Вопросы новичка по pfsense

luha · Jan 25, 2021, 9:57 AM

@pigbrother Не буду скрывать, с pf знаком от недавно. Возможно что просто не разобрался, тем более что благодаря форумчанам удалось несколько вопросов закрыть.

К балансировке (без проксей) претензии следующие:

Когда пользователи из локалки выходят в интернет то только через один определённый канал. А хотелось бы их автоматом распределять то туда то сюда в зависимости от нагрузки.
Когда один канал падает то нет адекватной реакции от роутера. Пояснение - имеем почтовик, ему нужен PTR и SPF и прочее такое, поэтому через роутер для него жёстко прописаны правила куда идти и как... канал падает... админ руками переключает... а должно само.
... такие вот дела.

pigbrother · Jan 25, 2021, 11:46 AM

@luha said in Вопросы новичка по pfsense:

то только через один определённый канал

Настроено через Gateway Groups с равными Tiers?
Странно. Это как раз работает нормально. Приоритет использования каналов настраивал через Gateway Weight, при равных Weight балансировка вполне адекватна.
Другое дело, что если включить sticky connections, клиент будет висеть на выбранном ресурсе через конкретный канал, пока не истечет время states или states не сбросить.

@luha said in Вопросы новичка по pfsense:

имеем почтовик

Тут сложнее, но, по идее, для входящих писем достаточно настроенных mx-записей ,а для исходящих, как вариант, добавление записи вида
ip4:a.a.a.a ip4:b.b.b.b
в spf.

Так же настраивал failover для OVPN-клиента для site-to-site на pf. Но это уже другая история (С)

luha · Jan 25, 2021, 11:48 AM

@pigbrother Так в том и дело! В том и проблема. Есть пользователи разных групп и категорий - одних в один канал надо, других в другой, третьих нужно баллансировать. И ещё есть сервера, тоже разные - они могут работать только на определённых настройках правильно т.к. к ним из-вне идут подключения, нельзя их балансировать. А из инструментария имеем только дубовые методы вроде приколачивания выходного канала в свойствах для конкретного IP на адаптере локальной сети! Это ни в какие ворота не пролазит даже боком.

pigbrother · Jan 25, 2021, 11:52 AM

@luha said in Вопросы новичка по pfsense:

т.к. к ним из-вне идут подключения, нельзя их балансировать

Имеется в виду обычный порт форвард? Если да, включение балансировки никаких проблем не доставляло.

Вспоминаю мультиван на Микротик - это да. Например ответить по порт форвард через шлюз, на который пришел запрос (что в общем-то логично) там это отдельная задача, решаемая маркировкой пакетов.

luha · Jan 25, 2021, 1:40 PM

@pigbrother На эту тему (NAT c MultiWAN) недавно делал топик, оказалось сам не заметил в процессе дублирования правил и не переключил интерфейс. Да, NAT работает если из-вне заходят. Но балансировка неполноценная и в некоторых случаях её реализовать не представляю возможным. Если я вынужден жёстко прописывать гатвей в свойствах адреса IP на интерфейсе локальной сети, чтобы заставить пакеты идти туда, куда мне надо, то для этого адреса уже не будут работать никакие балансировки априори. А мне всего-то надо было чтобы этот IP по умолчанию выходил к примеру через определённый IP второго WAN, а другие IP работали через первый WAN. При этом главным у меня почему-то назначается только какой-то один WAN и если выбираю первый то всё идёт в первый... выбираю второй - всё прётся во второй. А мне не надо чтобы всё беспорядочно пёрлось в первый или во второй или в оба случайно. Мне надо чтобы если я указываю что этому IP надо туда - чтобы он туда и ходил, неважно что там для остальных. А если канал упал, то чтобы пёрся согласно следующему правилу для себя. Как-то так надо, а так не получается сделать. (

werter · Jan 25, 2021, 1:48 PM

@luha said in Вопросы новичка по pfsense:

А мне всего-то надо было чтобы этот IP по умолчанию выходил к примеру через определённый IP второго WAN, а другие IP работали через первый WAN.

А правила создать на ЛАН с ЯВНЫМ указанием src и gw и ПРАВИЛЬНО их расставить не пробовали? Для этого не надо быть семи пядей во лбу. Логику элементарную включить.

Это ж вы мне рассказывали про "проблему" с ФТП? Начали разбираться и оказалось, что неверные настройки сами же и выставили.

Но проще же обвинить ПО, да.

Зы. На пальцах. Есть в сети Вася и ему надо выходить в инет с ВАН1. А остальным - через ВАН2. Создайте правило на ЛАН, где в src будет васин ip и gw - GW_ВАН1.
Поставьте его ВЫШЕ ВСЕХ. Для остальных создайте правило, где в src - ЛАН нет , в gw - GW_ВАН2. Поставьте его НИЖЕ правила Васи. Сделайте reset states\filter reload.
ВСЁ.
Это ТАК сложно? Для этого надо CCNP иметь? Я в шоке (

luha · Jan 25, 2021, 1:46 PM

@werter Всё делал как вы мне тут советовали. Советы помогли, но пришло понимание ограниченности системы.

Сначала прописал правила в Outbound и очень удивился когда они чуть более чем полностью игнорируются. Пришёл сюда за советом - посоветовали прямо на локальном интерфейсе прописать! Ок... прописал... работает.

Это из разряда:

Алё, мастер, у меня дверь плохо закрывается.
А вы её гвоздями пробовали закалачивать?
О! Да, спасибо, теперь хорошо закрылась.

luha · Jan 25, 2021, 1:48 PM

@werter Вы перепутали. Про ФТП я вам долго и упорно объяснял что у меня никаких проблем нет с ФТП. А там где я настройки перепутал это была тема не про ФТП.

werter · Jan 25, 2021, 1:50 PM

@luha

Сначала прописал правила в Outbound и очень удивился когда они чуть более чем полностью игнорируются

ГДЕ, в КАКОМ мануале написано, что надо в НАТ правило создавать? Покажите.

Че вы в НАТ лезите? Не лезьте никуда КРОМЕ правил fw. Не соображаете (пока) - не лезьте.

luha · Jan 25, 2021, 1:50 PM

@werter Хотелось бы уже начать соображать наконец. ;)

P.S. По вашим же советам всё делалось.

werter · Jan 25, 2021, 1:51 PM

@luha
Сил нет ( Тупость непроходимая (

ГДЕ я вам такое советовал? Показывайте.

luha · Jan 25, 2021, 1:59 PM

@werter Не принимайте всё на свой личный счёт. Имелось в виду по советам людей на форуме (в основной массе опытных форумчан). Вы лично про ФТП старались помогать, я лично это очень ценю, спасибо, пусть и не пригодилось пока, но возможно кому-то пригодится. Там цитировать нечего по сути дела, только время терять. А документация это естественно то с чего начал и то к чему в первую очередь обращаюсь.

Вот линк на топик. Если имеете желание, знания и можете прокомментировать с пользой то буду рад.

https://forum.netgate.com/topic/157261/multiwan-%D0%BD%D0%B5-%D1%81%D1%80%D0%B0%D0%B1%D0%B0%D1%82%D1%8B%D0%B2%D0%B0%D1%8E%D1%82-%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D0%B0-outbound-%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%BE/4

werter · Jan 25, 2021, 2:06 PM

This post is deleted!

werter · Jan 25, 2021, 2:06 PM

@luha
Про Sticky connections поищите.

luha · Jan 25, 2021, 2:08 PM

@werter Спасибо, поищу.

pigbrother · Jan 25, 2021, 5:02 PM

@werter said in Вопросы новичка по pfsense:

Stickly connections

Вероятно все же - sticky connections. Я о них выше писал.
Наиболее значимо на ресурсах, где работа идет с авторизацией пользователя - почта, банкинг, форумы и т.д.

werter · Jan 27, 2021, 8:09 AM

@pigbrother
Исправил. Спасибо )

luha · Jan 27, 2021, 8:09 AM

С переходом на ip6 все эти проблемы должны отойти сами-собой по идее. Даже странно, почему-то в основной массе людям проще настроить то что сложнее. )

werter · Jan 27, 2021, 11:18 AM

@luha
Нам бы с ipv4 разобраться.

pigbrother · Jan 27, 2021, 12:26 PM

@luha said in Вопросы новичка по pfsense:

С переходом на ip6 все эти проблемы должны отойти сами-собой по идее.

Уже который год ждем. Зато возникнут другие проблемы.
Опыта в IPV6 ноль. Домашний провайдер IPV6 выдает. Настроил. Вся домашняя сеть за IPV6 шлюзом (или для IPV6 он все еще роутер?) начала всеми портами по IPV6 торчать в интернет. С файрволлом возиться не стал ( а надо было бы). IPV6 Отключил.