Выход в интернет с другого IP



  • Большое спасибо за ответы!
    @Konstanti
    всю эту подсеть адресов провайдер выдает нам

    @rubic
    но шлюз по умолчанию должен принадлежать той же сети. Если я разобью наш сетевой диапазон таким образом, как быть с GW ?



  • @orestych
    Шлюз как был так и останется
    "всю эту подсеть адресов провайдер выдает нам" - какая из диапазона /28 Ваша ? Их 16
    Ну , вот , например , Ваша подсеть 192.168.51.0/28 ( и wan имеет адрес 192.168.51.1/28)
    Тогда Вы эту сеть можете поделить на 2 подсети
    192.168.51.0/29 и 192.168.51.8/29
    те wan1 будет иметь адрес 192.168.51.1 , а wan2 192.168.51.9
    и pf ругаться не будет



  • @Konstanti
    Благодарю.

    У нас адреса 1.1.1.130- 1.1.1.142 / 28
    шлюз по умолчанию 1.1.1.129

    WAN1 1.1.1.130/29 GW 1.1.1.129
    WAN2 1.1.1.140/29 GW ????? ---- что здесь прописать?

    Еще подскажите, пожалуйста, каким образом прописать маршрут , чтобы пакеты с локального сервера 192.168.0.1 шли только через новый интерфейс WAN2 ?



  • @orestych

    WAN1 1.1.1.130/29 GW 1.1.1.129
    WAN2 1.1.1.140/29 GW 1.1.1.129

    Маршрут в данном случае прописывается в правиле на lan интерфейсе
    (это так называемый PBR)
    Создаете правило в самом начале списка
    Например , так
    8256d224-83f3-4f7d-a388-5205708fd1ab-image.png

    и указываете шлюз , через который посылать трафик

    48bda237-fa28-4150-b50c-5aa552fd66dd-image.png



  • @Konstanti
    Благодарю.
    не получается добавить в правило LAN шлюз 1.1.1.140

    В списке шлюзов его нет.
    Создать новый не получается. Как быть?



  • @orestych
    Чтобы создать новый шлюз , у Вас должен быть дополнительный физический интерфейс ( еще одна сетевая карта)
    /Interfaces/Interface Assignments
    Типа , вот так это должно выглядеть
    d4f06d24-7d4a-4fd4-8ff4-f27fa6cd6cca-image.png



  • Да, он есть

    35614966-f7cd-46f3-a6d2-15d55e64681d-изображение.png



  • @orestych
    А дальше идете в настройки интерфейса mail , присваиваете ip ,указываете там шлюз по умолчанию и сохраняетесь
    И в результате он появится в списке
    Дальше идете в /system/gateways/
    и проверяете , есть ли mail в списке шлюзов



  • я все это сделал.
    У интерфейса mail шлюз по умолчанию должен быть 1.1.1.129 --- IP провайдера, как и на интерфейсе WAN
    (там кстати мне в интерфейсе не дает ничего указать)

    А как сделать адрес 1.1.1.140 шлюзом для правила LAN для адреса 192.168.0.1 ?



  • @orestych
    Чтобы весь трафик хоста отправлялся через шлюз отличный от шлюза по умолчанию
    Надо создать правило для этого хоста на Lan интерфейсе , как я указал выше



  • Я создаю правило LAN, но там не могу указать шлюзом адрес интерфейса mail ( 1.1.1.140 )

    и при этом не получается создать новый шлюз 1.1.1.140

    Какой то замкнутый круг(



  • @orestych
    Почему не получается создать новый шлюз ???
    что Вы видите в /system/Gateways ?



  • шлюз создал. Я так понимаю, что надо создать правила NAT для интерфейса mail ?

    Я создал правило, но оно подсвечено серым и не активно
    fe05f6c6-9d53-46d5-a276-70e1b255869c-изображение.png



  • @orestych
    А интерфейс mail в состоянии UP или как ?



  • да, интерфейс mail UP



  • В настройках интерфейса mail , нет шлюза и не дает поставить

    4b0e8ac8-6a0d-42a4-9d6a-3557ec9f63ae-изображение.png

    Может как то это влияет?



  • @orestych

    Откуда у вас там WAN2 берется? все проще делается по схеме DMZ, вы же сами все так и начали делать. На pfSense делаете специальный выделенный интерфейс для mail сервера. Это не WAN2, это скорее LAN только отдельный и никакой шлюз ему не нужен. Теперь на него вешаете IP 1.1.1.137, подключаете к нему mail сервер и даете ему IP 1.1.1.138 а шлюз - адрес интерфейса pfSense (1.1.1.137). В Firewall > Virtual IPs заводите виртуальный IP 1.1.1.136/29 типа ProxyARP на WAN
    только расточительно вы сетку пополам разбили, я бы на WAN оставил /30, для DMZ дал бы 1.1.1.132/30 (133 - pfSense, 134 - mail) и еще осталась бы сеть 1.1.1.136/29 про запас



  • @rubic

    вот такое могло бы быть распределение адресов:

    *.*.*.128  net number
    *.*.*.129  ISP gateway	
    *.*.*.130  pfSense WAN
    *.*.*.131  directed broadcast
    
    *.*.*.132  net number
    *.*.*.133  pfSense DMZ (gateway for mail)
    *.*.*.134  mail
    *.*.*.135  directed broadcast
    
    *.*.*.136  net number
    *.*.*.137  pfSense (gateway for servers)
    *.*.*.138  server1
    *.*.*.139  server2
    *.*.*.140  server3
    *.*.*.141  server4
    *.*.*.142  server5
    *.*.*.143  directed broadcast
    

    вторая половина - на будущее



  • у сервера mail фиксированный IP локальной сети , прописан у всех клиентов , менять его не хочется.

    Отсюда и все танцы



  • @orestych
    попробуйте создать новый шлюз через меню /system/gateways/



  • а какой шлюз надо создать еще?

    b9c9758e-3487-4c12-9af1-96c2084adc2e-изображение.png



  • @orestych said in Выход в интернет с другого IP:

    у сервера mail фиксированный IP локальной сети , прописан у всех клиентов , менять его не хочется.

    Отсюда и все танцы

    тогда вам не нужен отдельный интерфейс для mail, если он у вас в LAN
    поставьте на WAN ...130/30, в Firewall > Virtual IPs заведите виртульный IP типа IP Alias для mail сервера (любой из ...132 - ..*.143, какой выберите) и сделайте NAT 1:1 c созданного Virtual IP в LAN на локальный адрес почтового сервера


Log in to reply