Выход в интернет с другого IP

Konstanti

@orestych

WAN1 1.1.1.130/29 GW 1.1.1.129
WAN2 1.1.1.140/29 GW 1.1.1.129

Маршрут в данном случае прописывается в правиле на lan интерфейсе
(это так называемый PBR)
Создаете правило в самом начале списка
Например , так

и указываете шлюз , через который посылать трафик

orestych

@Konstanti
Благодарю.
не получается добавить в правило LAN шлюз 1.1.1.140

В списке шлюзов его нет.
Создать новый не получается. Как быть?

Konstanti

@orestych
Чтобы создать новый шлюз , у Вас должен быть дополнительный физический интерфейс ( еще одна сетевая карта)
/Interfaces/Interface Assignments
Типа , вот так это должно выглядеть

orestych

Да, он есть

Konstanti

@orestych
А дальше идете в настройки интерфейса mail , присваиваете ip ,указываете там шлюз по умолчанию и сохраняетесь
И в результате он появится в списке
Дальше идете в /system/gateways/
и проверяете , есть ли mail в списке шлюзов

orestych

я все это сделал.
У интерфейса mail шлюз по умолчанию должен быть 1.1.1.129 --- IP провайдера, как и на интерфейсе WAN
(там кстати мне в интерфейсе не дает ничего указать)

А как сделать адрес 1.1.1.140 шлюзом для правила LAN для адреса 192.168.0.1 ?

Konstanti

@orestych
Чтобы весь трафик хоста отправлялся через шлюз отличный от шлюза по умолчанию
Надо создать правило для этого хоста на Lan интерфейсе , как я указал выше

orestych

Я создаю правило LAN, но там не могу указать шлюзом адрес интерфейса mail ( 1.1.1.140 )

и при этом не получается создать новый шлюз 1.1.1.140

Какой то замкнутый круг(

Konstanti

@orestych
Почему не получается создать новый шлюз ???
что Вы видите в /system/Gateways ?

orestych

шлюз создал. Я так понимаю, что надо создать правила NAT для интерфейса mail ?

Я создал правило, но оно подсвечено серым и не активно

Konstanti

@orestych
А интерфейс mail в состоянии UP или как ?

orestych

да, интерфейс mail UP

orestych

В настройках интерфейса mail , нет шлюза и не дает поставить

Может как то это влияет?

rubic

@orestych

Откуда у вас там WAN2 берется? все проще делается по схеме DMZ, вы же сами все так и начали делать. На pfSense делаете специальный выделенный интерфейс для mail сервера. Это не WAN2, это скорее LAN только отдельный и никакой шлюз ему не нужен. Теперь на него вешаете IP 1.1.1.137, подключаете к нему mail сервер и даете ему IP 1.1.1.138 а шлюз - адрес интерфейса pfSense (1.1.1.137). В Firewall > Virtual IPs заводите виртуальный IP 1.1.1.136/29 типа ProxyARP на WAN
только расточительно вы сетку пополам разбили, я бы на WAN оставил /30, для DMZ дал бы 1.1.1.132/30 (133 - pfSense, 134 - mail) и еще осталась бы сеть 1.1.1.136/29 про запас

rubic

@rubic

вот такое могло бы быть распределение адресов:

*.*.*.128  net number
*.*.*.129  ISP gateway	
*.*.*.130  pfSense WAN
*.*.*.131  directed broadcast

*.*.*.132  net number
*.*.*.133  pfSense DMZ (gateway for mail)
*.*.*.134  mail
*.*.*.135  directed broadcast

*.*.*.136  net number
*.*.*.137  pfSense (gateway for servers)
*.*.*.138  server1
*.*.*.139  server2
*.*.*.140  server3
*.*.*.141  server4
*.*.*.142  server5
*.*.*.143  directed broadcast

вторая половина - на будущее

orestych

у сервера mail фиксированный IP локальной сети , прописан у всех клиентов , менять его не хочется.

Отсюда и все танцы

Konstanti

@orestych
попробуйте создать новый шлюз через меню /system/gateways/

orestych

а какой шлюз надо создать еще?

rubic

@orestych said in Выход в интернет с другого IP:

у сервера mail фиксированный IP локальной сети , прописан у всех клиентов , менять его не хочется.

Отсюда и все танцы

тогда вам не нужен отдельный интерфейс для mail, если он у вас в LAN
поставьте на WAN ...130/30, в Firewall > Virtual IPs заведите виртульный IP типа IP Alias для mail сервера (любой из ...132 - ..*.143, какой выберите) и сделайте NAT 1:1 c созданного Virtual IP в LAN на локальный адрес почтового сервера