4 WAN в 1 LAN



  • @scodezan
    Ваша правда , не получится проброс портов изнутри - наружу
    Надо подумать , можно ли стандартными средствами это сделать



  • @scodezan said in 4 WAN в 1 LAN:

    Где меняем то? В строке адреса http://ya.ru:80/ ?
    Да, проксифаер и 3proxy совсем не одно и то-же.

    1. В настройках прокси на мозиле.
    2. Нет конечно, но по завернуть хватает.
      Хотелось бы вообше без 3proxy, ресурсами pf обойтись.
      Ну если по-другому никак, то можно попробовать поднять 3proxy на самом pf и разрешить доступ из Lan по лог/пар. Но как это будет работать я не совсем представляю.
      Нашол тему как на распике подымают аналогичное, может получится адаптировать:
      partnerkin.com/tribuna/blog_sensey/kak_podnyat_mobilnye_proksi_3___nastrojka_i_zapusk


  • @gena77, какова вообще цель мероприятия? Оперативно менять исходящий IP? Модемы работают с разными провайдерами?



  • @pigbrother said in 4 WAN в 1 LAN:

    Оперативно менять исходящий IP? Модемы работают с разными провайдерами?

    Да всё верно.
    Ситуация осложняется тем что модемы stick не hilink. То-есть статики нет, обратится не к чему. Поэтому нужна прослойка (3proxy и т.п.), или в pf что-то есть но я не знаю. Уже неделю копаю, но везде свои нюансы
    В идеале всё тоже что по ссылке выше, но на pf.



  • @gena77 Для смены IP держать 4 -х провайдеров...
    Не знаю, для какой цели вам нужна смена IP, но может быть стоит посмотреть в сторону (платного) VPN? Плюс, в отличие от решения с прокси это будет работать для всех приложений, а не только тех, что умеют работать через прокси.



  • @gena77 Добрый вечер
    А можно немного конкретизировать задачу ?
    С практическими примерами . Сколько портов нужно использовать на входе в PF ? На выходе с разных интерфейсов ?
    Может быть все-таки есть какая-то привязка к хостам ???? Те можно же создать алиасы на PF для разных групп хостов (IP адресов) и уже по ним производить маршрутизацию трафика



  • @pigbrother said in 4 WAN в 1 LAN:

    Для смены IP держать 4 -х провайдеров...

    Четыре или два не главное, важно выход и управление с машины а не с интервейса.
    VPN не совсем то, в моём варианте контроля больше и ip лучше.



  • @konstanti said in 4 WAN в 1 LAN:

    конкретизировать задачу

    На входе один итерфейс LAN.
    На выходе четыре интерфейса (3g модемы) и возможно Wan проводной.

    @konstanti said in 4 WAN в 1 LAN:

    Может быть все-таки есть какая-то привязка к хостам ?

    Пока ничего путного не получилось. Находил где-то, там по внутреннему шлюзу провайдера идентифицировали интерфейс. Но он динамический и его постоянно определять надо после смены ip.



  • This post is deleted!


  • @konstanti said in 4 WAN в 1 LAN:

    Вам нужно каким-то образом получить доступ к модему ?

    Не к модему, а к модемам.

    @konstanti said in 4 WAN в 1 LAN:

    С реальными примерами

    Выше я приводил пример с браузером (мозила).
    192.168.0.10:5551 - LAN - PF - 3G1
    192.168.0.10:5552 - LAN - PF - 3G2
    192.168.0.10:5553 - LAN - PF - 3G3
    192.168.0.10:5554 - LAN - PF - 3G4

    @konstanti said in 4 WAN в 1 LAN:

    регистрируете 4 динамических DNS

    Где, в PF? Не совсем понял, вы предлогаете через DynDns свои модемы отслеживать?



  • This post is deleted!


  • This post is deleted!


  • @konstanti said in 4 WAN в 1 LAN:

    ( это что за ip адрес ??)

    Тупо пример, общий ip (модемов, групы шлюзов или службы)



  • @gena77
    О каком софте мы говорим ??
    Как осуществляется доступ к модему в обычных условиях ??
    После набора набора доменного имени в строке браузера и нажатия кнопочки ENTER , идет запрос к dns серверу для определения ip . Потом уже по этому ip браузер пытается установить соединение на определенном порту .
    Не совсем понял Вашу мысль про софт и домен .



  • Доброго.

    Предположу, что у @gena77 в конторе ведется бухгалтерия для неск. десятков фирмочек. И для того, чтобы светится на сайте у налоговиков с разными IP для разных фирмочек @gena77 пытается вот так извернуться.

    Или же что-то оч. похожее с "засветом" для разных контор с разными IP на сайтах какой-то отчетности.



  • @werter
    Ну, если я правильно понял первый пост , то нужен доступ именно к модемам , у которых ip динамический



  • @konstanti said in 4 WAN в 1 LAN:

    Ну, если я правильно понял первый пост , то нужен доступ именно к модемам , у которых ip динамический

    Доступ не столько к модемам сколько к интерфейсам, если быть точным.

    @konstanti said in 4 WAN в 1 LAN:

    Не совсем понял Вашу мысль про софт и домен .

    Имеется ввиду разный софт, не только браузер.

    @werter said in 4 WAN в 1 LAN:

    Предположу, что

    Ну всё спалил контору.☺



  • This post is deleted!


  • This post is deleted!


  • @konstanti said in 4 WAN в 1 LAN:

    Если то , что предположил werter

    Не совсем.
    Давайте проще, нужно тоже самое что по ссылке выше (моб.прокси partnerkin.com/tribuna/blog_sensey/kak_podnyat_mobilnye_proksi_3___nastrojka_i_zapusk) но на PF.

    Но там он использует модемы с прошивкой hilink, а у меня stik. Hilink модемы определяются как сетевая с своим статическим ip, который можно изменить.



  • @gena77
    Пытаюсь разобраться , как это организовано в PF
    если несложно , можно увидеть вывод 2-х команд при подключенных модемах
    1 ifconfig
    2 ngctl list



  • @gena77 said in 4 WAN в 1 LAN:

    @konstanti said in 4 WAN в 1 LAN:

    конкретизировать задачу

    На входе один итерфейс LAN.
    На выходе четыре интерфейса (3g модемы) и возможно Wan проводной.

    Полагаю цель --- накрутка счётчиков и рассылка спама.
    Оттого и задача иметь динамический и "чистый" адрес для выхода в интернет,
    меняющийся по клику без лишних движений.



  • @scodezan said in 4 WAN в 1 LAN:

    накрутка счётчиков и рассылка спама.

    Вы серьёзно?



  • @gena77
    Добрый вечер
    Итак , мое субъективное мнение
    В модемах и и MPD5 разбираюсь не очень , поэтому скажу так
    1 по вашей ссылке - 3proxy настроены на отдельном компьютере ,который находится во внутренней сети, и указанный проброс портов происходит при подключении снаружи внутрь , а не в обратную сторону .
    Т е грубо схема внешнего подключения клиента такова (на примере Вашей ссылки)
    Внешн клиент -> ROUTER WAN (белый IP) порт 50056 -> проброс на 192.168.1.10 порт 50056 -> Модем 1 -> Интернет -> и обратно по цепочке
    2 Удаленное управление модемами
    В основном опирался вот на эту статью
    http://kak-podnyat-proksi-ipv6.ru/kak-podnyat-mobilnye-proksi/
    Итак , удаленно получить доступ к модемам вряд ли получится
    если надо их перегружать с заданной периодичностью , то надо писать скрипт (
    см. пример из статьи , но с учетом того , что там Linux, а тут Freebsd ) и
    привязывать его к Cron или разбираться , возможно ли это делать с помощью
    mpd5.

    C учетом всего написанного, вопросы
    1 о каком пробросе идет речь ?
    2 все-таки можно ли услышать/увидеть четкую задачу , которая ставится ????
    Чтобы PF сам поменял порт назначения на какой-то из списка и отправлял
    трафик через нужный модем ??? Возможно ли такое стандартными средствами , не знаю



  • @konstanti said in 4 WAN в 1 LAN:

    Итак , удаленно получить доступ к модемам вряд ли получится

    Еще и потому, что

    @gena77 said in 4 WAN в 1 LAN:

    ppp0: flags=89d1<UP,POINTOPOINT,RUNNING,NOARP,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1492
    inet 10.111.216.0 --> 10.66.63.1

    @gena77 said in 4 WAN в 1 LAN:

    ppp1: flags=89d1<UP,POINTOPOINT,RUNNING,NOARP,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1492
    inet 10.251.161.221 --> 10.65.62.2

    Т.е. адреса ожидаемо для мобильного интернета "серые".

    @konstanti said in 4 WAN в 1 LAN:

    все-таки можно ли услышать/увидеть четкую задачу , которая ставится ????

    Совершенно с вами согласен.



  • @gena77 said in 4 WAN в 1 LAN:

    @scodezan said in 4 WAN в 1 LAN:

    накрутка счётчиков и рассылка спама.

    Вы серьёзно?

    Вполне. Однажды меня просили сделать именно такое именно с такой целью. А поскольку Вы скрываете истинную цель, лично мне больше нечего представить.

    На сколько я вижу у других участников обсуждения тоже крышу рвёт от размытости Вашего ТЗ.

    Начните с описания ЦЕЛИ.



  • Доброго.

    @Scodezan
    ТС и 100 модемов не хватит. Спамеров быстро блокируют на данный момент (ip в блэк-лист и доказывай потом, что не слон)

    @gena77
    Согласен с предыдущими. Полное ТЗ в студию. Может вам и схема такая и не нужна будет. Придумаем коллективно вам новую )



  • @werter said in 4 WAN в 1 LAN:

    Спамеров быстро блокируют на данный момент (ip в блэк-лист и доказывай потом, что не слон)

    Врядли ТС занимается спамом в чистом виде. Мобильные операторы обычно используют NAT, более продвинутые - Carrier-grade NAT, соответвтенно прямая SMTP-рассылка будет встречать массовые отказы в доставке.



  • @gena77
    Всем доброго вечера
    После целого дня мучений получилось настроить PF так , чтобы менялся порт , не зная ip назначения (как бы проброс изнутри наружу без смены ip назначения)
    Т е задача ТС на ethernet портах решается стандартными средствами на 95%
    5% - это компиляция 2 модулей ядра из дистрибутива Freebsd и перенос их на PFSense
    Как будет выглядеть мое решение в связке с ppp + mpd5 + netgraph ,не знаю ( это надо проверять и настраивать ) . А у меня нет модемов для этого
    Если интересно , расскажу
    Кстати , есть еще парочка ноу-хау

    1. как настроить PF IPSEC site-to-site (если только один адрес белый)
    2. как можно добавить через PF еще одну сеть для туннеля IPSEC , если нет доступа к удаленной точке для создания дополнительной фазы 2)

    если кому-то нужно , обращайтесь



  • @konstanti said in 4 WAN в 1 LAN:

    Кстати , есть еще парочка ноу-хау

    как настроить PF IPSEC site-to-site (если только один адрес белый)
    как можно добавить через PF еще одну сеть для туннеля IPSEC , если нет доступа к удаленной точке для создания дополнительной фазы 2)

    если кому-то нужно , обращайтесь

    Опубликуйте это прямо на форуме, весьма интересно.

    Жаль что нет модератора, способного выносить полезное в шапку. Интереснейшие вещи тонут во времени.



  • @werter said in 4 WAN в 1 LAN:

    ТС и 100 модемов не хватит. Спамеров быстро блокируют на данный момент (ip в блэк-лист и доказывай потом, что не слон)

    Если говорить про почтовый трафик, блокируют блоками /24, узнаёшь о том что попал под блокировку далеко не сразу. Прямо вагон эмоций.

    А вообще я имел ввиду форумы, вики и социалки. А так-же фейковые отзывы. Ну и подбор паролей к sip, ssh, rdp.



  • @pigbrother к сожалению , сейчас нет времени писать много
    как разгребусь с делами и соберусь с мыслями , обязательно напишу что и как



  • @konstanti said in 4 WAN в 1 LAN:

    как разгребусь с делами и соберусь с мыслями , обязательно напишу что и как

    Буду (будем?) ждать.



  • @pigbrother
    Пока нашел/вспомнил следущее
    1 ссылка - это создание динамических правил для мобильных ipsec клиентов ( те
    мы не знаем IP , которого получит клиент , но хотим ограничить ему доступ )

    https://forum.netgate.com/topic/139356/restrict-access-for-certain-vpn-users/

    2 ссылка - это создание правила binat для фазы 2 ipsec туннеля , который позволяет нам использовать NAT в ipsec туннеле и добавлять сети , которых нет в списках TS (traffic selectors) и нет возможности влиять на удаленную сторону

    https://forum.netgate.com/topic/140626/snat-from-openvpn-user-to-a-ipsec-tunnel-possible/

    3 по поводу создания туннеля Site-to-site IPSEC , когда у инициатора нет постоянного ip , у меня осталась только картинка с теми изменениями , которые я вносил в VPN.INC , чтобы при настройке фазы 1 я мог бы вместо ip/доменного имени можно было использовать 'any', тогда в strongswan.conf параметр right = %any. (это на англ , потому что я делал это для пакистанца )

    0_1551172157104_6b6e959d-dbda-4f59-818f-855f6d39bafa-image.png

    4 задачу ТС для этой ветки я решал/решил с помощью Netgraph , тут все непросто ( каждый случай индивидуален ) , но в любом случае , Netgraph - это то средство , которое позволяет менять/проверять содержимое IP, TCP/UDP пакета , до того как пакет попадет в лапки "pf". Например , тут есть ветка , где ТС хотел бы блокировать все DNS запросы к домену 'tv'.Вот такую задачу можно решить с помощью Netgraph , анализируя содержимое DNS запроса .



  • @konstanti Благодарю. Хоть IPSEC и использую по "остаточному принципу", ваши советы безусловно могут пригодиться.



  • @pigbrother
    Скажу так , всегда интересно решать нестандартные задачи . Тем более такие , которые ,и на первый взгляд , кажутся не решаемыми , а на деле имеют решение .



  • Всем доброго.
    Прошу прощения что долго не отвечал, форс-мажор.
    Итак:
    Про спам и прочую ерунду, скажу что мимо. Придерживаюсь мнения что от этого страдают все стороны, да и много есть тем намного иффективней.
    По поводу для чего, думаю это никак не поможет технической стороне вопроса.

    @konstanti said in 4 WAN в 1 LAN:

    2 все-таки можно ли услышать/увидеть четкую задачу , которая ставится ????

    Т.З.

    Есть
    1)PF 2.4.4 (LAN, WAN_3G1, WAN_3G2 ) Планируется (WAN_pppoe, WAN_3G3, WAN_3G4)
    2)Два модема 3g (Huawei E171 - MTC) прошивка STIK
    3)Машина с win7 и браузером Firefox (весит на LAN) (Планируется ещё две - четыре)

    Требуется
    1)выход в сеть с машины(ин) через разные модемы.
    2)смена модема и управление (вкл/выкл, перезапуск) по средствам ip:port(ip не важно, порты разные)
    (в дальнейшем, но не обязательно + log/par)
    3)Всё управление на стороне PF, на стороне клиента никакого доп. софта
    4)Безопасность в плане (Firewall)

    При изменении в firefox (настройки прокси) ip:порт user должен выходить в сеть через разные модемы (WAN_3G).
    Как альтернативный вариант, управлять модемами можно через web pf (страница интерфейсы).
    0_1551198608322_4wan_1lan.jpg

    @konstanti said in 4 WAN в 1 LAN:

    Как будет выглядеть мое решение в связке с ppp + mpd5 + netgraph

    Очень интересное решение.
    В общих чертах представляю, но реализовать программно пока затрудняюсь. Мои познания в программировании и компиляции поверхностные (скрипты, макросы копипаст).
    Что от меня требуется?



  • @gena77
    Хоть бы что-то новое((
    Какая цель изменения IP для выхода в интернет?

    @gena77 said in 4 WAN в 1 LAN:

    2)смена модема и управление (вкл/выкл, перезапуск) по средствам ip:port(ip не важно, порты разные)
    (в дальнейшем, но не обязательно + log/par)

    Как-то слишком много на один пункт.
    смена модема и управление (вкл/выкл, перезапуск) по средствам
    WEB интерфейса присутствует из коробки.



  • @scodezan said in 4 WAN в 1 LAN:

    Какая цель изменения IP для выхода в интернет?

    Цель изменение ip.

    @scodezan said in 4 WAN в 1 LAN:

    присутствует из коробки

    Я в курсе, это если не получится реализовать что-то получше.



  • Значит нет ТЗ.


Log in to reply