Dual WAN. Нужна помощь в настройке.



  • Приветствую всех! Проблема следующего рода. Есть 2 поставщика инета, оба дают статический IP.
    Для примера возмем:
    Поставщик 1 - 62.168.1.0/30. Т.е. IP мне выделили 62.168.1.1, гейтвей 62.168.1.2
    Поставщик 2 - 132.172.1.0/30. Т.е. IP мне выделили 132.172.1.1, гейтвей 132.172.1.2
    Есть 2 разные сетки:
    192.168.1.0/24, закреплена за WAN
    192.168.4.0/24, закреплена за WAN2

    Делал по етому мануалу 2 WAN (http://doc.pfsense.org/index.php/MultiWanVersion1.2#Router_mode_setup)
    WAN по-умолчанию, первый самый, что предлагает указать при настройке pfsene, пашет, трафик через него идет, из сетки народ лазит в инет, красота вообщем.

    WAN2, который я сделал из opt1, не хочет =(

    Пробую пинговать с WAN2 через опиции pfsense Diagnostic - Ping, в ответ пишет такое:

    PING www.ru (194.87.0.50) from 132.172.1.1: 56 data bytes
    36 bytes from 62.168.1.2: Communication prohibited by filter
    Vr HL TOS  Len  ID Flg  off TTL Pro  cks      Src      Dst
    4  5  00 5400 cfbe  0 0000  3f  01 1048 194.84.22.197  194.87.0.50

    Я так понимаю, что WAN2, не смотря на то, что у него шлюз 132.172.1.2, все равно ломиться через дефаултный 62.168.1.2.

    уже наизголялся с правилами по самое не хочу, не получается настроить как надо =(

    Подскажите, как правильно настроить второй WAN, чтобы пользователи одной сетки ходили через WAN, а другой - через WAN2, и чтобы WAN2 использовал свой шлюз. Заранее спасибо.

    P.S. Есть 2 фирмы. Они сидят на одном этаже, их обслуживает 1 человек. У каждой фирмы на данный момент свой маршрутизатор. Задача стоит освободить 1 машину, и всю маршрутизацию сделать на одной. Просто у каждой фирмы будет собственный канал инета, все. Доступ между сетками локальными открыт.



  • Пингани подсеть 2 прова и посмотри куда идут пакеты.

    На LAN создай разрешающее правило для второй подсети с указанием шлюзом в правиле Wan2

    • Subnet **** Wan2 **
      Оно должно быть выше по списку чем правила для Lan1


  • Настраивал такую штуку. wan на одного из провайдеров, один из опт интерфейсов на другого провайдера. когда настраиваете опт, указываете шлюз. пишете на lan правила. при написании можно выбрать шлюз. обычно сам он ставит default - это тот который на wan настроен, но можно выбрать и тот что настраивали на опте. таким образом если в dhcp зарезервировать за пользователями ip адреса, можно создать алиасы для групп пользователей. и направлять их через разные шлюзы. а можно трафик разных портов направлять через разных провайдеров. У меня например трафик 80 порта направлен через yota.  :)



  • @alkol:

    таким образом если в dhcp зарезервировать за пользователями ip адреса, можно создать алиасы для групп пользователей. и направлять их через разные шлюзы. а можно трафик разных портов направлять через разных провайдеров. У меня например трафик 80 порта направлен через yota.  :)

    Дело в том, что dhcp сервер у меня поднят на домен контролере. Есть 2 домен контролера с разными доменами. У каждого сейчас свой отдельный сервер шлюз, свой сервер dhcp на контролере домена, т.е. полностью обособлены друг от друга. Я бы не хотел пока что переносить dhcp сервер на роутер. Или, елси переносить, то тогда нужно подымать 2 dhcp -по одной для каждого домена. Пользователи из разных доменов не должны быть в одном пространстве пока то…



  • Вчера буквально замутил такую схему..
    Где-то читал, что все, что исходит от самого pfsense (dns forwarder, squid, packages info и т.д.), идет через дефолтный шлюз, если нет специального статического маршрута. Так что ping возможно тоже. Пингуй из локалки закрепленной за WAN2 (что, кстати Status->LoadBalancer показывает? WAN2 Online?)
    По руководству. Во-первых, там перепутано WANFailsToWAN2 и WAN2FailsToWAN. По смыслу эти названия надо поменять местами. Во-вторых, поставь на всякий случай Firewall->NAT->Outbound в Manual. У тебя там должно быть:

    WAN    192.168.0.0/16  *  *  *  *  *  NO
    WAN2    192.168.0.0/16  *  *  *  *  *  NO

    (Ну я бы лично такую маску выбрал на твоем месте. У меня тоже 2 фирмы, и сидят они в норме на разных каналах, но если один канал упадет, то фирма закрепленная за ним может присоседится на время к другому каналу).
    Теперь на Firewall->Rules->LAN ты прописываешь:

    *  192.168.1.0/24  *  *  *  WANFailsToWAN2 (Фирма 1)
    *  192.168.4.0/16  *  *  *  WAN2FailsToWAN (Фирма 2)

    как-то так..



  • dhcp сервера можно перенести на pfsense. На вашем pfsense должно быть 4 интерфейса. 2 внешних и 2 внутренних. на 2 внутренних настраиваете dhcp сервера, в dns forwarding прописываете локальные dns сервера. таким образом dhcp на pfsense, а локальные dns запросы перенаправляются на контроллеры домена. на каждом внутреннем интерфейсе свой комплект правил со своим шлюзом. dhcp сервера на контроллерах домена конечно придется погасить. вот как-то так.


Locked