Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2



  • Устал рыскать, нужна полная инструкция по настройке WAN1 -> LAN1 и WAN2 -> LAN2 все интерфейсы физические пересекаться не должны, своя подсесть свой выход в интернет и настройка правил своя и проброс портов у каждого свой.



  • @Борис А в чем проблема, собственно? Для Port forward указываете интерфейс WAN1 и Destination address в LAN1, для WAN2 - аналогично. Для того чтобы травик LAN1 шел наружу только через WAN в правилах Firewall LAN1нужно указать Gateway WAN1, для LAN2 - то же самое



  • @Борис
    Firewall/Rules/Edit

    436daf25-bf4c-4ab2-9f3c-da5bcd2c1f13-image.png



  • @rubic said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:

    Firewall LAN1

    Я просто хочу собрать мини пс c 4 сетевыми картами, у меня старый помер с алиекпрес брал 3 года отпахал в старом мини пс нету Firewall LAN1 нету такого пункта!alt text



  • @Борис тогда "Правила" > LAN



  • @rubic а инструкции что вообще нету с картинками?



  • @Борис для вас могу сделать, читайте личные сообщения - это такой значек облака там справа вверху (Chats)



  • @rubic
    Заинтересовало.
    Есть подобная задача: WAN1 и WAN2, один LAN1. NAT в автоматическом режиме.
    Я правильно вас понял, что если я сделаю перенаправление портов на WAN1 например для порта 25, а на WAN2 перенаправление для порта 80, то пакеты идущие из LAN в ответ на начальный трафик из интернета будут автоматически перенаправлены для порта 25 на WAN1, а для порта 80 на WAN2? Т.е. уйдут с нужного WAN интерфейса.
    И никаких дополнительных настроек не требуется?



  • @lucas1
    Да , верно
    только если я Вас верно понял ,и речь идет о пробросе портов , а не о PBR .
    Те по таблице состояний PF определит , через какой интерфейс прошел первый пакет , туда и отправит ответный . Есть нюанс - это работает только в том случае , если WAN1 или WAN2 физические интерфейсы , а не виртуальные ( GRE,VTI,OPENVPN ... ) . В этом случае пакет пойдет через интерфейс по умолчанию



  • @Konstanti
    Да речь идет о пробросе портов (Port Forward).
    Спасибо за ответ.

    Что такое PBR?





  • @lucas1 said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:

    @rubic
    Заинтересовало.
    Есть подобная задача: WAN1 и WAN2, один LAN1. NAT в автоматическом режиме.
    Я правильно вас понял, что если я сделаю перенаправление портов на WAN1 например для порта 25, а на WAN2 перенаправление для порта 80, то пакеты идущие из LAN в ответ на начальный трафик из интернета будут автоматически перенаправлены для порта 25 на WAN1, а для порта 80 на WAN2? Т.е. уйдут с нужного WAN интерфейса.
    И никаких дополнительных настроек не требуется?

    В настройках WAN1 и WAN2 нужно явно указать Gateway. В этом случае в првила pf добавится reply-to и ответный трафик пойдет через нужный WAN.



  • @Konstanti said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:

    Те по таблице состояний PF определит , через какой интерфейс прошел первый пакет , туда и отправит ответный .

    Судя по всему, не совсем так, раз уж в правилах делается этот reply-to

    Пример проброса:

    pass in quick on vmx0.102 reply-to (vmx0.102 188.xxx.xx.201) inet proto tcp from <hRDPACCESS> to <hBUZZER> port = rdp flags S/SA keep state label "USER_RULE: NAT "
    


  • Те по таблице состояний PF определит , через какой интерфейс прошел первый пакет , туда и отправит ответный .

    Фигушки. Отправит в дефолтный ВАН. И только явное указание GW спасает галактику.

    @Борис

    Я просто хочу собрать мини пс c 4 сетевыми картами

    Откройте для себя мыло палмо.. VLAN.
    ОДНА сетевая на пф-боксе + (любая) Б/У мыльница от ТП-Линка\Д-линка с openwrt на борту купленная на авито за 300 рэ спасет галактику и в этот раз. Да еще и ви-фи получите в придачу.



  • @rubic
    Не понял это:
    "В настройках WAN1 и WAN2 нужно явно указать Gateway".
    Оба интерфейса PPPoE. И поля Gateway там нет.

    Или это в правилах для WANs указать Gateway?
    Речь идет о трафике из интернета, а не в интернет.



  • @lucas1 said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:

    @rubic
    Не понял это:
    "В настройках WAN1 и WAN2 нужно явно указать Gateway".
    Оба интерфейса PPPoE. И поля Gateway там нет.

    Про PPPoE не подскажу, возможно pfSense в этом случае делает все нужное за нас. Дайте в Diagnostics > Command Prompt команду pfctl -sr | grep reply-to, если есть правила pass соответствующие вашим проброшенным портам, то ничего настраивать не нужно



  • @rubic Собственно это и имел в виду, что пакет пойдет обратно через интерфейс ,на который он пришел . И что reply-to не работает в случае виртуальных интерфейсов.



  • @rubic
    Дело в том, что сейчас WAN2 нет. т.е. предстоит переход на конфигурацию WAN1 и WAN2.
    Поэтому хочу максимально подготовиться, чтобы меньше было недорозумений.

    Команда pfctl -sr | grep reply-to для WAN1 выдала набор правил reply-to, например:
    pass in quick on pppoe0 reply-to (pppoe0 10.x.x.x) inet proto tcp from any to <DVR08> port = 377xx flags S/SA keep state label "USER_RULE: NAT "

    Будем считать как указал Konstanti, что table state содержит всю необходимую информацию для автоматического распределения пакетов на нужные интерфейсы WAN1 и WAN2.



  • @lucas1

    Оба интерфейса PPPoE. И поля Gateway там нет.

    Проверил. При ПОДНЯТОМ pppoe появляется GW. И пользовать можно для явного указания в правилах fw.



  • @Konstanti Я всего лишь хочу продчеркнуть, что сами по себе sates не обеспечивают прохождение возвратного трафика через исходный входящий интерфейс (в struct state, если углублятся, попросту нет инфы о нем). Это разные вещи. Если нет reply-to, то ответный трафик пойдет через default gateway. А наличие reply-to в случае Static IP интерфейса pfSense, например, определяется явным указанием gateway в настройках интерфейса. pfSense делает многое за нас, это и хорошо и плохо одновременно. Приходится помнить эти нюансы.



  • @rubic Я просто не так выразился . Естественно , что таблица состояний служит для других целей. Просто PF сам создает правила с нужным синтаксисом , и все работает. А чтобы понять , как это работает , приходится ставить голую freebsd с установленным PF , и уже в ней копаться для тестирования и отладки



  • @Konstanti
    Добрый день.

    Вопрос не по теме, но решения пока не нашел.
    Несколько дней назад некоторые компьютеры самопроизвольно начали включаться после обычного выключения. Время включения на всех приблизительно одинаковое, разница несколько секунд.
    Подозреваю wake on lan.
    Подскажите, как определить источник этого произвольного включения.
    Отключение параметров в биос предлагать не надо. Это уже сделано.


Log in to reply