2 ISP, 2 LAN, 2 pfSensе - прошу совета !!!
-
Спасибо, за то что не оставили без внимания… :)
Извините что не сумел с первого раза внятно объяснить ситуацию.И спасибо за подсказку, вот схема:
Почему два pfsense - это две площадки разделенные если по прямой - эдак километров 10.
В офисе - два провайдера, на производстве - один
Подключение везде - по 100BaseT, доступ в Интернет -PPPoE, точка-точка внутри сети провайдера - static IP
Таким образом конечная задача - сложив на офисном pfS интернет трафик от обоих ISP - передать его кроме офисной локалки еще и на производство. (красная стрелка на схеме)
Исходя из экономики всего этого вопроса - обходимся минимумом (кризис же ! :)) - один аккаунт у ISP-1, один аккаунт у ISP-2, и у ISP-2 как присутствующего на обоих площадках недорого арендуем канал от офиса до производства, т.е. от pfSense-A до psSense-BИ вот у меня сложилось впечатление что loadbalans - можно реализовать только когда на обоих WAN - статические адреса ?
Или я не понял ? Во всех примерах что я просмотрел - именно так ? -
По-моему, это делается вот так (если я правильно понял вопрос)
-
По-моему, это делается вот так (если я правильно понял вопрос)
согласен с Евгением, берем прозрачный канал и не нужен второй pfsense и все просто делается
-
Увы…
во первых и канал не очень то прозрачный- на концах его даже адреса ISP-2 выданы из разных подсеток - я подозреваю что на цепочке разномастных роутеров по всей трассе - просто прописали для меня статический роутинг и все.
А во вторых - на второй площадке нужен PPPoE сервер.
Таким образом абоненты со своими PPPoE клиентами - через такой канал что мне дали - никак не пробьются к первому и единственному pfSens - как вы предложили.
Заказывал то я VLAN - но мне отказали - "по техническим условиям". -
Тогда вот так
-
Да нет, так тоже нельзя…. Свой PPPo-Е сервер в чужую сеть выставлять негоже...
Я ж говорю - VLAN не дали.
Потому пришлось смаршрутизировать трафик с pfs-A через сеть ISP-2 на свой же pfs-B
Да это в общем то и не проблема - работает же и ладно, второй pfsens на удаленной площадке вполне уместен ине лишний - там и файрволл, и пппое сервер и все что надо....Я могу сформулировать задачу более узко :
Как мне в pfs алиасинг сделать ?по аналогии с Линуксом -
/sbin/ifconfig eth0:0 192.168.4.1 broadcast 192.168.4.255 netmask 255.255.255.0
/sbin/ifconfig eth0:1 192.168.5.1 broadcast 192.168.5.255 netmask 255.255.255.0
/sbin/ifconfig eth0:2 192.168.6.1 broadcast 192.168.6.255 netmask 255.255.255.0
... и т.д.Как в pfsense на один эзернет посадить две РАЗНЫЕ сети ?
Т.е. мне надо чтоб через например Eth0:0 - был доступ в Интернет, а через Eth0:1 - статический роутинг на мою удаленную локалку ?
Не могу понять как это в pfsense делается....
Прям хоть еще одну карту сетевую втыкай в комп с pfsense-A - и через коммуттатор к тому же проводу от провайдера цепляй... :) -
Несколько сетей на один интерфейс в текущей версии через GUI никак. В 2.0 обещают. Сейчас можно только виртуальные IP присваивать с других подсетей. Но,честно, говоря я так до конца и не понял твою схему.
-
Жаль. придется видимо добавить четвертую сетевую плату OPT2 и коммутатор простенький на пять портов за 500 рублей. :)
относительно понимания - вы видимо упускаете из виду тот момент что трафик я беру в офисе у одного провайдера, а связать офис и производство - я могу только через сеть другого провайдера. А между офисом и производством - 10 км по прямой.
И раздавать на производстве интернет "своим" - можно только через PPPoE или через другую подобную технологию - VPN & e.t.c. - там сеть единая и присутствуют "чужие" пользователи. Я не имею доступа ни к коммутаторам сети провайдеров, ни к коммутаторам сети на производстве.
В итоге я вынужден везде "прорываться" через чужие сети. такие времена… (с) :) -
@OSM:
Жаль. придется видимо добавить четвертую сетевую плату OPT2 и коммутатор простенький на пять портов за 500 рублей. :)
относительно понимания - вы видимо упускаете из виду тот момент что трафик я беру в офисе у одного провайдера, а связать офис и производство - я могу только через сеть другого провайдера. А между офисом и производством - 10 км по прямой.
И раздавать на производстве интернет "своим" - можно только через PPPoE или через другую подобную технологию - VPN & e.t.c. - там сеть единая и присутствуют "чужие" пользователи. Я не имею доступа ни к коммутаторам сети провайдеров, ни к коммутаторам сети на производстве.
В итоге я вынужден везде "прорываться" через чужие сети. такие времена… (с) :)а просто в фаерволе разрешать выход своим?
я бы вам посоветовал управляемые коммутаторы и требовать ВЛАН от провайдера -
PPPoE - вещь привычная и весьма подходящая для работы в "публичных" езернетовских сетях.
С ним хорошо работает разношерстная армия виндовс - линукс- и аппаратных маршрутизаторов/файрволов и просто компьютеров - имеющегося у юзеров парка. Проверено на себе. :)
А требовать от провайдера - вещь сама по себе может и благородная - но… малоперспективная :)
Ответ абоненту "Нет технической возможности" - это как правило надолго....