивать не нужно

Konstanti

@rubic Собственно это и имел в виду, что пакет пойдет обратно через интерфейс ,на который он пришел . И что reply-to не работает в случае виртуальных интерфейсов.

lucas1

@rubic
Дело в том, что сейчас WAN2 нет. т.е. предстоит переход на конфигурацию WAN1 и WAN2.
Поэтому хочу максимально подготовиться, чтобы меньше было недорозумений.

Команда pfctl -sr | grep reply-to для WAN1 выдала набор правил reply-to, например:
pass in quick on pppoe0 reply-to (pppoe0 10.x.x.x) inet proto tcp from any to <DVR08> port = 377xx flags S/SA keep state label "USER_RULE: NAT "

Будем считать как указал Konstanti, что table state содержит всю необходимую информацию для автоматического распределения пакетов на нужные интерфейсы WAN1 и WAN2.

werter

@lucas1

Оба интерфейса PPPoE. И поля Gateway там нет.

Проверил. При ПОДНЯТОМ pppoe появляется GW. И пользовать можно для явного указания в правилах fw.

rubic

@Konstanti Я всего лишь хочу продчеркнуть, что сами по себе sates не обеспечивают прохождение возвратного трафика через исходный входящий интерфейс (в struct state, если углублятся, попросту нет инфы о нем). Это разные вещи. Если нет reply-to, то ответный трафик пойдет через default gateway. А наличие reply-to в случае Static IP интерфейса pfSense, например, определяется явным указанием gateway в настройках интерфейса. pfSense делает многое за нас, это и хорошо и плохо одновременно. Приходится помнить эти нюансы.

Konstanti

@rubic Я просто не так выразился . Естественно , что таблица состояний служит для других целей. Просто PF сам создает правила с нужным синтаксисом , и все работает. А чтобы понять , как это работает , приходится ставить голую freebsd с установленным PF , и уже в ней копаться для тестирования и отладки

lucas1

This post is deleted!

lucas1

This post is deleted!