Разные WAN-шлюзы для разных IP из ОДНОЙ LAN



  • Здравствуйте! Прошу помощи в понимании ситуации.
    Есть два провайдера интернета, в локальной сети нет VLAN, но есть несколько виртуальных IP (192.168.9.254, 192.168.191.254, 192.168.193.254, 192.168.195.254, 192.168.197.254). Хочу, чтобы для разных клиентских ip из одной локальной сети был выход в инет через разные WAN-шлюзы разных провайдеров.
    В приведённом примере, вся сеть 192.168.197.0/24 (net_workst) ходит на шлюз GW_WAN (WAN). Но 192.168.197.251 из этой же локальной сети ходит на шлюз GW_WAN2 (WAN2_KTI). Всё работает и почти всё хорошо. Смущает то, что судя по логам пакеты от 192.168.197.251 пытаются попасть в другую локальную сеть, которая реально существует (192.168.199.0/24) через WAN-интерфейс. Хотя они туда не смогут попасть, конечно же. Скорее всего, это нормально, т.к. попадают под правило №2 на LAN-интерфейсе (поместил правило почти в самый верх, чтобы наверняка срабатывало). Если я отключаю правило №2 на LAN-интерфейсе, то все пакеты между подсетями блокируются или не блокируются в соответствии с правилами и всё хорошо.
    ![Screenshot-2018-4-17 pfsense dote ru - Firewall Rules LAN(1).png](/public/imported_attachments/1/Screenshot-2018-4-17 pfsense dote ru - Firewall Rules LAN(1).png)
    ![Screenshot-2018-4-17 pfsense dote ru - Firewall Rules LAN(1).png_thumb](/public/imported_attachments/1/Screenshot-2018-4-17 pfsense dote ru - Firewall Rules LAN(1).png_thumb)







  • Пока писал, придумал очевидное решение (с высоты моих знаний :D ). Изменил правило №2 в соответствии с логикой "разрешить всё на GW_WAN2, кроме сетей ЛВС и богон". Судя по логам, всё чудно. )))

    ![Screenshot-2018-4-17 pfsense dote ru - Firewall Rules LAN.png](/public/imported_attachments/1/Screenshot-2018-4-17 pfsense dote ru - Firewall Rules LAN.png)
    ![Screenshot-2018-4-17 pfsense dote ru - Firewall Rules LAN.png_thumb](/public/imported_attachments/1/Screenshot-2018-4-17 pfsense dote ru - Firewall Rules LAN.png_thumb)