Multiwan + vlan = отваливаются vlan'ы [решено]
-
Есть два провайдера. Один на pppoe а другое по ipoe.
Есть 6 подсетей:
wired_lan - vlan100
administr - vlan110
wifi1 - vlan200
conf_small - vlan400
conf_big - vlan500
ip_cam_tel - vlan600
Все подключены к procurve2824 (коммутатор работает в режиме layer-2).Задача: сделать балансировку трафика и раздать подсетям.
Создаю gateway group:
group name - loadbalance
gateway1 - ttk_pppoe - tier 1
gateway2 - rtk_ipoe - tier 1
trigger level - member downДалее правлю rules (у интерфейса wire_lan только это правило):
proto - ipv4
source - wired_lan
port - *
destination - *
port - *
gateway - loadbalance
После чего происходит следующая ситуация:
шлюз видит всех
вланы не видят друг друга
у всех есть доступ в интернетOutbound:
interface - ttk_ppoe
source - wired_lan_net
source port - *
destination - *
nat address - ttk_ppoe_address
nat port - *2.1.5-RELEASE (amd64)
Куда копать?
-
Далее правлю rules (у интерфейса wire_lan только это правило):
proto - ipv4
source - wired_lan
port - *
destination - *
port - *
gateway - loadbalanceПосле чего происходит следующая ситуация:
шлюз видит всех
вланы не видят друг друга
у всех есть доступ в интернетВсе верно. Шлюзом по-дефолту является канал в Инет. Весь трафик туда и уходит.
Пф стоит перед свитчом, имеет несколько физ. интерфейсов , в к-ые приходят провайдеры (ВАНы), а кабель от ЛАН пф-а воткнут в порт на свитче ?
Если это так, то этот порт должен быть tagged всеми ID имеющихся влан , т.е. он должен быть multi-tagged. А порты, куда приходят ЛАНы - untagged.Покажите скрины правил fw на всех интерфейсах.
Покажите, что выдает свитч по sh run и sh vlan -
Далее правлю rules (у интерфейса wire_lan только это правило):
proto - ipv4
source - wired_lan
port - *
destination - *
port - *
gateway - loadbalanceПосле чего происходит следующая ситуация:
шлюз видит всех
вланы не видят друг друга
у всех есть доступ в интернетВсе верно. Шлюзом по-дефолту является канал в Инет. Весь трафик туда и уходит.
Пф стоит перед свитчом, имеет несколько физ. интерфейсов , в к-ые приходят провайдеры (ВАНы), а кабель от ЛАН пф-а воткнут в порт на свитче ?
Если это так, то этот порт должен быть tagged всеми ID имеющихся влан , т.е. он должен быть multi-tagged. А порты, куда приходят ЛАНы - untagged.Покажите скрины правил fw на всех интерфейсах.
Покажите, что выдает свитч по sh run и sh vlanСпасибо! На счет шлюза ты был прав.
Трейсороут показал что локальные айпи уходит искать во внешку %)
Включил ip routing и сделал адреса вланов шлюзами для подсетей (теперь маршрутизацией внутренних сетей занимается чисто коммутатор что логически правильно).
Одно не удобство это то что теперь указывать правила маршрутизации для других сетей надо в правилах vlan100 (основная сеть).
А так pfsense подключен к порту 1 который является trunk поскольку vlan интерфейсов 6 штук. Порты для ланов не тегированные. -
а правила в свиче через ACL пишешь? как файрволишь то?
или у тебя нет необходимости файрволить внутренние подсети?
одно не пойму. почему вланы на пфсенсе не принимать на отдельные интерфейсы?
у меня сейчас порядка 30 интерфейсов все прилетают через разные сетевухи.
WAN тоже тегами прилетают