MultiWAN не срабатывают правила Outbound (решено)
-
Приветствую всех форумчан.
Впервые настраиваю сервер на pfsense (до этого успешно настраивал на других платформах). Опыт и общее понимание имеется. Тем не менее столкнулся с таким явлением как игнорирование правил для исходящего трафика. Скорее всего чего-то не знаю и существуют неявные особенности, может где-то что-то надо "правильно" поставить, надеюсь подскажете. Прочитал официальный мануал, поискал на этом форуме, положительного результата нет.
Есть два канала оптики от разных провайдеров, на каждом с десяток белых ip. Заведены в отдельные сетевые на роутере. На предыдущем роутере были настроены правила NAT для входящего трафика с обоих WAN и также правила для исходящего на оба WAN. На новом роутере под pfsense всё повторил аналогичным образом как было на старом и с определёнными оговорками и поправками на новую платформу оно запустилось, кроме исходящего трафика. А конкретнее правила для исходящего трафика действуют только на какой-то один WAN. Тоесть я могу в рамках одного WAN указывать какие внутренние адреса на какие внешние должны попадать, всё отличным образом отрабатывает. Как только примешиваю правила для второго WAN они полностью игнорируются, словно их там нет. Переключаю какой шлюз считать главным на второй и... начитают отрабатывать правила для второго WAN но теперь игнорируются для первого! А нужно пустить с разных серверов в разные каналы.
Что я делаю не так? Пробовал гибридный и ручной режим для Outbound - никакой разницы нет, тот же эффект.
Спасибо
-
@luha said in MultiWAN не срабатывают правила Outbound:
А нужно пустить с разных серверов в разные каналы.
Если я правильно понял, нужно выпускать определенные IP вашей LAN через определенного провайдера?
Если так, то делается это не в Outbound NAT, а в правиле(ах) на LAN-интерфейсе.
Создать правило(а) на LAN выше Default allow LAN to any rule
Source - нужный IP вашей LAN
Destination - any
В Advanced Options правила выбрать Gateway Провайдера 2.Если Source IP более одного, их можно вписать в алиас, и этот алиас использовать, как Source, чтобы не плодить правила для каждого IP.
-
Спасибо! Метод рабочий - нужный IP внутренней LAN теперь выходит через нужный WAN с нужным внешним IP, согласно правил Outbound для этого IP.
Довольно неочевидное решение, без наводки долго можно искать.
Не настраивал балансировку и прокси. Я так понимаю что теперь "гвоздями прибито" куда этому внутреннему IP идти и могут возникнуть подводные камни если один канал упадёт к примеру или захочется что-то из сервисов. Всё руками.
-
@luha said in MultiWAN не срабатывают правила Outbound:
согласно правил Outbound для этого IP.
Для описанного выше обычно никаких действий в Outbound NAT делать не нужно, достаточно описанного правила на LAN.
@luha said in MultiWAN не срабатывают правила Outbound:
Не настраивал балансировку
Балансировка делается через Gateway Groups в пару кликов.
С прокси не работал.
@luha said in MultiWAN не срабатывают правила Outbound:
куда этому внутреннему IP идти и могут возникнуть подводные камни если один канал упадёт
Естественно, если упал канал, жестко заданный этому IP для выхода в инет - инета у него не будет.
-
Я не стал делать в опциях LAN конкретного внешнего адреса. Просто создал правило для одного внутреннего IP на нужном внутреннем LAN и указал в дополнительных настройках какой ему надо использовать gateway (WAN). Это было тем самым ключевым моментом, мешающим правильно отработать правилам Outbound. Видимо когда устанавливается общий gateway используемый "по умолчанию" всё начинает лезть туда на адрес интерфейса, а до исходящих правил на другие внешние сети дела нет. Как только пакеты пришли на нужный WAN заработало исходящее правило для него.
Не будем пытаться вникать в логику, почему нельзя и что мешает. Главное теперь благодаря вашей наводке знаю и лично меня не напрягает кликнуть не "тут" а "там". Могу разные внутренние сети пускать на нужного провайдера. Могу настроить какой внешний IP будет у пользователей, а какой у почтовика. Этого мне и было нужно.
Балансировка и прокси в моём случае не нужны. Просто пофилософствовал что бы было если. Думается что будут проблемы. Одно дело в NAT для исходящего трафика закидывать и другое закреплять для интерфейса. Хотя может быть я просто ещё не проникся.
Ещё раз спасибо! Очень помогли быстро найти решение.