1 провайдер 2 порта 3 ipaddr в 1 subnet



  • Здравствуйте!
    Возможно ли настроить два WAN к одному провайдеру, имея IP и GW в одной подсети? Это необходимо для работы веб-сервера в LAN через отдельный (WAN2) физический интерфейс, который не загружен тяжелым трафиком.

    Имеется 3 IP в одиной подсети, выданные провадером, GW одинаковый для них и в этой подсети.
    2 из них должны быть настроены соответственно на WAN и WAN2. 3-й - это VIP, который создан на WAN2 с той же маской.

    Сейчас вижу проблему, что при такой конфигурации pfSense ругается на пересекающиеся сети WAN и WAN2.

    Вот, если настроить WAN2 на другую подсеть со своим шлюзом, то работает, но перенести VIP из той подсети не получается, т.к. как раз они не пересекаются в этом случае.

    Есть pfSense (gw1) как одна VM Hyper-V в ДЦ (провайдер).

    2.3.2-RELEASE-p1 (amd64) 
    built on Tue Sep 27 12:13:07 CDT 2016 
    FreeBSD 10.3-RELEASE-p9 
    

    Провайдер выдал
    IP-адрес 1.2.125.5/22. Шлюз 1.2.124.1/22. Он сконфигурирован на WAN gw1.
    IP-адрес 1.2.125.3/22. Шлюз 1.2.124.1/22. Он должен быть сконфигурирован на WAN2 gw1.
    IP-адрес 1.2.125.8/22. Должен быть настроен как VIP на WAN gw1, с этой маской в режиме IP Aliase.
    Запросы HTTP на этот VIP (1.2.125.8/22) DNATятся настройкой Port Forward на один приватный IP 192.168.100.50 (VM веб-сервер - web1) в DMZ (Настроен как VLAN100 на LAN if gw1). На web1 шлюз 192.168.100.1 - все запросы уходят через один if в gw1.

    Задача состоит в подключении web1 > gw1 > через другой WAN2 - отдельный физический 100 Mbps порт в сервере.

    Также, есть адрес, который удалось настроить на WAN2
    IP-адрес 1.2.108.5/22. Шлюз 1.2.108.1/22. Может быть сконфигурирован на WAN2 gw1.
    Могу на него прописать 1.2.125.8/22, пинг проходит до gw1, но сервис в LAN через DNAT не отвечает, т.к. маршрут gw1 ведет к WAN для подсети 1.2.125.8/22. Я так понимаю.



  • Вроде получилось с
    VIP 1.2.125.8**/16**

    Но странно, что в правилах
    FirewallNATOutbound
    нормально работает когда в правиле c web1 выбран if по умолчанию - WAN, а не WAN2 по логике.



  • Доброе.
    Мультиван от одного провайдера - это костыль. Изыщите возможность подключить еще одного провайдера.



  • @werter:

    Доброе.
    Мультиван от одного провайдера - это костыль. Изыщите возможность подключить еще одного провайдера.

    Да, но задача не в резервировании, а в получении отдельного интерфейса от провайдера через существующий pfSense для ответственных сервисов (веб).

    Кстати, сейчас решил вопрос и с

    Но странно, что в правилах
    FirewallNATOutbound
    нормально работает когда в правиле c web1 выбран if по умолчанию - WAN, а не WAN2 по логике.

    Работает с WAN2, нужно было добавить правило со своим Gateway WAN2GW в FirewallRulesLANVLAN100 scr * dest !RFC1918.

    Вроде получилось с
    VIP 1.2.125.8/16

    Также, работает и VIP c масками /22 (совпадает с интерфейсной) и /32. Ранее что-то не так пошло.



  • В этой схеме есть один недостаток. Большой такой. Проблемы у единственного провайдера - проблемы у вас. Большие.
    Ни интернета, ни доступности ваших серверов извне. Всё. Занавес.



  • @werter:

    В этой схеме есть один недостаток. Большой такой. Проблемы у единственного провайдера - проблемы у вас. Большие.
    Ни интернета, ни доступности ваших серверов извне. Всё. Занавес.

    Да, но сервер размещен Colocation в Датацентре и резервирование каналов обеспечивает он сам. Подключение нескольких провайдеров не возможно. Если это и было возможно, то не решило бы проблемы, т.к. веб-сервер не кластеризован и висит на одном своем публичном IP, который нужно перепрописывать в ресурсных записях DNS вручную при переключении.
    Благодарю за участие и внимание к моему вопросу!



  • Если у вас 1 провайдер то просто повешайте все IP адреса на 1 интерфейс и не мучайтесь


Log in to reply