Не могу провести трафик через третий инте

deem73

Воткнул рабочий переходник USB-LAN, настроил, но никак не могу заставить тестовую машину лезть через этот интернет.

Если ничего не прописано - машинка бежит через провайдера Фринет (.48)
Если создано правило и прописан гейт с провайдером Вега - бежит через Вегу
Если в том же правиле прописать в лоб гейт с Фринет (.48) бежит через Фринет (...48)
А если гейт поменять на гейт с Фринет (**.41) то интернета уже нет.

тестовые машины либо никуда не идут, либо идут  через Фринет (***.48)
Уже ум за разум заходит, никак не могу понять в чем фишка.

werter

Один и тот же провайдер с одним и тем же шлюзом. NAT покажите на pf.
Можно было попробовать обойтись virtual ip на WAN и не мудрить с переходником для 2-го WAN.

deem73

Вот он WAN.

Но сдается мне, что есть какой-то глюк в самом pfsense. Потому, что я пробовал в System: Gateways отключать первый(рабочий и основной) шлюз(WAN_FNGW) вплоть до удаления, пробовал переназначать сами интерфейсы шлюзам WAN_FNGW и WAN_FNAV_GW. Также пробовал менять шлюз по умолчанию. И всегда был итог один, либо бегало по старому шлюзу, либо не работало никак.

Т.е. проблема не в самих правилах, а в том, что имхо, pf хватается за первый шлюз с первой айпишкой, и эту айпишку постоянно использует.

Подключение к провайдеру FN осуществляется через статические айпи-адреса. У меня от него заходит два патчкорда, к одному патчкорду айпи *.48(старый), к другому *.41(новый). Может даже такое быть, что трафик бегает через *.41, а показывает по прежнему *.48.
Проверяю IP через сайт 2ip.ru

Чего я не пробовал, так это физически вытаскивать провод из первого рабочего интерфейса. Думаю в обеденный перерыв попробую.

2.0.2-RELEASE (i386)
built on Fri Dec 7 16:30:14 EST 2012
FreeBSD 8.1-RELEASE-p13

pigbrother

А для этого третьего провайдера имеется ли правило Outbound NAT?

deem73

@pigbrother:

А для этого третьего провайдера имеется ли правило Outbound NAT?

Там все пусто. Для всех провайдеров.

Я смотрю тут: Firewall: NAT: Outbound

deem73

Ещё момент.
Если в настройках интерфейса (Interfaces: WAN_FN_AE) указать правильный шлюз "****.135.1",  то сайты не пингуются даже из интерфейса pfsense. Если же поставить Gateway: none - то пингуются.

pigbrother

Несколько не по теме:
Что вас удерживает на 2.0.2-RELEASE?

deem73

@pigbrother:

Несколько не по теме:
Что вас удерживает на 2.0.2-RELEASE?

Работает нормально. Замечаний нет. А после обнов часто наступают какие-то глюки. Вплоть до того, что pf может не стартовать. Пару лет назад  были похожие темы.
Я обновляюсь тогда когда обнова исправляет какой-то глюк который меня сильно напрягает, или в старой версии нет нужных фич.
Как-то так!

PbIXTOP

Конечно одинаковая подсеть на разных интерфейсах — это возможно, но обычно при этом их разносят в разные таблицы маршрутизации (чего в pfSense не реализовано).
Gateway в pfSense, если вы взглянули бы на таблицу маршрутизации и правила pf, привязывается жестко к интерфейсу.
Поэтому самое простое и правильное решение указал werter.
Но если же провайдер с дуру требует уникальную связку ip-mac, тогда проблема локализуется только установкой промежуточного маршрутизатора между pfSense и одним из линков провайдера.

deem73

@PbIXTOP:

Конечно одинаковая подсеть на разных интерфейсах — это возможно, но обычно при этом их разносят в разные таблицы маршрутизации (чего в pfSense не реализовано).
Gateway в pfSense, если вы взглянули бы на таблицу маршрутизации и правила pf, привязывается жестко к интерфейсу.
Поэтому самое простое и правильное решение указал werter.
Но если же провайдер с дуру требует уникальную связку ip-mac, тогда проблема локализуется только установкой промежуточного маршрутизатора между pfSense и одним из линков провайдера.

Провайдер даёт статический внешний айпи для моего оборудования и айпи своего шлюз. Шлюзы для первого подключения и для второго - совпадают. Может попросить провайдера, чтобы он дал другой шлюз с другим айпи?

werter

Доброе.
Проще сменить провайдера. Это возможно ?

deem73

@werter:

Доброе.
Проще сменить провайдера. Это возможно ?

Не проще. Ряд организационных и финансовых причин. У меня 3 ДСЛ соединений одного провайдера, и 2 оптических от другого. Причем 2 оптических зашли в здание по одному кабелю, потом разветвляются, а потом соединяются на центральном узле. Может просить у провайдера другой Айпи шлюза? И тогда оно аккуратно ляжет в pf?

Scodezan

@deem73:

Может просить у провайдера другой Айпи шлюза? И тогда оно аккуратно ляжет в pf?

Может, но 99% откажут.
Открой тайну, почему у тебя 2 физических интерфейса для одного провайдера?

deem73

@Scodezan:

@deem73:

Может просить у провайдера другой Айпи шлюза? И тогда оно аккуратно ляжет в pf?

Может, но 99% откажут.
Открой тайну, почему у тебя 2 физических интерфейса для одного провайдера?

Был у провайдера, разговаривал с директором, он поручил главному сисадмину поспособствовать. Сисадмин выслушал мои доводы и с пониманием к ним отнесся, после чего дал мне другой айпи из другой подсети. Прописал и сразу всё заработало. Правда в браузере внешний айпи совсем не тот, что он мне дал, но это уже детали.

Тайна простая, нужны два айпи адреса для двух юрлиц.