Выход в интернет с другого IP

orestych

Pfsense 2.4.4-RELEASE-p3

Добрый день. Подскажите, пожалуйста, как лучше реализовать такую схему:
в локальной сети есть почтовый сервер, который должен принимать соединения и отправлять почту с другого IP, отличного от внешнего IP для всей локальной сети.
Когда добавляю еще один сетевой интерфейс и пытаюсь прописать на нем внешний IP из той же сети , что и основной IP , то выдает ошибку:
Адрес IPv4 х.х.х.х/28 используется или пересекается: WAN (х.х.х.х/28)

Если делаю виртуальный IP , то не понятно как сделать, чтобы исходящие соединения почтовика шли только через него.

Спасибо.

Konstanti

@orestych
Здр
а какой диапазон адресов у вас есть из сети x.x.x.x/28 ?
и какой адрес у ВАс использует WAN из этого дипазона?

rubic

@orestych Вам надо разбить /28 сеть на более мелкие подсети. Например это может быть 8 сетей /30:
192.0.2.0
192.0.2.1
192.0.2.2
192.0.2.3

192.0.2.4
192.0.2.5
192.0.2.6
192.0.2.7

192.0.2.8
192.0.2.9
192.0.2.10
192.0.2.11

192.0.2.12
192.0.2.13
192.0.2.14
192.0.2.15

192.0.2.16
192.0.2.17
192.0.2.18
192.0.2.19

192.0.2.20
192.0.2.21
192.0.2.22
192.0.2.23

192.0.2.24
192.0.2.25
192.0.2.26
192.0.2.27

192.0.2.28
192.0.2.29
192.0.2.30
192.0.2.31

теперь в настройках WAN вместо /28 указываете 192.0.2.2/30 а остальные сетки можете исползовать для своих сервисов:
[ISP Gateway (192.0.2.1)] <-> [WAN (192.0.2.2/30) pfSense DMZ (192.0.2.5/30)] <-> [Mail Server (192.0.2.6/30)]
нужно только создать VirtualIP 192.0.2.4/30 на WAN pfSense типа ProxyARP

orestych

Большое спасибо за ответы!
@Konstanti
всю эту подсеть адресов провайдер выдает нам

@rubic
но шлюз по умолчанию должен принадлежать той же сети. Если я разобью наш сетевой диапазон таким образом, как быть с GW ?

Konstanti

@orestych
Шлюз как был так и останется
"всю эту подсеть адресов провайдер выдает нам" - какая из диапазона /28 Ваша ? Их 16
Ну , вот , например , Ваша подсеть 192.168.51.0/28 ( и wan имеет адрес 192.168.51.1/28)
Тогда Вы эту сеть можете поделить на 2 подсети
192.168.51.0/29 и 192.168.51.8/29
те wan1 будет иметь адрес 192.168.51.1 , а wan2 192.168.51.9
и pf ругаться не будет

orestych

@Konstanti
Благодарю.

У нас адреса 1.1.1.130- 1.1.1.142 / 28
шлюз по умолчанию 1.1.1.129

WAN1 1.1.1.130/29 GW 1.1.1.129
WAN2 1.1.1.140/29 GW ????? ---- что здесь прописать?

Еще подскажите, пожалуйста, каким образом прописать маршрут , чтобы пакеты с локального сервера 192.168.0.1 шли только через новый интерфейс WAN2 ?

Konstanti

@orestych

WAN1 1.1.1.130/29 GW 1.1.1.129
WAN2 1.1.1.140/29 GW 1.1.1.129

Маршрут в данном случае прописывается в правиле на lan интерфейсе
(это так называемый PBR)
Создаете правило в самом начале списка
Например , так

и указываете шлюз , через который посылать трафик

orestych

@Konstanti
Благодарю.
не получается добавить в правило LAN шлюз 1.1.1.140

В списке шлюзов его нет.
Создать новый не получается. Как быть?

Konstanti

@orestych
Чтобы создать новый шлюз , у Вас должен быть дополнительный физический интерфейс ( еще одна сетевая карта)
/Interfaces/Interface Assignments
Типа , вот так это должно выглядеть

orestych

Да, он есть

Konstanti

@orestych
А дальше идете в настройки интерфейса mail , присваиваете ip ,указываете там шлюз по умолчанию и сохраняетесь
И в результате он появится в списке
Дальше идете в /system/gateways/
и проверяете , есть ли mail в списке шлюзов

orestych

я все это сделал.
У интерфейса mail шлюз по умолчанию должен быть 1.1.1.129 --- IP провайдера, как и на интерфейсе WAN
(там кстати мне в интерфейсе не дает ничего указать)

А как сделать адрес 1.1.1.140 шлюзом для правила LAN для адреса 192.168.0.1 ?

Konstanti

@orestych
Чтобы весь трафик хоста отправлялся через шлюз отличный от шлюза по умолчанию
Надо создать правило для этого хоста на Lan интерфейсе , как я указал выше

orestych

Я создаю правило LAN, но там не могу указать шлюзом адрес интерфейса mail ( 1.1.1.140 )

и при этом не получается создать новый шлюз 1.1.1.140

Какой то замкнутый круг(

Konstanti

@orestych
Почему не получается создать новый шлюз ???
что Вы видите в /system/Gateways ?

orestych

шлюз создал. Я так понимаю, что надо создать правила NAT для интерфейса mail ?

Я создал правило, но оно подсвечено серым и не активно

Konstanti

@orestych
А интерфейс mail в состоянии UP или как ?

orestych

да, интерфейс mail UP

orestych

В настройках интерфейса mail , нет шлюза и не дает поставить

Может как то это влияет?

rubic

@orestych

Откуда у вас там WAN2 берется? все проще делается по схеме DMZ, вы же сами все так и начали делать. На pfSense делаете специальный выделенный интерфейс для mail сервера. Это не WAN2, это скорее LAN только отдельный и никакой шлюз ему не нужен. Теперь на него вешаете IP 1.1.1.137, подключаете к нему mail сервер и даете ему IP 1.1.1.138 а шлюз - адрес интерфейса pfSense (1.1.1.137). В Firewall > Virtual IPs заводите виртуальный IP 1.1.1.136/29 типа ProxyARP на WAN
только расточительно вы сетку пополам разбили, я бы на WAN оставил /30, для DMZ дал бы 1.1.1.132/30 (133 - pfSense, 134 - mail) и еще осталась бы сеть 1.1.1.136/29 про запас