Вопросы новичка по pfsense

luha

@werter Спасибо, поищу.

pigbrother

@werter said in Вопросы новичка по pfsense:

Stickly connections

Вероятно все же - sticky connections. Я о них выше писал.
Наиболее значимо на ресурсах, где работа идет с авторизацией пользователя - почта, банкинг, форумы и т.д.

werter

@pigbrother
Исправил. Спасибо )

luha

С переходом на ip6 все эти проблемы должны отойти сами-собой по идее. Даже странно, почему-то в основной массе людям проще настроить то что сложнее. )

werter

@luha
Нам бы с ipv4 разобраться.

pigbrother

@luha said in Вопросы новичка по pfsense:

С переходом на ip6 все эти проблемы должны отойти сами-собой по идее.

Уже который год ждем. Зато возникнут другие проблемы.
Опыта в IPV6 ноль. Домашний провайдер IPV6 выдает. Настроил. Вся домашняя сеть за IPV6 шлюзом (или для IPV6 он все еще роутер?) начала всеми портами по IPV6 торчать в интернет. С файрволлом возиться не стал ( а надо было бы). IPV6 Отключил.

luha

@pigbrother Похожая история. Опыта не хватает для оценки происходящего. Читал... читал... понимаю дело идёт к тому что в итоге на ip6 будем сидеть, но почему-то не прокатывает. Постоянно что-то встаёт на пути и эти их грабли со шлюзами ip6 в ip4 только ещё больше тормозят и мешают. И да - смущает что по ip6 резко всё оказывается открытым наружу. Как эту фигню вообще контролировать? Пока так-же отключил и провожу эксперименты. Поставил отдельную сеть с роутером, компьютером и сервером. Через роутер сервер нормально не работает, тесты половинчатые. Поставил несколько сетевых, одну вывел напрямую в провайдера, вторую в локалку и настроил что одна только ip6 обслуживает, другая только ip4. Тесты начали проходить положительно, пишет что сеть полностью готова для использования ip6. Ну, думаю, ладно... пускай... внутри локалки будет изоляция, даже неплохо. Начал пробовать запускать сервисы и полная фигня выходит. Уже что только не делал и роутер пытался на ip6 настраивать по всякому и адрсами играл. Этот протокол тупорылый какой-то и не сказать что прям очень удобный. Там каких-то префиксов понапридумывали, каскадов... сначала ввели локальный диапазон, потом отменили... а при смене операторов и даже просто точек нет корректной реакции для удержания канала и приоритеты хромаю. Короче ждём ip16 или какой там будет доделаный стантарт. Не знаю как некоторые страны умудрились на него пересесть. Полное фиаско.

farwork

Подскажите как сделать что бы при multiwan выгрузка шла только на 1н интерфейс. Загружет все хорошо и шустро а вот с выгрузкой проблемы у меня. Работает медленнее чем по 1му интерфейсу

werter

Добрый
@farwork

Никак.
Иначе пакеты извне будут приходить с одного ВАНа, а уходить через другой.
Можно трафик отправлять через определенный ВАН - весь, на выбор от определенных ip в ЛАН (создать алиас предварительно) или вовне на определенные адреса, порты, протоколы etc. Это наз-ся policy based routing.

Или можно настроить limiter, shaper.

Зы. Рекомендую хороший цикл статей 'Сети для самых маленьких'. Написано доступно для начинающих.

farwork

@werter said in Вопросы новичка по pfsense:

Можно трафик отправлять через определенный ВАН - весь, на выбор от определенных ip в ЛАН

Да именно это мне и нужно. Не корректно описал выше как то я. Мне нужно отправлять весь траффик с определенного ип через определенный интерфейс. А принимать с 2х интерфейсов на этот же ип. Такое возможно?

werter

@farwork
Что значит принимать? Проброс портов?

farwork

@werter said in Вопросы новичка по pfsense:

то значит принимать? Проброс портов?

Нет просто входящий трафик чтобы шел с 2 интерфейсов а исходящий уходил на один. Тоесть просто увеличивать скорость входящего трафика. Так как почему то если исходящий через 2 канала то это медленнее чем через 1н канал

pigbrother

@farwork said in Вопросы новичка по pfsense:

если исходящий через 2 канала то это медленнее чем через 1н канал

Каналы имеют разную скорость? Если да, и каналы в балансировке с одинаковыми Tier, то нужно указать для каждого шлюза Weight.
https://docs.netgate.com/pfsense/en/latest/routing/gateway-configure.html

Spoiler

When using Multi-WAN load balancing, if two gateways have different amounts of bandwidth, the Weight parameter adjusts the ratio at which connections are sent through each gateway.
For example if WAN1 has 50Mbit/s and WAN2 has 100Mbit/s, weight WAN1 as 1 and WAN2 as 2. Then for every three connections that go out, one will use WAN1 and two will use WAN2. Using this method, connections are distributed in a way that is more likely to better utilize the available bandwidth. Weight from 1 to 30 may be chosen.

Полноценно скорости будут суммироваться при многопоточной загрузке (торренты, например) или при открытии многочисленных вкладок в браузере.

werter

@farwork
Такое невозможно. Уходить и входить будет с того интрерфейса, к-ый будет указан для этого ip в правилах fw как gw.

farwork

@pigbrother said in Вопросы новичка по pfsense:

Каналы имеют разную скорость? Если да, и каналы в балансировке с одинаковыми Tier, то нужно указать для каждого шлюза Weight.
https://docs.netgate.com/pfsense/en/latest/routing/gateway-configure.html

У меня указано так сейчас. с загрузкой нет проблем все суммируется все работает. Оба канала по 30мегабит. А вот с выгрузкой скорость меньше чем по каждому отдельно
balancegroup OPTIC_GW
WIFI_GATWAY
Tier 1
Tier 1
bal2 OPTIC_GW
WIFI_GATWAY
Tier 2
Tier 1

bal3 OPTIC_GW
WIFI_GATWAY
Tier 1
Tier 2

chestor37r

Добрый день. Помогите кто знает. Есть pfsense с 2 WAN и 1 LAN. Настроен мультиван, при падении первого канала, все выходят в интернет через второй канал, при восстановлении - выходят снова через первый. Есть алиас, который настроен на выход через второй ван, и этот алиас должен выходить ТОЛЬКО через второй ван. Так вот, при падении ван2, алиас выходит в интернет через ван1. Как сделать так, чтобы при падении ван2 алиас сидел без интернета совсем, до восстановления ван2?

В правилах после разрешающего для алиаса выход через ван2, стоят правила запрещающие этому алиасу выходить через ван1 и правило через мультиван. Но это не работает, и алиас все равно идет через ван1.

pigbrother

@chestor37r said in Вопросы новичка по pfsense:

Есть алиас, который настроен на выход через второй ван,

А для этого алиаса создано правило на LAN с явным указанием шлюза второго WAN?

chestor37r

@pigbrother Да, я же написал об этом во втором абзаце.

werter

Добрый.
@chestor37r
Весь скрин правил покажите.

Reno 0

Добрый день ! Подскажите плиз: Имею два офиса соединенных pfsense 2.6.0 (OpenVpn P-to-P - шара кей) . На головном (сервере PF1) офисе есть шара - PF 2 без проблем с ней соединен и вся его локалка видит шару. Руководству срочно понадобилась вторая шара, также в локалке сервера (PF1)/ Обе шары находятся в одной подсети (192.168.211.0/24) . Но PF 2 не видит ее (нет пинга), тем более его локалка тоже. Трасерт обрывается на конце туннеля сервера PF1. Повторюсь PF 2 видит несколько машин из локалки PF1, кроме этой второй шары. И ни каких правил не создавали (Первая шара была уже при инсталяции PF1). Понимаю, что PF2 нужно сказать куда ходить с пакетами. Сам копал с Рулесами Файервола, но не докапался ... Спасибо