Настройка 2 WAN и 2 LAN



  • Добрый день.
    Есть два WAN интерфейса с внешними IP адресами. Так же есть два LAN интерфейса. Необходимо настроить, чтобы трафик из каждого LAN интерфейса ходил через свой WAN интерфейс.
    WAN интерфейсы настроены, как самостоятельные интерфейсы, у каждого свой Gateway, не через Virtual IP.
    После включения второго интерфейса и настройки NAT/Outbound таким образом, как на скриншоте, перестают идти пинги из второй локальной сети 192.168.2.0/24 наружу, хотя пинги со второго интерфейса наружу проходят без проблем.

    Правила сейчас деактивированы, так как второй интерфейс временно отключён.

    Подскажите, что я могу делать не так. Заранее спасибо.

    8dfb4f0b-42b9-4303-8d4a-39e6f4e5c17a-image.png



  • @mihail_204 Cуществует такое понятие, как default gateway. Пинги идут через него, т.е. в вашем случае через WAN1 и правила Outbound NAT тут ничем не помогут. Вы должны явно направить трафик из второго LAN через WAN2 gateway. В правилах Firewall > LAN2 > Advanced есть возможность выбора Gateway



  • Пробовал там указывать необходимый Gateway, но это ни к чему не привело



  • @mihail_204 тогда давайте скриншот правил Firewall > LAN2



  • Настройки Outbound NAT сейчас стоят автоматические:
    01adf7a6-c00f-48cb-bd81-2d7cf2d68939-image.png

    Rules для LAN1:
    f8566de5-fd3a-434f-91b6-c4fb55883e14-image.png

    Rules для LAN2:
    12e56cb2-a15c-4c48-a009-5991b9d2bcc1-image.png

    При данных настройках трафик с LAN2 всё равно идёт через WAN1. Если в Outbound поставить настройки, как на скриншоте в первом сообщении и выставить Gateway в Rules, то трафик вообще перестаёт идти из второй локальной сети

    GW_WAN_2 - Gateway для WAN1
    WA2GW - Gateway для WAN2



  • @mihail_204 давайте System > Routing > Gateways, что-то я уже запутался в ваших GW_WAN_2 и WAN2GW :)



  • e0f24b59-6e37-45fb-a09d-903d3d11b18c-image.png

    GW_WAN настраивался до меня и указывает на некорректный IP
    GW_WAN_2 - Gateway для WAN1
    WAN2GW - Gateway для WAN2

    Настройки WAN1:
    cbffc3fc-6194-4e92-8c61-bc8b22e863d4-image.png

    Настройки WAN2:
    5b876d9f-4312-4831-a824-fd431e2d6991-image.png



  • @mihail_204 Не спешите так, теперь уже нет смысла закрашивать :) Для начала, следовало бы назначить GW_WAN_2 в качестве default (там ниже можно выбрать), а GW_WAN грохнуть, ну или наоборот грохнуть GW_WAN_2, а GW_WAN дать корректный IP и соответствующим образом настроить правила LAN1 и интерфейс WAN1



  • Изменение Gateway ро умолчанию на GW_WAN_2 ничего не дало



  • @mihail_204 Как вы определяете, что трафик LAN2 идет через WAN1?



  • В нашей компании разрабатывается почтовое решение для бизнеса. Я отправляю письмо с интерфейса LAN2, на котором трафик должен перенаправляться на WAN2, на gmail. В оригинале сообщения вижу, что оно было получено с IP адреса WAN1

    В программе есть свой SMTP сервер, можно указать IP интерфейса, с которого он будет отправлять



  • @mihail_204 Ради интереса
    из консоли запустите команду pfctl -sr
    ближе к концу списка правил Вы должны увидеть , что-то типа такого

    pass in quick on XXX route-to (YYY ZZZ.ZZZ.ZZZ.ZZZ)

    где XXX - название Вашего lan1 или lan2 интерфейса
    YYY - название wan1 или wan 2 интерфейса
    ZZZ - соответствующий YYY адрес шлюза
    проверьте, совпадают ли Ваши "хотелки" с информацией , полученной из этой команды
    названия интерфейсов могут быть , например , igb1,re1,em1 и тд и тп (зависит от типа сетевой карты )



  • @Konstanti а лучше прямо через Diagnostics > Command prompt сразу pfctl -sn && pfctl -sr и вывод сюда
    настройки вроде выглядят корректно, но тянуть инфу по капле через скриншоты до темноты можно :)



  • @rubic

    я с такой ошибкой встречаюсь впервые , поэтому мне лично для начала было бы достаточно , чтобы ТС посмотрел всего на 2 правила , которые попадают под мой шаблон
    PBR в PF пока ни разу не подводил
    Хотя , конечно , бывает всякое - не удивлюсь , если есть какие-нибудь мудреные флоатинг правила



  • pfctl.txt

    138.201.100.138 - WAN1
    148.251.68.211 - WAN2

    192.168.1.0/24 - LAN1
    192.168.2.0/24 - LAN2



  • This post is deleted!


  • @mihail_204 дайте Diagnostics > Routes



  • После того, как изменение Gateway по-умолчанию ни к чему не привело, я вернул настройки на старый Gateway по-умолчанию

    8548dcc0-3d11-4277-996a-e2382074c269-image.png

    5e407d1f-25b6-471b-8166-d42418e5517e-image.png



  • @mihail_204 у вас какой-то кошмар с настройкой шлюзов и интерфейсов до сих пор. 138.201.100.138 у вас и default gateway и принадлежит самому pfSense одновременно. Default gateway должен по идее быть 138.201.100.137



  • Изменил Default GW на .138.201.100.137, при прошлом изменении это ничего не дало.
    Вот логи:
    pfctl.txt

    45907a09-198f-47cf-a891-54ebdcf7ec60-image.png

    9ee6023d-e0f2-4161-9870-7e576143a5f9-image.png



  • @mihail_204 сейчас все ок, думаю, проблема в multihomed smtp server, до завтра



  • Хорошо, спасибо



  • @mihail_204
    Попробуйте удалить эти правила и создать их заново .
    На обоих интерфейсах. На виртуальных машинах такой трюк иногда помогает



  • @mihail_204 Не вижу никаких проблем в наборе правил, все должно работать. Чтобы изолировать проблему надо подключить какую-нибудь машину (не ваш сервер) в тот и другой LAN и смотреть как ходят пакеты



  • @rubic
    в качестве гипотезы
    я не совсем понимаю вот эти 2 правила

    rdr on hn1 inet proto tcp from any to 138.201.100.138 port = pop3s tag PFREFLECT -> 127.0.0.1 port 19000
    rdr on hn2 inet proto tcp from any to 138.201.100.138 port = pop3s tag PFREFLECT -> 127.0.0.1 port 19000
    

    что-то постороннее запущено ?



  • @Konstanti это NAT reflection скорее всего - чтобы из LAN можно было было обратится на адрес 138.201.100.138, как и извне



  • Проблема решилась после того, как на втором интерфейсе настроил получение параметров по DHCP и включил DHCP в pfSense на LAN2.
    Спасибо за помощь в решении проблемы!



  • @mihail_204
    Крутить пф на Нyper-V - фу.

    Напр., попробуйте "на лету" сменить\добавить VLAN TAG в настройках сетевой гипера. Получится? С KVM + openvswitch - да. У вас - нет.


Log in to reply