2 ISP, 2 LAN, 2 pfSensе - прошу совета !!!



  • С наступающим Вас , коллеги !

    Вот попался на глаза pfSense - попробовал - и прямо влюбился…  :)
    Однако задачка стоит - нетривиальная и упорное чтение доков - как то не очень мне помогло.
    Прошу помощи и совета у сообщества !

    Суть такова -
    Площадка 1
    стоит pfS с тремя никами -
    NIC1 в сторону ISP-1  :  берем по PPPoE интернет
    NIC2 в сторону ISP-2  : по статике передаем интернет-трафик  на  второй pfS
    NIC3 в сторону локалки - где по DHCP интернет от ISP-1 раздаем

    Площадка 2
    стоит PFS с двумя никами -
    NIC1 берем с ISP-2 трафик с первой площадки от первого pfS  по статике
    NIC2 раздаем через  PPPoE трафик  от ISP-1 (да, так!!!) по локалке второй площадки.
    Все работает, и в общем то и так хорошо... :)
    Но !
    Имея двух провайдеров - хотелось бы  суммировать пропускную способность обоих каналов.

    Задача которая поставила меня в тупик:
    а) как на одной сетевой карте поднять и PPPoE вместе со статическим IP адресом - дабы взять интернет трафик трафик и у ISP-2
    Т.е. провайдер дает мне возможность получить и интернет трафик по ПППоЕ и использовать канал со статической адресацией до Площадки-2.

    б) как поднять VPN между первым и вторым pfS - для законченности картины ?  Чтоб трафик между моими pfSense - скрыть от нескромных глаз ? :)

    Вставил бы диаграммы для наглядности, да что-то "радликал-фото" тупит по страшному...



  • хачу схему, радикал фтопку юзай http://imageshack.us/

    и ставь цель не как довести твое до ума, а как сделать то что ты изначально хотел, потому что я смутно понял зачем два pfsense тут
    когда это можно сделать с помощью одного + балансировка канала между провайдерами



  • А я второго интернет-провайдера не увидел, совсем старый стал -(



  • @Eugene:

    А я второго интернет-провайдера не увидел, совсем старый стал -(

    я опирался на это

    Имея двух провайдеров - хотелось бы  суммировать пропускную способность обоих каналов.

    все остальное можно было афтору не писать



  • Спасибо, за то что не оставили без внимания… :)
    Извините что не сумел с первого раза внятно объяснить ситуацию.

    И спасибо за подсказку, вот схема:

    Почему два  pfsense - это две площадки разделенные если по прямой - эдак  километров 10.
    В офисе  - два провайдера, на производстве -  один
    Подключение везде - по 100BaseT,  доступ в Интернет -PPPoE, точка-точка внутри сети провайдера - static IP
    Таким образом конечная задача - сложив на офисном pfS интернет трафик от обоих ISP - передать его кроме офисной локалки еще и на производство. (красная стрелка на схеме)
    Исходя из экономики всего этого вопроса - обходимся минимумом (кризис же ! :)) - один аккаунт у ISP-1, один аккаунт у ISP-2, и у ISP-2 как присутствующего на обоих площадках недорого арендуем канал от офиса до производства, т.е. от pfSense-A  до psSense-B

    И вот у меня сложилось впечатление что loadbalans - можно реализовать только когда на обоих WAN - статические адреса ?
    Или я не понял ? Во всех примерах что я просмотрел - именно так ?



  • По-моему, это делается вот так (если я правильно понял вопрос)




  • @Eugene:

    По-моему, это делается вот так (если я правильно понял вопрос)

    согласен с Евгением, берем прозрачный канал и не нужен второй pfsense и все просто делается



  • Увы…
    во первых и канал  не очень то прозрачный- на концах его даже адреса ISP-2 выданы из разных подсеток - я подозреваю что на цепочке разномастных роутеров по всей трассе - просто прописали для меня статический роутинг и все.
    А во вторых - на второй площадке нужен PPPoE  сервер.
    Таким образом абоненты со своими PPPoE клиентами - через такой канал что мне дали - никак не пробьются к первому и единственному pfSens - как вы предложили.
    Заказывал то я VLAN - но  мне отказали - "по техническим условиям".



  • Тогда вот так




  • Да нет, так тоже нельзя…. Свой PPPo-Е сервер в чужую сеть выставлять негоже...
    Я ж говорю - VLAN не дали.
    Потому пришлось смаршрутизировать трафик с pfs-A через сеть ISP-2 на свой же pfs-B 
    Да это в общем то и не проблема - работает же и ладно, второй pfsens на удаленной площадке вполне уместен ине лишний - там и  файрволл, и пппое сервер и все что надо....

    Я могу сформулировать задачу более узко :
    Как мне в pfs  алиасинг сделать ?

    по аналогии с Линуксом -

    /sbin/ifconfig eth0:0 192.168.4.1 broadcast 192.168.4.255 netmask 255.255.255.0
    /sbin/ifconfig eth0:1 192.168.5.1 broadcast 192.168.5.255 netmask 255.255.255.0
    /sbin/ifconfig eth0:2 192.168.6.1 broadcast 192.168.6.255 netmask 255.255.255.0
    ... и т.д.

    Как в pfsense  на один эзернет посадить две РАЗНЫЕ сети ?
    Т.е. мне надо чтоб через например  Eth0:0  -  был доступ в Интернет, а через Eth0:1 - статический роутинг на мою удаленную локалку ?
    Не могу понять как это  в pfsense делается....
    Прям хоть еще одну карту сетевую втыкай в комп с pfsense-A - и через коммуттатор к тому же проводу от провайдера цепляй... :)



  • Несколько сетей на один интерфейс в текущей версии через GUI никак. В 2.0 обещают. Сейчас можно только виртуальные IP присваивать с других подсетей. Но,честно, говоря я так до конца и не понял твою схему.



  • Жаль. придется видимо добавить четвертую сетевую плату OPT2  и коммутатор простенький на пять портов за 500 рублей. :)

    относительно понимания - вы видимо упускаете из виду тот момент что трафик я беру в офисе у одного провайдера, а связать офис и производство - я могу только через сеть другого провайдера. А между офисом и производством - 10 км по прямой.
    И раздавать на производстве интернет "своим" - можно только через PPPoE или через другую подобную технологию - VPN  & e.t.c. - там сеть единая  и присутствуют "чужие" пользователи. Я не имею доступа ни к коммутаторам сети провайдеров, ни к коммутаторам сети на производстве.
    В итоге я вынужден везде "прорываться" через чужие сети. такие времена… (с) :)



  • @OSM:

    Жаль. придется видимо добавить четвертую сетевую плату OPT2  и коммутатор простенький на пять портов за 500 рублей. :)

    относительно понимания - вы видимо упускаете из виду тот момент что трафик я беру в офисе у одного провайдера, а связать офис и производство - я могу только через сеть другого провайдера. А между офисом и производством - 10 км по прямой.
    И раздавать на производстве интернет "своим" - можно только через PPPoE или через другую подобную технологию - VPN   & e.t.c. - там сеть единая  и присутствуют "чужие" пользователи. Я не имею доступа ни к коммутаторам сети провайдеров, ни к коммутаторам сети на производстве.
    В итоге я вынужден везде "прорываться" через чужие сети. такие времена… (с) :)

    а просто в фаерволе разрешать выход своим?
    я бы вам посоветовал управляемые коммутаторы и требовать ВЛАН от провайдера



  • PPPoE - вещь привычная и весьма подходящая для работы в "публичных" езернетовских сетях.
    С ним хорошо работает разношерстная армия виндовс - линукс- и аппаратных маршрутизаторов/файрволов и просто компьютеров  - имеющегося у юзеров парка. Проверено на себе. :)
    А требовать от провайдера - вещь сама по себе может и благородная - но… малоперспективная :)
    Ответ абоненту "Нет технической возможности" - это как правило надолго....


Log in to reply