4. Два Интернет провайдера - Policy Routing

Два Интернет провайдера - Policy Routing

  • S

    Два Интернет провайдера - Policy Routing. : WAN-1, WAN-2 и LAN.

    На внутр. сети у нас есть сервер, трафик с которого мы хотим разделить: SIP и RTP хотим пустить через первого провайдера, а любой другой трафик - через второго (быстрого)

    Слышал, что для этого нужны правила Firewall с указанием на Gateway. А как насчёт NAT ?

    Кто что знает на эту тему, поделитесь инфой, пожалуйста

    0
    P
     1 Reply
  • P

    @strannik said in Два Интернет провайдера - Policy Routing:

    Слышал, что для этого нужны правила Firewall с указанием на Gateway. А как насчёт NAT ?

    NAT в смысле доступа LAN в интернет? Это pfSense делает автоматически. При желании это "автоматически" вы сможете настроить под себя в Outbound NAT от дополнения правил до полной замены на свои.
    Для Inbound NAT (Port Forward) достаточно указать входящий интерфейс (WAN-1 или WAN-2).

    0
  • S

    Спасибо за совет по Inbound NAT. Значит я просто поменяю входной интерфейс на WAN-2

    А вот Outbound NAT не совсем понятно: дело в том, что "Автоматически" у нас давно отключена - NAT только вручную (AON). Так что добавляя очередной VLAN я всегда добавляю и соотв. Outbound-NAT правило.

    Нам нужно добиться, чтобы доступ в Интернет (Windows Updates и т.д.) с этого сервера остались на старом WAN-1, а голос (SIP, RRP) направить через WAN-2. То есть, Sourse Address - один, а трафик нужно запустить на два разных WAN

    0
    P
     1 Reply
  • P

    @strannik said in Два Интернет провайдера - Policy Routing:

    NAT только вручную (AON)

    AON - это ведь по идее Automatic?

    @strannik said in Два Интернет провайдера - Policy Routing:

    Нам нужно добиться, чтобы доступ в Интернет (Windows Updates и т.д.) с этого сервера остались на старом WAN-1, а голос (SIP, RRP) направить через WAN-2. То есть, Sourse Address - один, а трафик нужно запустить на два разных WAN

    Это можно сделать создав правило(а) на (V)LAN, оперируя source IP, dest IP и портами назначения и указанием шлюза конкретного ISP .
    Это(и) правило(а) должно(ы) быть выше, чем "default LAN to ANY"
    После создания такого правила - reset states или перезагрузка.

    Если таких ПК более одного их правильнее объединить в alias и этот alias использовать в правиле как source.

    0
  • S

    Спасибо за советы, pigbrother

    Я пытаюсь имитировать сеть с двумя "провайдерами" в VirtualBox, чтобы иметь возможность проверить pfsense до того, как применять в конторе.

    Прилагаю картинку WAN-1, WAN-2, LAN. Кто что думает - будет такое работать ?
    0_1534075189328_Virtual Dual-WAN Lab.png

    0
  • P

    Не очень понятно, как работает "Виртуал. роутер" на картинке. И ваше мнение от того, как будет работать pfSense с с двумя провайдерами может целиком зависеть именно от него.
    По сути вопроса - с точки зрения работы с multiwan - pfSense, IMHO, весьма логичное, просто настраиваемое и надежное решение.
    В прочих аспектах, впрочем, - тоже.

    0
  • S

    Решил не связываться с VirtualBox и сделать всё в железе. Надеюсь на таком стэнде проверить Policy-Routing и ещё - Failover

    Как думаете, будет такое работать ?

    0_1534088085824_Physical Dual-WAN Lab.png

    0
  • S

    Схемку собрал и теперь отрабатываю Policy-Routing и Advanced Outbound NAT.
    Всё работает, кроме Port Forwarding.

    --- Дополнения к картинке ---

    1. Static Routes на домашнем роутере НЕ НУЖНЫ так как pfsense делает трансляцию адресов, которая скрывает Source-адреса с LAN-сегмента за pfsense (192.168.10.0/24)

    2. IP на WAN-1 и WAN-2 интерфейсах могут быть не-статик. Потому что в настройках pfsense фигурирует "WAN address" то есть - любой в пределах соотв. subnet.

    0
  • W

    Доброго.

    Всё работает, кроме Port Forwarding.

    При создании правил форвардинга указывать необход. вам шлюз. Иначе будет использоваться дефолтный.

    0
  • S

    Werter, Спасибо за совет. Значит дл я Port forwarding надо менять не только Интерфейс, но и Шлюз. Учту...

    Кстати о Шлюзах : в случае с с двумя провайдерами - оба назначать как Default Gateway, или только одного ?

    0
    P
    O
     2 Replies
  • P

    @strannik said in Два Интернет провайдера - Policy Routing:

    оба назначать как Default Gateway, или только одного

    Одного.
    А что, оно дает выбрать оба?

    0
  • S

    pigbro, я имел в виду - в настройках System->Routing->Gateways->Edit. Там на каждый gateway можно поставить галочку "Default Gateway". Таким образом, у меня провайдеров два и шлюзов тоже два.

    Оба шлюза будем использовать (для разного трафика), Gateway Group делать не будем. Пока что я оставил только быстрого провайдера, как основного - то есть Default. Потому, что через медленного провайдера мы хотим оставить только VoIP трафик.

    Правильно-ли сделан дизайн или надо что-то менять

    0
    P
     1 Reply
  • O

    @strannik

    **оба назначать как Default Gateway, или только одного**

    А разве можно назначить оба Default Gateway ?

    Назначается какой нибуть один.

    0
  • P

    @strannik said in Два Интернет провайдера - Policy Routing:

    Правильно-ли сделан дизайн или надо что-то менять

    Правильно. Создание\несоздание группы ни на что не влияет, просто после создания можно будет указать "групповой" шлюз - это расширит возможность управлять балансировкой\файловером.
    Шлюз по умолчанию pfSense при желании умеет переключать сам, но нужен он только самому pfSense для обновлений\синхронизации времени и т.д.
    Для клиента LAN при явном указании шлюза нужного ISP то, что назначено шлюзом по умолчанию pfSense безразлично. Упал этот ISP - у него нет интернента.

    0
  • O

    Какой из шлюзов выбран по Default Gateway видно в System / Routing / Gateways и два здесь выбрать нельзя : или-или

    0
  • S

    в том-то и дело, что можно: в настройках на КАЖДЫЙ шлюз можно поставить галочку "Default Gateway" и тогда оба показаны как (default)

    Я пока-что оставил один (быстрый). По нему и сам pfsense будет, например - время сверять (как pigbrother обЪяснил). Значит, направление исходящего трафика задаётся прямым указанием шлюза в правиле LAN. И ещё NAT нужно перенаправить на нужный интерфейс (WAN-2). У нас NAT вручную так, как с 3CX-сервера нужно транслировать Static Port

    0
    O
    P
     2 Replies
  • O

    @strannik said in Два Интернет провайдера - Policy Routing:

    в том-то и дело, что можно: в настройках на КАЖДЫЙ шлюз можно поставить галочку "Default Gateway" и тогда оба показаны как (default)

    Вы точно уверены ? что оба показаны как (default)

    0
  • S

    Точно оба: у меня были два Шлюза - первый в Интернет, второй - на L3 комутатор. И оба в списке были показаны как "Default Gateway". Я на это не обращал внимания. А сейчас оставил только ИнтернетьШлюз как Default.

    0
  • P

    @strannik said in Два Интернет провайдера - Policy Routing:

    И ещё NAT нужно перенаправить на нужный интерфейс (WAN-2). У нас NAT вручную так, как с 3CX-сервера нужно транслировать Static Port

    Если нужен Static Port - то вероятно да, нужно ручное правило NAT. Для просто доступа в интернент через конкретного ISP достаточно правила на LAN.

    @strannik said in Два Интернет провайдера - Policy Routing:

    в том-то и дело, что можно: в настройках на КАЖДЫЙ шлюз можно поставить галочку "Default Gateway" и тогда оба показаны как (default)

    И это видно после сохранения настроек? Можно скриншот?

    Официальная документация говорит следующее:
    https://www.netgate.com/docs/pfsense/routing/gateway-settings.html
    Default Gateway: A checkbox to control whether this gateway is the default gateway for this Address Family. Only one gateway may be the default for either IPv4 or IPv6.

    0
  • S

    Вы обсолютно правы: только один DG. Меня сбил с толку наш L3-комутатор: к нему тоже есть маршрут и его можно установить как Default. Но для WAN, действительно сохраняется только один DG

    0_1534280687658_Default Gateway.png

    0
 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy