Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Помогите, Шейпер для неск. диапазонов IP

    Russian
    4
    15
    5657
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      elennaro last edited by

      Есть маленький ISP на маленький район у него 3 диапазона IP: 9x.x.x., 7x.x.x. и раздающийся с DHCP 10.10.10.*
      9x.x.x.* и 7х.х.х.* рздаются клиентам провайдера… (их пока не больше 100 пока и обслуживает их Catalyst 3750).
      В серверной провайдера к этому делу присоединяется несколько серверов и служебных компов и все попадает во второй Catalyst 3750.

      Цель задачи такая - поставить между двумя роутерами Шейпер, и ограничивать трафик по IP каждому клиенту и/или серверу...

      Я взялся тестировать PFSense (пока отдельно чтобы не отключать никому интернет): для этого вставил в компьютер под управлением XP 2ю сетевую карту.
      Установил VMWare Workstation:

      Следующие настройки назначил сетевым соединениям:
      Соединение 1 (с1): отключил у него TCP/IP и подсоединил к нему внешний интернет, в VMWare перевел на него бридж для VMNet1
      Соединение 2 (с2): все включил - определение IP через DHCP подключил в него свитч  для пары компов содрудников которым пошейплю траффик, в VMWare сделал бридж для VMNet2

      Поставил на VMWare PFSense указал ему WANом с1 и дал IP 7х.х.х.х указал шлюз 7x.x.x.z и NSы 7x.x.x.k 7x.x.x.m, LAN ом указал с2 и дал адрес 192.168.3.1 включил DHCP с диапазоном 192.168.3.10 до 192.168.3.250.
      На моем компе и на тестируемом (подключенном через свитч) компе взялись с DHCP параметры сетки и заработал инет.
      Трафик прошейпился отлично!
      Как только на втором компе я вручную указал IP 7x.x.x.y указал шлюз 7x.x.x.z и NSы 7x.x.x.k 7x.x.x.m он оказался отрезаным от интернета.
      Совет с отключением NAT не помог, как и все советы отсюда: http://doc.pfsense.org/index.php/How_can_I_use_public_IP's_on_the_LAN%3F, и отсюда: http://forum.pfsense.org/index.php/topic,14541.0.html …
      Единственное, что не пробовал и не понял как делать NAT 1:1 (и не очень то понимаю нужность этого, поскольку внешних IP в LAN будет много и все их руками прописывать - не идеальный выход).
      Помогите пожалуйста решить эту проблему: как заставить шейпер пропускать в интернет компы с внешним IP (и при этом шейпить их траффик)?

      Добавляю схемы:

      Схема 1 - то что должно быть в реале:

      Схема 2 - как я это тестирую и что не выходит:

      1 Reply Last reply Reply Quote 0
      • D
        deutsche last edited by

        Что то мне подсказывает, что для таких задач нужно брать чистый дистрибутив *nix по вкусу и выполнять задачу на нем.
        вот обзор на эту тему:
        http://nag.ru/articles/article/17045/shape-nat-netflow-na-bol-shih-setyah-chast-1.html
        Область применения таких вещей как pfsense\Freenas - SOHO. Исправьте меня, если это не так.

        http://ru.doc.pfsense.org/

        1 Reply Last reply Reply Quote 0
        • E
          elennaro last edited by

          Статья действительно очень хорошая, очень многое обьясняет но к сожалению в ней скорее задано направление, а вот практических решений нет… Насчет SOHO да тоже слышал... Ну вот просто на аппаратный шейпер мне денег не выделят. А 3 диапазона шейпить надо... Нет ли способа задействовать всежтаки pfsence чисто как маршрутизатор/шейпер (а не как LAN/WAN шлюз) поскольку веб интерфейс его очень бы облегчил дело в настройке шейпинга...

          1 Reply Last reply Reply Quote 0
          • D
            dvserg last edited by

            Если я правильно понял, то ваш вариант - бридж между интерфесами. Но на версиях 1.хх он с шейпером плохо дружит. Попробуйте 2 бету - там новый шейпер.

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • E
              elennaro last edited by

              @dvserg:

              Если я правильно понял, то ваш вариант - бридж между интерфесами. Но на версиях 1.хх он с шейпером плохо дружит. Попробуйте 2 бету - там новый шейпер.

              Спасибо.
              Поставил версию 2.
              Попрежнему как только у компьютеров из сети с2 ставлю внешний IP - они выпадает из интернета…
              В настройках пробовал поставить только WAN (думал так он заработает как бридж) но в таком случае машины с с2 вообще ничего не видели...

              1 Reply Last reply Reply Quote 0
              • D
                dvserg last edited by

                Без схемы по словам тяжело разбирать. Не осилил где и какие компы у Вас. Попробуйте нарисовать схемы вашей и тестовой сетей.

                SquidGuardDoc EN  RU Tutorial
                Localization ru_PFSense

                1 Reply Last reply Reply Quote 0
                • E
                  elennaro last edited by

                  @dvserg:

                  Без схемы по словам тяжело разбирать. Не осилил где и какие компы у Вас. Попробуйте нарисовать схемы вашей и тестовой сетей.

                  Добавил в топик схемы (чертил в dia как мог - но вроде понятно)…

                  1 Reply Last reply Reply Quote 0
                  • D
                    dvserg last edited by

                    На тестовой сети PC1 нельзя включать в свич  с приватной сети это не каталист.
                    Ставим 3 сетевую и делаем DMZ (OPT интерфейс), в котором и подключаем машинку с реальным адресом. А OPT и WAN можно сделать бриджем, на 2.0 шейпер на бридже должен работать.

                    Каталист много чего интересного скрывает с глаз людских прикидываясь обычным свичем.

                    SquidGuardDoc EN  RU Tutorial
                    Localization ru_PFSense

                    1 Reply Last reply Reply Quote 0
                    • E
                      elennaro last edited by

                      @dvserg:

                      На тестовой сети PC1 нельзя включать в свич  с приватной сети это не каталист.
                      Ставим 3 сетевую и делаем DMZ (OPT интерфейс), в котором и подключаем машинку с реальным адресом. А OPT и WAN можно сделать бриджем, на 2.0 шейпер на бридже должен работать.

                      Каталист много чего интересного скрывает с глаз людских прикидываясь обычным свичем.

                      ДА! Спасибо огромное! Так и попробую утром! Только 1 вопрос: для каждого диапазона открывать OPT и добавлять сетевуху (тоесть для 7x.x.x.* одну и для 9x.x.x.* другую), или на оба диапазона одной сетевухи хватит?
                      Свитч - не каталист - обычный тестовый свитч от Асус только с тестовыми компами(это в реальной сетке будет каталист)!
                      НО про опт сердцем чую - получится!!!
                      Завтра отпишусь!

                      1 Reply Last reply Reply Quote 0
                      • E
                        Eugene last edited by

                        Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

                        http://ru.doc.pfsense.org

                        1 Reply Last reply Reply Quote 0
                        • D
                          dvserg last edited by

                          @Eugene:

                          Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

                          Как раз рабочая будет правильной в контексте использования каталистов. Но из-за них-же многое теряется в наглядности топологии. Умные слишком заразы  ;D

                          SquidGuardDoc EN  RU Tutorial
                          Localization ru_PFSense

                          1 Reply Last reply Reply Quote 0
                          • E
                            elennaro last edited by

                            @Eugene:

                            Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

                            Сори. Схемы правда рисовать не умею - но старался. )

                            dvserg
                            Добавил третью сетевуху. Присвоил ей интерфейс OPT1:

                            и  проставил бридж на WAN:

                            PC 1 (c IP 7x.x.x.Z) из тестовой схемы попрежнему не в интернете(((

                            1 Reply Last reply Reply Quote 0
                            • E
                              Eugene last edited by

                              Т.е. схема поменялась, нарисуй пожалуйста как сейчас.

                              http://ru.doc.pfsense.org

                              1 Reply Last reply Reply Quote 0
                              • E
                                elennaro last edited by

                                Значит так:
                                Перечитал ваши советы (спасибо еще раз), нашел вот этот мануал: http://pfsense.trendchiller.com/transparent_firewall.pdf

                                Сделал так (схема старая но могу нарисовать еще раз):
                                Настроил WAN как 7x.x.x.125/24 gateway: 7x.x.x.1

                                Настроил лан так:

                                Отключил NAT так:

                                Отключил автоматически создавшееся правило Outbound NAT:

                                Прописал Firewall Rules Временно так:

                                Результат: Бриджинг заработал и комп PC 1 с тестовой схемы с адресом 7x.x.x.Z - вошел в интернет!!!

                                Потом я добавил интерфейс OPT1 так:

                                И настроил его так:

                                Добавил правила:

                                В итоге PC 1 с тестовой схемы взял IP 10.10.10.107 (с внешнего DHCP)
                                PC 1 - ничего не пингует(((
                                Пишу
                                arp -a
                                результат:

                                interface 10.10.10.107  –- 0x2
                                Interface address      Physical address          Type
                                10.10.10.1              00-00-00-00-00-00      Invalid

                                1 Reply Last reply Reply Quote 0
                                • E
                                  Eugene last edited by

                                  Т.е. OPT1 - это vlan на той же карте, что и LAN. Не имеет особого смысла, если нет свича, "знающего" про VLAN'ы.
                                  От затеи с двумя интерфейсами надо отказаться хотя бы потому, что pfSense не умеет шэйпить больше одного LAN'а.
                                  От затеи иметь Public IP на LAN тоже отказаться ибо в данном случае не вижу необходимости, всё должно получаться NAT'ом.

                                  http://ru.doc.pfsense.org

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post