3 вопроса сломавшие мозг… Гуру помогите раз
-
Всем привет. Гуру помогите настроить pfsense ..
Коротко. Попал в руки сей роутер версии 2.3.2. Более менее разобрался.
Структура следующая.Имеется switch и pfsense. На pfsense подняты 6 VLAN.
1VLAN - это WAN от провайдера.
2VLAN - это LAN для своей локальной сети. Настроен DHCP Squid+ipcad+LightSquid.
3VLAN - это DMZ зона с серверами.
4-5-6VLAN - это арендаторы. Арендаторам выделены свои адреса и как они там рулят нам не интересно.И так вопросы.
1 - Limiter как я понял не работает со Squid. Каким образом тогда можно нарезать трафик для арендаторов?
У нас 100M приходит от провайдера, необходимо арендаторам выделать определенную ширину канала как на прием так и на передачу.
Через Wizard пробовал делать правила почему то получается только на прием ограничить VLAN видимо что то не правильно делаю.2 - Один арендатор взял себе белые IP. Пробовал вешать на VLAN белый IP арендатора (VLAN арендатора на котором раньше был внутренний IP) и прописывал System -> Routing -> Static Routes статичный роут на эти IP. Для их IP мой WAN должен выступать гейтом. Белые IP арендатора не видны из мира. Что не правильно?
3 - Есть сервер в DMZ зоне с FreeSwitch. Как правильно настроить siproxy что бы выпустить его или лучше на WAN просто пробросить порты SIP и RTP?
Народ помогите до конца разобраться а то уже второй день сижу весь мозг поломал уже. К сожалению не очень знаком с freebsd сидел в основном на бубунте :) (Ubuntu+Debian)
-
1 - Limiter как я понял не работает со Squid. Каким образом тогда можно нарезать трафик для арендаторов?
У нас 100M приходит от провайдера, необходимо арендаторам выделать определенную ширину канала как на прием так и на передачу.
Через Wizard пробовал делать правила почему то получается только на прием ограничить VLAN видимо что то не правильно делаю.А вас арендаторы тоже сидят через squid? Если нет, то никакой проблемы использовать Limiter нету. И Wizard создает правила для приоритезации трафика в основном. Кстати исли используете Limiter не забывайте его настраивать на обоих интерфейсах.
@Zloi:2 - Один арендатор взял себе белые IP. Пробовал вешать на VLAN белый IP арендатора (VLAN арендатора на котором раньше был внутренний IP) и прописывал System -> Routing -> Static Routes статичный роут на эти IP. Для их IP мой WAN должен выступать гейтом. Белые IP арендатора не видны из мира. Что не правильно?
Вариантов в такой ситуации немного - или всем договориться маршрутизировать данную сеть через служебные(что лучше всего), или использовать ProxyArp. Ну и непонятно, как арендатор взял белые IP мимо вас у вашего провайдера. Если он взял у кого-то другого то это проблемы арендатора.
-
Доброе
1. Не путать Limiter и shaper. Это как теплое и мягкое.
2.Один арендатор взял себе белые IP. Пробовал вешать на VLAN белый IP арендатора (VLAN арендатора на котором раньше был внутренний IP) и прописывал System -> Routing -> Static Routes статичный роут на эти IP. Для их IP мой WAN должен выступать гейтом. Белые IP арендатора не видны из мира. Что не правильно?
А если на вашем WAN добавить virtual IP с внешними адр. арендатора и nat настроить для их сети на эти адреса ? Также не забывать про правила fw для этого случая.
3Есть сервер в DMZ зоне с FreeSwitch. Как правильно настроить siproxy что бы выпустить его или лучше на WAN просто пробросить порты SIP и RTP?
Попробуйте просто с пробросом портов. И еще. Узнайте , поддерживает ли ваш sip-провайдер IAX2. И если да, то все гораздо проще и удобнее, т.к. пробрасывать на ВАН нужно будет всего лишь один UDP порт - https://ru.wikipedia.org/wiki/IAX
P.s. А почему FreeSwitch ? Он ведь для больших инсталляций предназначен с тысячами абонентов. Чем готовый и удобный Freepbx не устроил ?
-
А вас арендаторы тоже сидят через squid?
Сейчас пока да. По крайней мере те кто имеет наши внутреннее IP.
@PbIXTOP:Кстати исли используете Limiter не забывайте его настраивать на обоих интерфейсах.
Зачем на обоих? Вроде достаточно на одном, именно на том который идет к арендатору. Нам то зачем ограничивать трафик?
@PbIXTOP:Ну и непонятно, как арендатор взял белые IP мимо вас у вашего провайдера. Если он взял у кого-то другого то это проблемы арендатора.
А вот тут я вас не понял совсем.
Давайте немного погрузимся в маршрутизацию. Возможно что я не правильно понимаю ее.
Небольшой пример.
Имеем подсеть от провайдера
Network - 192.168.1.1/30
Первый адрес - 192.168.1.1 - он прописывается на стороне провайдера и является для моего адреса default gate
Мой адрес - 192.168.1.2 - его я прописываю у себя на интерфейсе (на WAN, а как он подключен совсем не важно. это может быть оптика или ethernet или вообще ради релейка.)
Теперь делаем внутреннюю сеть (LAN) к примеру 10.10.10.1/24 Эта вся сеть класса С. На pfsense на LAN вешаю адрес 10.10.10.1 и настраиваю все сервисы (NAT, DHCP, Squid и так далее). Для всех юзверов мой LAN будет default gate (в зависимости от настроек DHCP ). Моя внутренняя сеть будет натиться и у юзверов будет инет.
Теперь имеем другую подсеть от провайдера
Network - 192.168.5.1/29
Первый адрес - 192.168.5.1 - его я вешаю скажем на OPT1 а остальные адреса отдаю арендатору и как он их там будет распределять меня не интересует. Но мне необходимо указать маршрут этого адреса (192.168.5.1 - OPT1) на мой WAN. То есть прописать Static roter на WAN. Получается что для OPT1 мой WAN будет default gateway и все пакеты пришедшие с OPT1 будут пересылаться на WAN и обратно. И не важно какие подсети будут главное что бы мой WAN (роутер) знал о них и строил маршруты.
Вроде так. Или я ошибаюсь?
Тут описал пример для работы с физическими ethernet но так же можно реализовать и на VLAN. На данный момент это реализовано у меня на VLAN.
И вот не могу понять как правильно прописать Static route на интерфейс арендатора с реальным IP.
@werter:А если на вашем WAN добавить virtual IP с внешними адр. арендатора и nat настроить для их сети на эти адреса ?
Для чего это делать? Это лишняя нагрузка на роутер.
@werter:P.s. А почему FreeSwitch ? Он ведь для больших инсталляций предназначен с тысячами абонентов. Чем готовый и удобный Freepbx не устроил ?
Честно то я так и не осилил терминологию Asterisk. Мне как то проще оказался простой XML до и планирую наращивать свою АТС.
@werter:И еще. Узнайте , поддерживает ли ваш sip-провайдер IAX2.
К сожалению Multifon не поддерживает IAX2. О нем я уже читал.
-
Т.е. у вас внешние адреса от одного провайдера - и у вас и у арендатора ? И все приходит по одному кабелю ? Или же этот же провадер для вашего арендатора отдельный кабель завел ?
-
Т.е. у вас внешние адреса от одного провайдера - и у вас и у арендатора ? И все приходит по одному кабелю ? Или же этот же провадер для вашего арендатора отдельный кабель завел ?
Да. Адреса выделил один провайдер и все приходит по одной оптике. Просто арендатору надо белые адреса для работы его сервисов. Каких не знаю да и не интересно мне. Моя задача вывести их в мир и настроить им полосу в 20M …
P.S. у меня приходит 100M ... Возможно расширение до 500М но это планы на будующее.
P.S.S. да и осталось совсем мало времени. максимум до конца недели. Если не получиться то удалю pfsense и поставлю старый и добрый Debian и все настрою ручками. -
Создайте virtual ip на wan с адресом (-ми), к-ый выдал провайдеру провайдер.
После создать правила nat и fw для сети арендатора.P.s. Не получится у самого - пишите в личку.
-
Вроде так. Или я ошибаюсь?
Никакой static route на WAN вам не нужен. pfSense и так прекрасно знает, что эта сеть висит на OPT1. Просто ваш провайдер, похоже, не в курсе, что вы спрятали 192.168.5.1/29 за pfSense. Вам нужно либо сказать ему, что вы хотите routed subnet и он пропишет у себя маршрут в 192.168.5.1/29 через ваш WAN, либо, если так он по какой-то причине сделать не может, в дополнение к настройкам OPT1 завести на WAN virtual IP типа Proxy ARP с этой подсетью, как уже советовали.
-
Арендатор за доступ в интернет платит вам или провайдеру?? Если Провайдеру, то в чем ваш профит? Если Вам, то на каком основании, ибо лицензии на предоставление телематических услуг у вас нет, а это ай-я-яй…
Я бы сию ситуевину реализовал следующим образом: Провайдер со своей стороны запиливает VLAN для каждого из клиентов на своей стороне. В свою очередь Вы на входе ставите управляемый свич с поддержкой VLAN и транслируете через свое оборудование необходимые VLAN куда надо. И все это в обход pfsense. На pfsense заводите только свое присоединение. А ваш свич на входе от Провайдера можно сдать ему-же в аренду, ну или договориться об уменьшении тарифа... Ну или пусть свое оборудование ставит!
-
.. И все это в обход pfsense
Задача у ТС состоит в том, чтобы мониторить весь трафик (?)
ТС, ваш вариант - virtual ip на WAN с адресами, к-ые выдал провайдер арендатору.
-
.. И все это в обход pfsense
Задача у ТС состоит в том, чтобы мониторить весь трафик (?)
ТС, ваш вариант - virtual ip на WAN с адресами, к-ые выдал провайдер арендатору.
Со слов создателя топика:
4-5-6VLAN - это арендаторы. Арендаторам выделены свои адреса и как они там рулят нам не интересно.
Моя задача вывести их в мир и настроить им полосу в 20M …
То есть цель мониторить трафик не стоИт. Тогда зачем резать свою полосу и отдавать 20% дяде, да еще и с белыми статическими IP? Да и сам факт что через мой шлюз фигачит чужой трафик, меня лично напрягает - ну а если мне планово что-то надо на шлюзе перенастроить - со своими я вопрос согласую. Как мне стороннему дяде объяснять обрывы в связи??
Чую я что там предыстория мутная… Но это к делу не относится.. -
Кстати исли используете Limiter не забывайте его настраивать на обоих интерфейсах.
Зачем на обоих? Вроде достаточно на одном, именно на том который идет к арендатору. Нам то зачем ограничивать трафик?
Поскольку pfSense формирует правила на интерфейсах и использует механизм statefull для сессий. И если нету правила на внешнем интерфейсе, то можно получить приятный перекос по скорости, если тестировать её из вне.
