1 WAN и 3 LAN

AFZ

Приветствую Всех!
Подскажите, как можно реализовать данную схему для простого домашнего роутера:

• WAN порт для ISP;
• LAN 3 штуки, в одном широковещательном домене, с одним DHCP сервером.
  Много мурзилок есть в сети по настройке, но на версии 2.4.4 p1 настроить полностью не получилось. На более ранних версиях PF по этим же мурзилкам настривал схему WAN + LAN + Wi-Fi, и там было два рабочих варианта, когда был простой бридж и вайфай спокойно работал с DHCP сервером.
  Попробовал с 2.2.6 версией PF по этой мурзилке https://forum.netgate.com/topic/50735/pfsense-lan-bridging-walktrough Эффекта нет, один из интерфейсов из моста, не получает адрес по DHCP и не имеет доступа никуда.

werter

Доброго.

По всем вопросам сперва сюда https://www.netgate.com/docs/pfsense/book/ В закладки.

По Вашему вопросу - https://www.netgate.com/docs/pfsense/book/bridging/index.html.

На заметку. Первым делом на свежеустановленном Pfsense вкл. логирование. 99% проблем решаются чтением логов.

AFZ

@werter said in 1 WAN и 3 LAN:

Доброго.

По всем вопросам сперва сюда https://www.netgate.com/docs/pfsense/book/ В закладки.

По Вашему вопросу - https://www.netgate.com/docs/pfsense/book/bridging/index.html.

На заметку. Первым делом на свежеустановленном Pfsense вкл. логирование. 99% проблем решаются чтением логов.

Конечно, про это все смотрел и читал. Но, в моём случае проблема заключалась в двух моментах:

1. "Разношерстные" по скорости сетевые адаптеры, - гигабит и 100 мегабитные карточки. Поэтому ДО объединения интерфейсов в бридж, вручную в настройках интерфейсов необходимо выставить 100baseTX <full-duplex>, а не дефолт или автоселект режимы. Т.к после переключения LAN на ваш BRIDGE, гигабитный адаптер не заработает, до ручного выставления данной настройки;
   По мануалу, которым пользовался я, на пункте 5. "Assign BRIDGE0 to LAN Network Port", идет потеря соединения с веб-интерфейсом, необходимо ОБЯЗАТЕЛЬНО перезагрузить PF с кнопки, и переключиться физически в новый порт, чтобы снова получить доступ к веб-интерфейсу;
2. После успешной настройки, при проверке скорости соединения через тот же speedtest.net, результаты неприятно удивили: на загрузку я получил 67 Мбит\с, на выгрузку 4 Мбит\с. Внутри моста, между портами скорость не тестировал, отпишусь позже. До объединения портов в мост, скорость составляла: на загрузку 97 Мбит\с, на выгрузку 95 Мбит\с;
   И как общий вывод: если вы хотите объединить несколько интерфейсов LAN, через простой BRIDGE, чтобы работать с ними как с обычным свитчем, в случае наличия разных по скорости сетевых адаптеров, обязательно в настройках каждого интерфейса, входящего в BRIDGE, обратите внимание на поле "Speed and Duplex". Также возможно падение пропускной способности как при работе с WAN интерфейсом, так и между портами в самом мосту.
   В моём случае железо было ASRock AD2700-ITX с 4 Гб памяти, набортный гигабитный Realtek RTL8111E и 3 шт. usb to lan адаптера D-Link Dub-e100 старого образца ревизии B1, версию PF использовал 2.4.4 p1 x64 и дополнительно проверял на 2.2.6 x64

Konstanti

@afz Добрый день
Т е сейчас есть проблемы с работой моста ?
Верно ?
Покажите пож , вывод команды
sysctl -a | grep net.link.bridge
и ifconfig -m
и что настроено в правилах бриджа и интерфейсов , входящих в состав моста?
По умолчанию , в PF настроена фильтрация на всех элементах моста , кроме самого интерфейса моста (L3 switch). Создайте разрешающие правила на всех интерфейсах LAN1,LAN2,LAN3 и проверьте работоспособность моста. IP адрес должен быть только у одного из трех ваших интерфейсов

AFZ

@konstanti said in 1 WAN и 3 LAN:

@afz Добрый день
Т е сейчас есть проблемы с работой моста ?
Верно ?
Покажите пож , вывод команды
sysctl -a | grep net.link.bridge
и ifconfig -m
и что настроено в правилах бриджа и интерфейсов , входящих в состав моста?
По умолчанию , в PF настроена фильтрация на всех элементах моста , кроме самого интерфейса моста (L3 switch). Создайте разрешающие правила на всех интерфейсах LAN1,LAN2,LAN3 и проверьте работоспособность моста. IP адрес должен быть только у одного из трех ваших интерфейсов

Приветствую!
Да проблемы остались с мостом, один интерфейс исключил из него и оставил как OPT. И скорость при этом возросла на загрузку до 75 Мбит\с, выгрузку до 10 Мбит\с. В фаерволле создана группа портов, входящих в мост и создано одно разрешающее правило на доступ, аналогичное стандартному для LAN. Вывод команд не могу (либо не знаю как) прикрепить в сообщение, ругается на спам (((

Konstanti

@afz Еще разок
правило не одно на всю группу , а на каждого члена группы !!!!
Вывод команд можно в виде картинок в сообщение можно вставить

AFZ

@konstanti said in 1 WAN и 3 LAN:

@afz Еще разок
правило не одно на всю группу , а на каждого члена группы !!!!
Вывод команд можно в виде картинок в сообщение можно вставить

Попробовал для каждого из членов группы дать разрешающее правило - эффекта нет.
sysctl -a | grep net.link.bridge:

net.link.bridge.ipfw: 0
net.link.bridge.allow_llz_overlap: 0
net.link.bridge.inherit_mac: 0
net.link.bridge.log_stp: 0
net.link.bridge.pfil_local_phys: 0
net.link.bridge.pfil_member: 1
net.link.bridge.ipfw_arp: 0
net.link.bridge.pfil_bridge: 0
net.link.bridge.pfil_onlyip: 0

Konstanti

@afz Если можно , ifconfig -m
и картинки правил
И еще раз , поясните суть проблемы .
и для начала
если выполнить команду
sysctl net.link.bridge.pfil_member=0
что-нибудь поменяется ?

Konstanti

@afz Или ничего не меняя
создайте вот таких 2 правила на интерфейсе моста ,который не получает Ip адреса
Обратите внимание на второе правило ( на адрес сети )

AFZ

@konstanti said in 1 WAN и 3 LAN:

@afz Или ничего не меняя
создайте вот таких 2 правила на интерфейсе моста ,который не получает Ip адреса
Обратите внимание на второе правило ( на адрес сети )

Благодарю за помощь, но проблема не в этом. Суть в том, что бридж собран, настроен (DHCP и пинги, все работает), но пропускная способность его при работе с WAN интерфейсом низкая, 70 Мбит\с на загрузку и на выгрузку 10 Мбит\с. Пропускную способность между портами бриджа, еще не проверял. Отпишусь чуть позже, сейчас надо уезжать.

Konstanti

@afz Попробуйте выставить ту переменную в 0 , как я выше написал
Это переведет бридж в режим L2 . Возможно это поможет
Кстати , чтобы убедиться , что проблема именно в мосту , можно
установить пакет iperf
и погонять его
1 с локального компа ( клиент) до pf (сервер)
2 с локального компа ( клиент) до другого локального компа ( сервер)
3 с локального компа ( клиент) до любого iperf сервера
например , https://iperf.cc/ru/
https://iperf.fr/iperf-servers.php
4 c pf ( клиент) до любого iperf сервера

pigbrother

@afz said in 1 WAN и 3 LAN:

набортный гигабитный Realtek RTL8111E и 3 шт. usb to lan адаптера D-Link Dub-e100 старого образца ревизии B1,

3 шт. usb to lan возможно, ожидать от них полноценной работы в бридже несколько оптимистично.

Понимаю ваше желание получить "все в одном".
Раз бридж, из которого вы хотите получить обычный "свитч" ведет себя неадекватно - не проще ли поставить перед LAN копеечный железный свитч и коммутировать устройства в LAN на нем?

werter

Доброго.

@AFZ

набортный гигабитный Realtek RTL8111E и 3 шт. usb to lan адаптера D-Link Dub-e100 старого образца ревизии B1,

Практически любой сегодняшний TP-Link 74X, 84X, 94X, 10XX И т.д. (и даже б\у с авито), перешитый в Openwrt, умеет VLAN. Используйте эту возможность (еще и wi-fi получите в довесок). Не нужно устраивать из pfsense "ёжика" , утыканного usb-to-eth-свистками. Будьте умнее.

Скрин с tp-link 841nv9.

Порт LAN3 на нем настроен как trunk-ый - untag vlan 2 + tagged vlan 1 + 3.

Если не нравится такой вариант и есть возможность купить готовый L2-свитч, то :

Я.Маркет (новое):
TP-LINK TL-SG1016DE ~6000 рэ
TP-LINK TL-SG108E ~ 2300 рэ
TP-LINK TL-SG2008 ~ 5000 рэ (выше классом, чем предыдущие)
Свитчи гигабитные. Зеркалирование портов, стекирование присутствуют даже в самой дешевой модели. Работают 2-й год. Доступное и надежное решение.

P.s. Классный цикл статей https://linkmeup.ru/blog/13.html Пользую сам и всем рекомендую )

pigbrother

@werter said in 1 WAN и 3 LAN:

перешитый в Openwrt, умеет VLAN

VLANы - это замечательно. Не увидел, правда, где ТС говорил, что они ему нужны.

@werter said in 1 WAN и 3 LAN:

Не нужно устраивать из pfsense "ёжика" , утыканного usb-to-eth-свистками

Тут с вами абсолютно согласен. Выше ТС об этом тоже написал.

yarick123

@pigbrother said in 1 WAN и 3 LAN:

VLANы - это замечательно. Не увидел, правда, где ТС говорил, что они ему нужны.

@pigbrother подозреваю, @werter имел в виду следующее.

У компьютера есть одна встроенная гигабитная сетевая карта (WAN). Три остальных - USB карты на 100 мегабит/с, из которых собирается мост (LAN), с которым и наблюдаются проблемы.

Более хорошим решением было бы воткнуть в свитч три LAN кабеля в одну vlan, WAN кабель в другую vlan и pfSense кабель в trunk порт, работающий с этими двумя vlan. Таким образом избавляемся от сомнительных USB-карт и конфигурации моста.

pigbrother

@yarick123 said in 1 WAN и 3 LAN:

@werter имел в виду следующее.

Согласен, это вариант.

AFZ

Очень признателен всем за помощь и советы!

Появилась минутка, проверил скорость между портами внутри бриджа, полное разочарование в пределах 2 Мб\с, при чем даже не на множестве мелких файлов, а взял фильм, и попробовал с хоста на хост перекинуть.
Если я правильно понял, мне лучше взять любой L2 управляемый коммутатор, оставить у PF два интерфейса WAN и LAN, на последнем расписать VLAN, далее подключаю уже коммутатор и на нем группирую нужные порты в нужные VLAN. Или я ошибаюсь? Насколько помню, самый примитивный dir-100, вроде бы, умел работать с VLAN. Дома довольно много устройств: домашний nas, ps4, стационарный пк, iptv приставка, точка доступа и т.д, мобила и т.д.

werter

Добрый.
@afz

Дома довольно много устройств

Так вы это дома мудрите?

Найдите самый простой гигабитный свитч (чтобы с запасом, ага), воткните в него все свои "богатства" и не мучайтесь.

Или выберите здесь https://wikidevi.com/wiki/List_of_Padavan_firmware_supported_devices железку с гигабитными портами, приобретите, накатите на нее Padavan-а (это не сложно , на 4PDA есть целая ветка) и радуйтесь жизни.

@yarick123
Спасибо )

pigbrother

@werter said in 1 WAN и 3 LAN:

Так вы это дома мудрите?

@afz said in 1 WAN и 3 LAN:

Подскажите, как можно реализовать данную схему для простого домашнего роутера

pigbrother

@afz said in 1 WAN и 3 LAN:

оставить у PF два интерфейса WAN и LAN

Не совсем. У PF остается 1 интерфейс - LAN. На этом интерфейсе вы создаете VLAN, который и назначаете WAN.
Создать VLAN и для WAN нужно до удаления нынешнего WAN, т.к. PF может не дать удалить единственный WAN.
Проделать это, возможно, придется в консоли.

Вариант без VLAN - докупить сетевую карту, вставить ее в ASRock AD2700-ITX. Одно но - у AD2700-ITX нет поддержики PCIexpress.