Как правильно организовать работу 2х физических шлюзов?
-
Имеется 2 физических сервера ПФ каждый имеет свой IP WAN(скажем 10.0.0.1 и 10.1.0.1) и IP LAN (192.168.1.1 и 192.168.1.2). Сделано так было чтобы обеспечить отказо устойчиовсть сети(конфиги между ними синхронизируются). теперь вопрос если сделать проброс портов(HTTP) из WAN1 на локальную машину все работает, а вот если сделать проброс с WAN2 то ответов не поступает(страничка не открывается). Шлюзом по умолчанию прилетает LAN1. понимаю что придется крутить маршрутами, но елси я отстрою шлюз 1 тогда у меня всеравно останутся проблемы если он упадёт?
-
Добрый.
На обоих ВАНах реальные\ не серые IP?
Что стоит шлюзом в настройках fw на LAN для той машины, к к-ой нужно организовать проброс портов? Должен быть GW_Group из WANов и правило это должно стоять выше.
Плюс попробовать stickly connections покрутить.Покажите скрины правил fw на ЛАН, NAT, port forwarding.
-
@k0st1k
Nat outbound используйте на lan интерфейсах pf
тогда клиенту будет прилетать не внешний ip , а ip адрес lan шлюза
и отвечать он будет на этот ip -
на WAN реальные IP(белые) адреса.
на машине стоит по дефолу шлюзом LAN1 192.168.1.1
тоесть мне необходимо на певром шлюзе организивать мультиван груп из 2х шлюзов первым будет wan1. а второй какой? скрин правил для fw не покажу) там дефолт) один шлюз статичных маршрутов нет. -
Достаточно будет одного NAT OUTBOUND
для pf c wan2 -
-
Это linux iptables
но смысл тот же
-
@k0st1k
Скорее всего так
-
@konstanti я про этот вариант догадался. не сразу правда. так вот он не сработал и уже после этого написал тут.
-
@k0st1k
Давайте разбираться
1.ip адрес lan pf2 ?
2.пробрасываем только 80 порт ?
3. запускаем packetcapture на lan интерфейсе pf2 и смотрим , что происходит , когда пакет приходит на wan интерфейс pf2 -
- Проброс необходимо сделать на машину в локальной сети 192.168.1.10(веб сервис)
- Да для начала необходимо разобраться только с http
- это мобильный с которого проверяю 178.176.170.252
wan 83.239.157.2
13:27:25.664112 IP 51.15.170.21.47898 > 83.239.157.2.8080: tcp 0
13:27:28.387901 IP 185.176.27.166.42414 > 83.239.157.2.58057: tcp 0
13:27:41.777688 IP 83.239.156.2.38359 > 83.239.157.2.23: tcp 0
13:27:50.827217 IP 185.156.177.129.53487 > 83.239.157.2.5303: tcp 0
13:27:52.108395 IP 185.176.27.166.42414 > 83.239.157.2.57854: tcp 0
13:27:54.365528 IP 178.176.170.252.11131 > 83.239.157.2.80: tcp 0
13:27:54.625240 IP 178.176.170.252.3311 > 83.239.157.2.80: tcp 0
13:27:55.364859 IP 178.176.170.252.11131 > 83.239.157.2.80: tcp 0
13:27:55.530315 IP 185.176.27.166.42414 > 83.239.157.2.58417: tcp 0
13:27:55.624814 IP 178.176.170.252.3311 > 83.239.157.2.80: tcp 0
13:27:57.344535 IP 178.176.170.252.11131 > 83.239.157.2.80: tcp 0
13:27:57.624931 IP 178.176.170.252.3311 > 83.239.157.2.80: tcp 0
13:28:01.364786 IP 178.176.170.252.11131 > 83.239.157.2.80: tcp 0
13:28:01.624776 IP 178.176.170.252.3311 > 83.239.157.2.80: tcp 0
13:28:09.404770 IP 178.176.170.252.24374 > 83.239.157.2.80: tcp 0
13:28:09.447491 IP 195.3.146.92.48070 > 83.239.157.2.10714: tcp 0
13:28:09.624894 IP 178.176.170.252.2550 > 83.239.157.2.80: tcp 0
13:28:17.852483 IP 222.73.52.31.53338 > 83.239.157.2.1433: tcp 0
13:28:25.686643 IP 178.176.170.252.52063 > 83.239.157.2.80: tcp 0
13:28:25.945277 IP 178.176.170.252.13055 > 83.239.157.2.80: tcp 0
13:28:25.955417 IP 188.19.187.5.60629 > 83.239.157.2.23: tcp 0
13:28:26.664896 IP 178.176.170.252.52063 > 83.239.157.2.80: tcp 0
13:28:26.944766 IP 178.176.170.252.13055 > 83.239.157.2.80: tcp 0
-
@k0st1k
я не вижу , что работает NAT OUTBOUND на lan интерфейсе !!!!!!!
нужен packetcapture на lan интерфейсе
вы должны видеть ip адрес lan интерфейса и 192.168.1.10
вот как это выглядит при правильной настройке
-
@konstanti я тоже не увидел.
13:45:07.175272 IP 10.0.8.3.60629 > 193.125.0.2.8443: tcp 0
13:45:07.175291 IP 10.0.8.3.60629 > 193.125.0.2.8443: tcp 0
13:45:07.175391 IP 10.0.8.3.60629 > 193.125.0.2.8443: tcp 0
13:45:07.220221 IP 10.0.8.3.60629 > 193.125.0.2.8443: tcp 0
чтото не так. 10.0 это впн с соседнего шлюза. и более обращений нет.
тестовая сеть и пробрасваю на 193.125.5.24 -
@k0st1k проброс случайно не удалили?
Я не вижу пакетов на 80 порт
Ip lan интерфейса какой?- тут работает связка проброс плюс нат
-
@k0st1k
Первое действие проброс 80 порта на Wan интерфейсе к хосту 192.168.1.10 порт 80
Второе действие, замена внешнего ip клиента на ip адрес lan интерфейса pf
В результате 1.10 получит запрос от ip lan интерфейса pf и ответит на этот ip -
@konstanti первое я в nat выставил в NAT
Hybrid Outbound NAT rule generation.
(Automatic Outbound NAT + rules below)
и в Rules создаю правило на проброс порта? -
@k0st1k я обычно все делаю в manual Nat outbound. Правило файрвола при пробросе создаётся автоматически. Покажите настройки правила проброса внутри, правило Nat outbound внутри и все правила на Wan интерфейсе общая картинка. И схему сети
-
@konstanti красота) спасибо. сработало перевод в ручной режим.
-
@k0st1k
Скрины как настроили. Пригодится. -
сначала переводим NAT в ручной режим
на LAN интрефейсе создаем правило(оно необходимо чтобы был ответ как локальному ресурсу)
и уже потом создал правило по пробросу
