Помогите, Шейпер для неск. диапазонов IP



  • Есть маленький ISP на маленький район у него 3 диапазона IP: 9x.x.x.*, 7x.x.x.* и раздающийся с DHCP 10.10.10.*
    9x.x.x.* и 7х.х.х.* рздаются клиентам провайдера… (их пока не больше 100 пока и обслуживает их Catalyst 3750).
    В серверной провайдера к этому делу присоединяется несколько серверов и служебных компов и все попадает во второй Catalyst 3750.

    Цель задачи такая - поставить между двумя роутерами Шейпер, и ограничивать трафик по IP каждому клиенту и/или серверу...

    Я взялся тестировать PFSense (пока отдельно чтобы не отключать никому интернет): для этого вставил в компьютер под управлением XP 2ю сетевую карту.
    Установил VMWare Workstation:

    Следующие настройки назначил сетевым соединениям:
    Соединение 1 (с1): отключил у него TCP/IP и подсоединил к нему внешний интернет, в VMWare перевел на него бридж для VMNet1
    Соединение 2 (с2): все включил - определение IP через DHCP подключил в него свитч  для пары компов содрудников которым пошейплю траффик, в VMWare сделал бридж для VMNet2

    Поставил на VMWare PFSense указал ему WANом с1 и дал IP 7х.х.х.х указал шлюз 7x.x.x.z и NSы 7x.x.x.k 7x.x.x.m, LAN ом указал с2 и дал адрес 192.168.3.1 включил DHCP с диапазоном 192.168.3.10 до 192.168.3.250.
    На моем компе и на тестируемом (подключенном через свитч) компе взялись с DHCP параметры сетки и заработал инет.
    Трафик прошейпился отлично!
    Как только на втором компе я вручную указал IP 7x.x.x.y указал шлюз 7x.x.x.z и NSы 7x.x.x.k 7x.x.x.m он оказался отрезаным от интернета.
    Совет с отключением NAT не помог, как и все советы отсюда: http://doc.pfsense.org/index.php/How_can_I_use_public_IP's_on_the_LAN%3F, и отсюда: http://forum.pfsense.org/index.php/topic,14541.0.html
    Единственное, что не пробовал и не понял как делать NAT 1:1 (и не очень то понимаю нужность этого, поскольку внешних IP в LAN будет много и все их руками прописывать - не идеальный выход).
    Помогите пожалуйста решить эту проблему: как заставить шейпер пропускать в интернет компы с внешним IP (и при этом шейпить их траффик)?

    Добавляю схемы:

    Схема 1 - то что должно быть в реале:

    Схема 2 - как я это тестирую и что не выходит:



  • Что то мне подсказывает, что для таких задач нужно брать чистый дистрибутив *nix по вкусу и выполнять задачу на нем.
    вот обзор на эту тему:
    http://nag.ru/articles/article/17045/shape-nat-netflow-na-bol-shih-setyah-chast-1.html
    Область применения таких вещей как pfsense\Freenas - SOHO. Исправьте меня, если это не так.



  • Статья действительно очень хорошая, очень многое обьясняет но к сожалению в ней скорее задано направление, а вот практических решений нет… Насчет SOHO да тоже слышал... Ну вот просто на аппаратный шейпер мне денег не выделят. А 3 диапазона шейпить надо... Нет ли способа задействовать всежтаки pfsence чисто как маршрутизатор/шейпер (а не как LAN/WAN шлюз) поскольку веб интерфейс его очень бы облегчил дело в настройке шейпинга...



  • Если я правильно понял, то ваш вариант - бридж между интерфесами. Но на версиях 1.хх он с шейпером плохо дружит. Попробуйте 2 бету - там новый шейпер.



  • @dvserg:

    Если я правильно понял, то ваш вариант - бридж между интерфесами. Но на версиях 1.хх он с шейпером плохо дружит. Попробуйте 2 бету - там новый шейпер.

    Спасибо.
    Поставил версию 2.
    Попрежнему как только у компьютеров из сети с2 ставлю внешний IP - они выпадает из интернета…
    В настройках пробовал поставить только WAN (думал так он заработает как бридж) но в таком случае машины с с2 вообще ничего не видели...



  • Без схемы по словам тяжело разбирать. Не осилил где и какие компы у Вас. Попробуйте нарисовать схемы вашей и тестовой сетей.



  • @dvserg:

    Без схемы по словам тяжело разбирать. Не осилил где и какие компы у Вас. Попробуйте нарисовать схемы вашей и тестовой сетей.

    Добавил в топик схемы (чертил в dia как мог - но вроде понятно)…



  • На тестовой сети PC1 нельзя включать в свич  с приватной сети это не каталист.
    Ставим 3 сетевую и делаем DMZ (OPT интерфейс), в котором и подключаем машинку с реальным адресом. А OPT и WAN можно сделать бриджем, на 2.0 шейпер на бридже должен работать.

    Каталист много чего интересного скрывает с глаз людских прикидываясь обычным свичем.



  • @dvserg:

    На тестовой сети PC1 нельзя включать в свич  с приватной сети это не каталист.
    Ставим 3 сетевую и делаем DMZ (OPT интерфейс), в котором и подключаем машинку с реальным адресом. А OPT и WAN можно сделать бриджем, на 2.0 шейпер на бридже должен работать.

    Каталист много чего интересного скрывает с глаз людских прикидываясь обычным свичем.

    ДА! Спасибо огромное! Так и попробую утром! Только 1 вопрос: для каждого диапазона открывать OPT и добавлять сетевуху (тоесть для 7x.x.x.* одну и для 9x.x.x.* другую), или на оба диапазона одной сетевухи хватит?
    Свитч - не каталист - обычный тестовый свитч от Асус только с тестовыми компами(это в реальной сетке будет каталист)!
    НО про опт сердцем чую - получится!!!
    Завтра отпишусь!



  • Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!



  • @Eugene:

    Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

    Как раз рабочая будет правильной в контексте использования каталистов. Но из-за них-же многое теряется в наглядности топологии. Умные слишком заразы  ;D



  • @Eugene:

    Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

    Сори. Схемы правда рисовать не умею - но старался. )

    dvserg
    Добавил третью сетевуху. Присвоил ей интерфейс OPT1:

    и  проставил бридж на WAN:

    PC 1 (c IP 7x.x.x.Z) из тестовой схемы попрежнему не в интернете(((



  • Т.е. схема поменялась, нарисуй пожалуйста как сейчас.



  • Значит так:
    Перечитал ваши советы (спасибо еще раз), нашел вот этот мануал: http://pfsense.trendchiller.com/transparent_firewall.pdf

    Сделал так (схема старая но могу нарисовать еще раз):
    Настроил WAN как 7x.x.x.125/24 gateway: 7x.x.x.1

    Настроил лан так:

    Отключил NAT так:

    Отключил автоматически создавшееся правило Outbound NAT:

    Прописал Firewall Rules Временно так:

    Результат: Бриджинг заработал и комп PC 1 с тестовой схемы с адресом 7x.x.x.Z - вошел в интернет!!!

    Потом я добавил интерфейс OPT1 так:

    И настроил его так:

    Добавил правила:

    В итоге PC 1 с тестовой схемы взял IP 10.10.10.107 (с внешнего DHCP)
    PC 1 - ничего не пингует(((
    Пишу
    arp -a
    результат:

    interface 10.10.10.107  –- 0x2
    Interface address      Physical address          Type
    10.10.10.1              00-00-00-00-00-00      Invalid



  • Т.е. OPT1 - это vlan на той же карте, что и LAN. Не имеет особого смысла, если нет свича, "знающего" про VLAN'ы.
    От затеи с двумя интерфейсами надо отказаться хотя бы потому, что pfSense не умеет шэйпить больше одного LAN'а.
    От затеи иметь Public IP на LAN тоже отказаться ибо в данном случае не вижу необходимости, всё должно получаться NAT'ом.


Log in to reply