Два интернет-соединения(не бейте, в топика &#



  • Вобщем вопрос тривиальный, знаю что pfsense имеет такую возможность но ни в документации ни на форумах не могу найти информацию по этой теме.
    Задача такая: есть локалка и есть ДВА интернет соединения, самых обычных, без всяких VPN итд. Желательно сделать так чтобы весь трафик шёл через WAN, а когда там происходит перебой, чтобы все локальные юзеры заворачивались на резервный канал через OPT1
    Также интересен вариант настройки балансировки между двумя инет-соединениями.
    Так примеров настойки не нашёл, то настраивал всё сам, работоспособность ещё не проверял, так как до внедрения ещё время не дошло, поэтому хотелось бы услышать советы, как и что настраивать, чтобы быть во всеоружии в процессе внедрения



  • Load Balansing файловер или обычный. Смотреть ваглицкой ветке и в доках на сайте.



  • не стал создавать новую тему . Проблема у меня такая . поставил pfsense , поднял multiwan, всё хорошо , всё работает . Каналы нагружаются примерно поровну . Тут всё хорошо . Проблема в другом . Что бы я не пропиcывал в правилах firewall ничего не работает .

    вот например

    Как я понимаю всё должно работать кроме аськи . Хрен там , аська работает .
    И всё мои эксперементы с фаерволом  сводятся к тому,  что ничего не происходит .

    Что я делаю не так ???



  • @ToXaNSK:

    Что то я не понял. ???
    В первом правиле вы запрещаете АСЮ, а во втором все разрешаете!?
    Вот АСЯ и работает… ВСЕ РАБОТАЕТ  ::)
    Если надо запретить АСЮ, содавайте правила на то,что разрешено. Я так понимаю...
    Вроде по умолчанию все запрещено.
    ПОправте меня если я не прав.

    Первое запрещающее правило работает.



  • @ToXaNSK:

    :o Понятно. Бум знать.
    Тогда может быть не работает по тому, что локальный порт у аси, имею ввиду клиента, не есть порт 5190!?
    Может там где Source Port постовить any!?

    dvserg

    Т.е. если созданы разрешающие правила на определенные порты, то в конце, самым последним, должно быть запрещающее правило для всего и вся!!!???

    Угу, точно оно. Локальный порт у всех нормальных приложений кроме типа фтп назначается первый попавшийся из диапазона >1024  В данном 1 правиле SRC порт должен быть any.

    По поводу политики распределения правил (какой порядок) - все зависит от подхода
    Либо 'все разрешить кроме..', тогда идут сначала запреты а потом общее разрешение,
    либо 'разрешить только..' - в этом случе присутствуют только разрешающие правила.
    Если внимательно почитать коммент в гуе, то там сказано, что присутствует заключительное запрещающее все и вся скрытое правило.



  • Спасибо большое . На самом  деле не надо было src прописывать .

    Второй вопрос. MultiWan и Squid . Как  ? Может кто то из гуру напишет простым и доступным языком ?
    А то перерыл английскую часть форума , ничего внятного не нашёл .

    Думаю тема многим интересна .



  • Не поддерживается. Есть вариант покопать инет, так как сам свид по-моему это может



  • Простого способа значит нет .

    Может можно 2 прокси поднять ? Если мысль наивная , не смейтесь я слишком далёк от этого.

    Или  может кто ещё что посоветует ? Надо считать трафик на юзера , надо иметь красивый отчёт кто куда ходил . И надо иметь возможность блокировать некоторые сайты.



  • @rencom:

    Может можно 2 прокси поднять ? Если мысль наивная , не смейтесь я слишком далёк от этого.

    Или  может кто ещё что посоветует ? Надо считать трафик на юзера , надо иметь красивый отчёт кто куда ходил . И надо иметь возможность блокировать некоторые сайты.

    а в чем проблема в настройках прокси, прокси интерфейс ставишь LAN



  • Проблем никаких , кроме того что при этом нагрузка перестаёт распределяться по каналам . Всё начинает идти через WAN интерфейс . а OPT1 простаивает .

    Мне конечно не сложно поднять прокси на другой машине . Но неужели нет более красивого способа ?



  • И продолжение вопроса. Возможно как то использовать squid находящийся находящийся на другой машине ( в LAN подсети ) прозрачно для пользователей. Чтоб машина с Pfsense осталось шлюзом ?



  • @rencom:

    И продолжение вопроса. Возможно как то использовать squid находящийся находящийся на другой машине ( в LAN подсети ) прозрачно для пользователей. Чтоб машина с Pfsense осталось шлюзом ?

    Да Маппинг должен помочь



  • Угу … мапинг .... Только как это ? Намякните немного , что и где надо делать ?

    Например у меня PfSense с адресом 192.168.0.100  На машине с адресом 192.168.0.200 поднят Transparent proxy допустим на 800 порту .

    Что и где мне надо прописать ? С учётом того что вторая машина на win 2003 .



  • С мапингом наврал - давно с праилами через гуй не общался



  • То есть нельзя ?



  • @rencom:

    То есть нельзя ?

    Пока хызы - руками правила можно сделать а вот в гуе - надо тестить



  • @rencom:

    Угу … мапинг .... Только как это ? Намякните немного , что и где надо делать ?

    Например у меня PfSense с адресом 192.168.0.100  На машине с адресом 192.168.0.200 поднят Transparent proxy допустим на 800 порту .

    Что и где мне надо прописать ? С учётом того что вторая машина на win 2003 .

    firewall -> NAT
    там все хорошо расписано



  • @zar0ku1:

    @rencom:

    Угу … мапинг .... Только как это ? Намякните немного , что и где надо делать ?

    Например у меня PfSense с адресом 192.168.0.100  На машине с адресом 192.168.0.200 поднят Transparent proxy допустим на 800 порту .

    Что и где мне надо прописать ? С учётом того что вторая машина на win 2003 .

    firewall -> NAT
    там все хорошо расписано

    Тебе удавалось натить с интерфейса LAN обратно в подсеть LAN ?



  • @dvserg:

    Тебе удавалось натить с интерфейса LAN обратно в подсеть LAN ?

    Именно на pfsense не пробовал, не нужно было пока, на Freebsd - да, конечно
    либо NAT, либо rinetd



  • Если время позволит - покопаю чего он там генерит в правилах ната..



  • Бью челом , помогайте , руки под другое заточенны  …. ничего сделать не могу  :(
    Понял я что squid и мультиван по простому не подружить . Хрен с ним , поставлю ещё один системник под прокси . Благо системников старых много .

    Но вот проблема как сделать так чтобы все запросы ( прозрачно для пользователей ) перенаправлялись со стандартного шлюза на ту машину на которой стоит прокси ?

    Гуру ,помогайте .



  • В общем так.
    Мою схему я где-то тут расписывал. В балансирующий шлюз я вставил 4 карты.
    LAN 192.168.1.1 сеть 192.168.1.0/24 - общая сетка, через этот интерфейс ходят избраные приложения с некоторых компьютеров, в нее перенаправлены порты внешних www и почтовика (правильнее, конечно их во вторую подсеть засунуть, но руки пока не доходят)
    LAN2 192.168.2.1 сеть 192.168.2.0/24 - Сеть куда смотрит WAN интерфейс машины где squid, и где со временем будут почтарь и www
    WAN и WAN2 - собственно, настроены по требованиям провайдеров, между ними балансировка.
    Вторая машинка:
    LAN 192.168.1.2 сеть 192.168.1.0/24 общая сетка.
    WAN 192.168.2.2 сеть 192.168.2.0/24 - выводит на балансировку.
    Сквид настроен как transparent. DHCP всем выдает 192.168.2.2 в качестве шлюза по умолчанию, кроме некоторых машин с которых можно бегать в обход напрямую на балансирующий сервер (четко прописано кому, куда и на какой порт, иначе - добро пожаловать через прокси). Дополнительно адрес прокси указан в политике домена.

    Подружить сквид с мультиваном при балансировке сложно. Там надо лезть в настройку еще и постоянных маршрутов. Причем рыба конфига прописана жестко. То есть если отредактироать правила ручками, прописать маршруты то оно проработает. А в полночь применится конфиг (config.xml) который потрет все файлы с настройками и превратит тачку в тыкву  :-
    Заморачиваться с переписыванием .php и .xml я не стал, благо списанного барахла было немеряно.

    Можно, наверно, и без дополнительной подсетки обойтись - правило 1:
    "у всего, что идет с IP-squid'ового сервера gateway=loadbalance/failover"
    правило 2:
    "у всего, что не IP-squid'ового сервера gateway=IP-squid'ового сервера"
    Тогда все будут слать на шлюз по умолчанию, тот на сквид (он типа transparent, перехватывает запрос и обрабатывает его) и отсылает опять же на шлюз по умолчанию, но уже от своего имени.
    Дальше можно еще сильнее заморочится с портами-айпишниками, но это уже по желанию.



  • Понял , но как то не совсем красиво .  :)
    А можно как то перенаправлять  запросы из LAN на прокси находящийся в LAN сегменте ?

    Как такое правило написать ? И останется ли доступ к веб морде шлюза ?



  • Виноват, конечно, всем выдается шлюз 192.168.1.2 …
    И, конечно, через вебмордочку не получится настроить шлюзом адрес из подсети LAN.
    Такое нужно прописывать отдельным правилом pf... причем, опять же до полуночи :-
    А вот функционированию вебмордочки это не помешает.
    И на счет не красиво... практика показала что даже как-то удобно. То есть всяким хитровыдуманым клиентам банков и прочей нечисти прописывается 'route -p add ...' маршруты до серверов этих банков. А все, что идет с прокси дополнительно обрезается на шлюзе, по скорости и прочему. Транспарент сквид обрезает все попытки юзать торренты, качать мыло с внешних ящиков, серфить где ни попадя...
    Пока вяло обдумывается идея высадить все это на один сервер в разные VM. Вроде из плюсов - только сокращение проводов, хотя, чем ни занятие, если вдруг случится ситуация "ну совершенно, то есть - абсолютно делать нечего"...



  • @rencom:

    Понял , но как то не совсем красиво .  :)
    А можно как то перенаправлять  запросы из LAN на прокси находящийся в LAN сегменте ?

    Как такое правило написать ? И останется ли доступ к веб морде шлюза ?

    Попробовать задать на Lan Virtual IP 'other' c адресом вашего прокси
    и затем правило outbond NAT src=any dest=!lansubnet port 80 > ВашVirtualIP port proxy
    НО перед ним нужно сделать NoNat правило с вашей прокси-машинки в любую сторону на 80 порт.

    Ну и правила файервола соотв выставить.
    Сразу скажу, что я этот вариант не пробовал (у меня бридж), но на тестовой системе формирует правильные нат правила. Единственно что еще может дать косяк - VirtualIP. Вроде-бы other не должен апдейтится в систему в отличии а ARP и Carp.



  • Много понял , но вот это не совсем
    НО перед ним нужно сделать NoNat правило с вашей прокси-машинки в любую сторону на 80 порт.
    Можно разжевать подробнее ?



  • @rencom:

    Много понял , но вот это не совсем
    НО перед ним нужно сделать NoNat правило с вашей прокси-машинки в любую сторону на 80 порт.
    Можно разжевать подробнее ?

    Ну вот смотри - ты делаешь правило натить все обращения наружу на 80 порт из лана к проксевой машинке. Авот ее нужно исключить из списка, чтобы ее не натить. Для этоо перед правилом ната там-же делаем правило для проксевой машины с опцией нонат (src=проксевая тачка dst=any port 80 NONAT)



  • Понял , но в Source можно указать только Network или  Any ?



  • network с маской в 32 бита - это собственно хост :)
    И еще, нужно не только 80 порт перебросить, но и 443. Лучше завести алиас, куда накидать все порты (для начала 80,443,8080,3128 - соответвтвенно http, https и классические прокси, например, whois-сервис на ripn.net висит на 8080, где-то еще такое встречалось) и потом добавлять-удалять записи в алиас.



  • Вводная . Шлюз 192.168.0.110
    Прокси 192.168.0.100

    При указании прокси в настройках браузера всё работает .
    А вот при таких правилах ничего не происходит.
    Где ошибся ?




  • А прокси прозрачный?




  • Да … прозрачный .



  • А если шлюзом по умолчанию поставить 192.168.0.100 на одной машине и проверить - будет ли интернет?
    Если будет - то дело в NAT, если не будет - крутить прокси.



  • Ну выставить шлюзом 192.168.0.100 проблем конечно никаких. И всё работать будет .
    Но это просто некрасиво.  :-\

    Я прекрасно понимаю что это самое простое решение проблемы . Я понимаю что пользователи этого и не заметят , разве что TTL на 1 изменится .
    Но некрасиво .

    Гуру , помогайте  :) С меня коньяк. Найду способ переправить ( я на Урале )



  • rencom
    картиночку NAT можно посмотреть?



  • @Mailer:

    rencom
    картиночку NAT можно посмотреть?

    Вложение чуть выше . Или не то ?

    Тут ещё интересный факт нарисовался . На машине которая прокси 2 сетевые карты  . Lan 192.168.0.100 и WAN 192.168.0.105

    Так вот весь трафик который идёт через прокси крутится на LAN интерфейсе . Через WAN ничего не идёт . При этом прокси нормально работает . Как так ?




  • А если добавить в NoNAT оба интерфейса прокси?
    То, что используется LAN интерфейс - это нормально. Тоже задавался такими вопросами, потом внимательно просмотрел вывод pfctl -sa и чего-то еще, понял последовательность перенаправлений и думать про такое забыл. Кстати, может WAN интерфейс откнуть в пустой свитч? Просто чтоб состояние было "up", а пакеты кругами не ходили. Работать будет - проверено.
    Кстати, а почему Вы сделали NoNAT с LAN адреса прокси, если ожидали, что траффик пойдет через WAN интерфейс?


Log in to reply