1. Home
  2. pfSense International Support
  3. Russian
  4. Помогите, Шейпер для неск. диапазонов IP

Помогите, Шейпер для неск. диапазонов IP

  • E

    Есть маленький ISP на маленький район у него 3 диапазона IP: 9x.x.x., 7x.x.x. и раздающийся с DHCP 10.10.10.*
    9x.x.x.* и 7х.х.х.* рздаются клиентам провайдера… (их пока не больше 100 пока и обслуживает их Catalyst 3750).
    В серверной провайдера к этому делу присоединяется несколько серверов и служебных компов и все попадает во второй Catalyst 3750.

    Цель задачи такая - поставить между двумя роутерами Шейпер, и ограничивать трафик по IP каждому клиенту и/или серверу...

    Я взялся тестировать PFSense (пока отдельно чтобы не отключать никому интернет): для этого вставил в компьютер под управлением XP 2ю сетевую карту.
    Установил VMWare Workstation:

    Следующие настройки назначил сетевым соединениям:
    Соединение 1 (с1): отключил у него TCP/IP и подсоединил к нему внешний интернет, в VMWare перевел на него бридж для VMNet1
    Соединение 2 (с2): все включил - определение IP через DHCP подключил в него свитч  для пары компов содрудников которым пошейплю траффик, в VMWare сделал бридж для VMNet2

    Поставил на VMWare PFSense указал ему WANом с1 и дал IP 7х.х.х.х указал шлюз 7x.x.x.z и NSы 7x.x.x.k 7x.x.x.m, LAN ом указал с2 и дал адрес 192.168.3.1 включил DHCP с диапазоном 192.168.3.10 до 192.168.3.250.
    На моем компе и на тестируемом (подключенном через свитч) компе взялись с DHCP параметры сетки и заработал инет.
    Трафик прошейпился отлично!
    Как только на втором компе я вручную указал IP 7x.x.x.y указал шлюз 7x.x.x.z и NSы 7x.x.x.k 7x.x.x.m он оказался отрезаным от интернета.
    Совет с отключением NAT не помог, как и все советы отсюда: http://doc.pfsense.org/index.php/How_can_I_use_public_IP's_on_the_LAN%3F, и отсюда: http://forum.pfsense.org/index.php/topic,14541.0.html
    Единственное, что не пробовал и не понял как делать NAT 1:1 (и не очень то понимаю нужность этого, поскольку внешних IP в LAN будет много и все их руками прописывать - не идеальный выход).
    Помогите пожалуйста решить эту проблему: как заставить шейпер пропускать в интернет компы с внешним IP (и при этом шейпить их траффик)?

    Добавляю схемы:

    Схема 1 - то что должно быть в реале:

    Схема 2 - как я это тестирую и что не выходит:

    0
  • D

    Что то мне подсказывает, что для таких задач нужно брать чистый дистрибутив *nix по вкусу и выполнять задачу на нем.
    вот обзор на эту тему:
    http://nag.ru/articles/article/17045/shape-nat-netflow-na-bol-shih-setyah-chast-1.html
    Область применения таких вещей как pfsense\Freenas - SOHO. Исправьте меня, если это не так.

    0
  • E

    Статья действительно очень хорошая, очень многое обьясняет но к сожалению в ней скорее задано направление, а вот практических решений нет… Насчет SOHO да тоже слышал... Ну вот просто на аппаратный шейпер мне денег не выделят. А 3 диапазона шейпить надо... Нет ли способа задействовать всежтаки pfsence чисто как маршрутизатор/шейпер (а не как LAN/WAN шлюз) поскольку веб интерфейс его очень бы облегчил дело в настройке шейпинга...

    0
  • D

    Если я правильно понял, то ваш вариант - бридж между интерфесами. Но на версиях 1.хх он с шейпером плохо дружит. Попробуйте 2 бету - там новый шейпер.

    0
  • E

    @dvserg:

    Если я правильно понял, то ваш вариант - бридж между интерфесами. Но на версиях 1.хх он с шейпером плохо дружит. Попробуйте 2 бету - там новый шейпер.

    Спасибо.
    Поставил версию 2.
    Попрежнему как только у компьютеров из сети с2 ставлю внешний IP - они выпадает из интернета…
    В настройках пробовал поставить только WAN (думал так он заработает как бридж) но в таком случае машины с с2 вообще ничего не видели...

    0
  • D

    Без схемы по словам тяжело разбирать. Не осилил где и какие компы у Вас. Попробуйте нарисовать схемы вашей и тестовой сетей.

    0
  • E

    @dvserg:

    Без схемы по словам тяжело разбирать. Не осилил где и какие компы у Вас. Попробуйте нарисовать схемы вашей и тестовой сетей.

    Добавил в топик схемы (чертил в dia как мог - но вроде понятно)…

    0
  • D

    На тестовой сети PC1 нельзя включать в свич  с приватной сети это не каталист.
    Ставим 3 сетевую и делаем DMZ (OPT интерфейс), в котором и подключаем машинку с реальным адресом. А OPT и WAN можно сделать бриджем, на 2.0 шейпер на бридже должен работать.

    Каталист много чего интересного скрывает с глаз людских прикидываясь обычным свичем.

    0
  • E

    @dvserg:

    На тестовой сети PC1 нельзя включать в свич  с приватной сети это не каталист.
    Ставим 3 сетевую и делаем DMZ (OPT интерфейс), в котором и подключаем машинку с реальным адресом. А OPT и WAN можно сделать бриджем, на 2.0 шейпер на бридже должен работать.

    Каталист много чего интересного скрывает с глаз людских прикидываясь обычным свичем.

    ДА! Спасибо огромное! Так и попробую утром! Только 1 вопрос: для каждого диапазона открывать OPT и добавлять сетевуху (тоесть для 7x.x.x.* одну и для 9x.x.x.* другую), или на оба диапазона одной сетевухи хватит?
    Свитч - не каталист - обычный тестовый свитч от Асус только с тестовыми компами(это в реальной сетке будет каталист)!
    НО про опт сердцем чую - получится!!!
    Завтра отпишусь!

    0
  • E

    Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

    0
  • D

    @Eugene:

    Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

    Как раз рабочая будет правильной в контексте использования каталистов. Но из-за них-же многое теряется в наглядности топологии. Умные слишком заразы  ;D

    0
  • E

    @Eugene:

    Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

    Сори. Схемы правда рисовать не умею - но старался. )

    dvserg
    Добавил третью сетевуху. Присвоил ей интерфейс OPT1:

    и  проставил бридж на WAN:

    PC 1 (c IP 7x.x.x.Z) из тестовой схемы попрежнему не в интернете(((

    0
  • E

    Т.е. схема поменялась, нарисуй пожалуйста как сейчас.

    0
  • E

    Значит так:
    Перечитал ваши советы (спасибо еще раз), нашел вот этот мануал: http://pfsense.trendchiller.com/transparent_firewall.pdf

    Сделал так (схема старая но могу нарисовать еще раз):
    Настроил WAN как 7x.x.x.125/24 gateway: 7x.x.x.1

    Настроил лан так:

    Отключил NAT так:

    Отключил автоматически создавшееся правило Outbound NAT:

    Прописал Firewall Rules Временно так:

    Результат: Бриджинг заработал и комп PC 1 с тестовой схемы с адресом 7x.x.x.Z - вошел в интернет!!!

    Потом я добавил интерфейс OPT1 так:

    И настроил его так:

    Добавил правила:

    В итоге PC 1 с тестовой схемы взял IP 10.10.10.107 (с внешнего DHCP)
    PC 1 - ничего не пингует(((
    Пишу
    arp -a
    результат:

    interface 10.10.10.107  –- 0x2
    Interface address      Physical address          Type
    10.10.10.1              00-00-00-00-00-00      Invalid

    0
  • E

    Т.е. OPT1 - это vlan на той же карте, что и LAN. Не имеет особого смысла, если нет свича, "знающего" про VLAN'ы.
    От затеи с двумя интерфейсами надо отказаться хотя бы потому, что pfSense не умеет шэйпить больше одного LAN'а.
    От затеи иметь Public IP на LAN тоже отказаться ибо в данном случае не вижу необходимости, всё должно получаться NAT'ом.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy