Интересная проблема



  • Здравствуйте,

    Сегодня решил отказаться от интернета, раздаваемого большой корпоративной сетью (там присутствуют ограничения на посещения сайтов), в пользу другого провайдера. НО сеть нужно оставить, так там много ресурсов, нужных для работы. Доступ в данную крупную сеть осуществляется через pfSense.
    Для решения задачи был поставлен 5 портовый управляемый коммутатор. На нем настроены 2 вилана 10 (1 порт - в него смотрит большая корпоративная сеть) и 20 (2 порт в него смотрит xDSL модем). 5 порт в обоих виланах сидит и идет в WAN порт pfsense.
    В самом сенсе настроил 2 вилана и ассоциировал вилан 10 (большая корпоративная сеть) с портом WAN, статический адрес интерфейса и гейт остались прежними, а для вилана 20 создал виртуальный интерфейс и дал ему тоже статический адрес (там xDSL модем стоит) настроил гейтвей (адрес xDSL модема).  Теперь надо дать некоторым пользователям интернет через нового провайдера. Подчеркиваю что некоторым, не всем. Создаю алиасы для IP и для Портов. В настройках Firewall создаю правило в LAN, что для 80 и 443 порта использовать другой гейт. Все заработало.

    Если както может влиять - то в корпоративку мы подключены как филиал через VPN, предоставляемый оператором связи. А в филиале стоит pfSense. и новый интернет пренадлежить томуже ростелекому через xDSL.

    НО вот что начало творится. Теперь DHCP на LAN интерфейсе не хочет обновлять адресацию. т.е. я хочу в ARP табличке поменять IP уже ранее забитому компьютеру. Меняю, сохраняю, а он выдает ему прежний адрес.
    Также ip телефоны перестали пробрасываться через siproxd. В корпоративной сети стоит общая АТС. Говорят сервер не найден, хотя АТС пингуется сквозь NAT во внешней сети…

    siproxd

    
    Feb 14 23:42:41 	siproxd 	99393 	sock.c:543 ERROR:bind failed: Address already in use
    Feb 14 23:42:41 	siproxd 	99393 	siproxd.c:332 ERROR:unable to bind to SIP listening socket - aborting 
    

    Куда копать? Может нужно по другому чтото сделать?



  • Доброе.
    Схему рисуйте с адресацией и влан.



  • Вобщем решил проблему. А она то оказалась в глючной ново версии сенса. Уже 100500 раз пожалел что обновился.
    Сейчас все работает по схеме выше. Только удалось найти третий сетевой адаптер, соответственно отказался от виланов.
    Во вторых, после перехода обратно на 2.2.6 ушла проблема с системой видеоконференции поликом. Была проблема при ее пробросе через NAT со стабильностью. (Происходили систематические отключения раз в 10 минут.) Сейчас их нет.

    Хочу спросить одно:
    Чтобы разных хостов из сети LAN пускать по разным провайдерам только по портам 80 и 443 (тобиш интернет), достаточно ли прописать в фаерволе правило с измененным гейтом, а в general setup добавить DNS и гейт через который работает DNS второго провайдера?



  • @Bansardo:

    Вобщем решил проблему. А она то оказалась в глючной ново версии сенса. Уже 100500 раз пожалел что обновился.
    Сейчас все работает по схеме выше. Только удалось найти третий сетевой адаптер, соответственно отказался от виланов.
    Во вторых, после перехода обратно на 2.2.6 ушла проблема с системой видеоконференции поликом. Была проблема при ее пробросе через NAT со стабильностью. (Происходили систематические отключения раз в 10 минут.) Сейчас их нет.

    Хочу спросить одно:
    Чтобы разных хостов из сети LAN пускать по разным провайдерам только по портам 80 и 443 (тобиш интернет), достаточно ли прописать в фаерволе правило с измененным гейтом, а в general setup добавить DNS и гейт через который работает DNS второго провайдера?

    ДА, но на версии 2.1.x были проблемы со сквид, с ним не работало, то есть первый днс запрос все равно ходил через шлюз по умолчанию в системе, поэтому многие сайты не пропускали такие запросы. Проверьте как сейчас отрабатывает такая конфигурация, или может у вас по умолчанию нужный вам шлюз стоит, или быть может вам не нужен squid вообще или на отдельном устройстве его отключить.



  • @Bansardo:

    Вобщем решил проблему. А она то оказалась в глючной ново версии сенса. Уже 100500 раз пожалел что обновился.
    Сейчас все работает по схеме выше. Только удалось найти третий сетевой адаптер, соответственно отказался от виланов.
    Во вторых, после перехода обратно на 2.2.6 ушла проблема с системой видеоконференции поликом. Была проблема при ее пробросе через NAT со стабильностью. (Происходили систематические отключения раз в 10 минут.) Сейчас их нет.

    Хочу спросить одно:
    Чтобы разных хостов из сети LAN пускать по разным провайдерам только по портам 80 и 443 (тобиш интернет), достаточно ли прописать в фаерволе правило с измененным гейтом, а в general setup добавить DNS и гейт через который работает DNS второго провайдера?

    На интересную мысль вы меня натолкнули, у меня тоже через влан тупняки на одном интерфейсе, хотя и версия pf намного младше. Поробую проверить без вланов. Спасибо



  • На последней версии у меня были глюки как с вланами так и без. Это я нашел еще один адаптер чтобы себя проверить, вдруг где затупил. А счас оставил конфу с 3 адаптерами.
    А со сквидом я не понял, он ведь прослушивает порты, а направлением куда занимается фаервол.



  • Сам в шоке))), в версии squid в pf2.1.x проблем много. Вот некоторые из низ Limiter из за squid плохо шейпит шифрованный трафик(https, utorrent, ya и маил облако и др) для ip адреса, По каким то причинам не работают все возможные представления, такие как telegram, rtsp.



  • @Bansardo:

    На последней версии у меня были глюки как с вланами так и без. Это я нашел еще один адаптер чтобы себя проверить, вдруг где затупил. А счас оставил конфу с 3 адаптерами.
    А со сквидом я не понял, он ведь прослушивает порты, а направлением куда занимается фаервол.

    А какие сетевые карты при этом использовались?



  • В гигабайт плате 2 встроенных реалтека, модель сейчас не подскажу, а третий адаптер гигабитный интел.
    Я не думаю что обвал dhcp на интерфейсе и невозможность адресации связана с железом. 2.2.6 же летает. А материнка 2015 года выпуска