Помогите, Шейпер для неск. диапазонов IP

elennaro

Есть маленький ISP на маленький район у него 3 диапазона IP: 9x.x.x., 7x.x.x. и раздающийся с DHCP 10.10.10.*
9x.x.x.* и 7х.х.х.* рздаются клиентам провайдера… (их пока не больше 100 пока и обслуживает их Catalyst 3750).
В серверной провайдера к этому делу присоединяется несколько серверов и служебных компов и все попадает во второй Catalyst 3750.

Цель задачи такая - поставить между двумя роутерами Шейпер, и ограничивать трафик по IP каждому клиенту и/или серверу...

Я взялся тестировать PFSense (пока отдельно чтобы не отключать никому интернет): для этого вставил в компьютер под управлением XP 2ю сетевую карту.
Установил VMWare Workstation:

Следующие настройки назначил сетевым соединениям:
Соединение 1 (с1): отключил у него TCP/IP и подсоединил к нему внешний интернет, в VMWare перевел на него бридж для VMNet1
Соединение 2 (с2): все включил - определение IP через DHCP подключил в него свитч  для пары компов содрудников которым пошейплю траффик, в VMWare сделал бридж для VMNet2

Поставил на VMWare PFSense указал ему WANом с1 и дал IP 7х.х.х.х указал шлюз 7x.x.x.z и NSы 7x.x.x.k 7x.x.x.m, LAN ом указал с2 и дал адрес 192.168.3.1 включил DHCP с диапазоном 192.168.3.10 до 192.168.3.250.
На моем компе и на тестируемом (подключенном через свитч) компе взялись с DHCP параметры сетки и заработал инет.
Трафик прошейпился отлично!
Как только на втором компе я вручную указал IP 7x.x.x.y указал шлюз 7x.x.x.z и NSы 7x.x.x.k 7x.x.x.m он оказался отрезаным от интернета.
Совет с отключением NAT не помог, как и все советы отсюда: http://doc.pfsense.org/index.php/How_can_I_use_public_IP's_on_the_LAN%3F, и отсюда: http://forum.pfsense.org/index.php/topic,14541.0.html …
Единственное, что не пробовал и не понял как делать NAT 1:1 (и не очень то понимаю нужность этого, поскольку внешних IP в LAN будет много и все их руками прописывать - не идеальный выход).
Помогите пожалуйста решить эту проблему: как заставить шейпер пропускать в интернет компы с внешним IP (и при этом шейпить их траффик)?

Добавляю схемы:

Схема 1 - то что должно быть в реале:

Схема 2 - как я это тестирую и что не выходит:

deutsche

Что то мне подсказывает, что для таких задач нужно брать чистый дистрибутив *nix по вкусу и выполнять задачу на нем.
вот обзор на эту тему:
http://nag.ru/articles/article/17045/shape-nat-netflow-na-bol-shih-setyah-chast-1.html
Область применения таких вещей как pfsense\Freenas - SOHO. Исправьте меня, если это не так.

elennaro

Статья действительно очень хорошая, очень многое обьясняет но к сожалению в ней скорее задано направление, а вот практических решений нет… Насчет SOHO да тоже слышал... Ну вот просто на аппаратный шейпер мне денег не выделят. А 3 диапазона шейпить надо... Нет ли способа задействовать всежтаки pfsence чисто как маршрутизатор/шейпер (а не как LAN/WAN шлюз) поскольку веб интерфейс его очень бы облегчил дело в настройке шейпинга...

dvserg

Если я правильно понял, то ваш вариант - бридж между интерфесами. Но на версиях 1.хх он с шейпером плохо дружит. Попробуйте 2 бету - там новый шейпер.

elennaro

@dvserg:

Если я правильно понял, то ваш вариант - бридж между интерфесами. Но на версиях 1.хх он с шейпером плохо дружит. Попробуйте 2 бету - там новый шейпер.

Спасибо.
Поставил версию 2.
Попрежнему как только у компьютеров из сети с2 ставлю внешний IP - они выпадает из интернета…
В настройках пробовал поставить только WAN (думал так он заработает как бридж) но в таком случае машины с с2 вообще ничего не видели...

dvserg

Без схемы по словам тяжело разбирать. Не осилил где и какие компы у Вас. Попробуйте нарисовать схемы вашей и тестовой сетей.

elennaro

@dvserg:

Без схемы по словам тяжело разбирать. Не осилил где и какие компы у Вас. Попробуйте нарисовать схемы вашей и тестовой сетей.

Добавил в топик схемы (чертил в dia как мог - но вроде понятно)…

dvserg

На тестовой сети PC1 нельзя включать в свич  с приватной сети это не каталист.
Ставим 3 сетевую и делаем DMZ (OPT интерфейс), в котором и подключаем машинку с реальным адресом. А OPT и WAN можно сделать бриджем, на 2.0 шейпер на бридже должен работать.

Каталист много чего интересного скрывает с глаз людских прикидываясь обычным свичем.

elennaro

@dvserg:

На тестовой сети PC1 нельзя включать в свич  с приватной сети это не каталист.
Ставим 3 сетевую и делаем DMZ (OPT интерфейс), в котором и подключаем машинку с реальным адресом. А OPT и WAN можно сделать бриджем, на 2.0 шейпер на бридже должен работать.

Каталист много чего интересного скрывает с глаз людских прикидываясь обычным свичем.

ДА! Спасибо огромное! Так и попробую утром! Только 1 вопрос: для каждого диапазона открывать OPT и добавлять сетевуху (тоесть для 7x.x.x.* одну и для 9x.x.x.* другую), или на оба диапазона одной сетевухи хватит?
Свитч - не каталист - обычный тестовый свитч от Асус только с тестовыми компами(это в реальной сетке будет каталист)!
НО про опт сердцем чую - получится!!!
Завтра отпишусь!

Eugene

Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

dvserg

@Eugene:

Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

Как раз рабочая будет правильной в контексте использования каталистов. Но из-за них-же многое теряется в наглядности топологии. Умные слишком заразы  ;D

elennaro

@Eugene:

Вот бы все такие схемы рисовали! Неправильная, но за то какая красивая и понятная!

Сори. Схемы правда рисовать не умею - но старался. )

dvserg
Добавил третью сетевуху. Присвоил ей интерфейс OPT1:

и  проставил бридж на WAN:

PC 1 (c IP 7x.x.x.Z) из тестовой схемы попрежнему не в интернете(((

Eugene

Т.е. схема поменялась, нарисуй пожалуйста как сейчас.

elennaro

Значит так:
Перечитал ваши советы (спасибо еще раз), нашел вот этот мануал: http://pfsense.trendchiller.com/transparent_firewall.pdf

Сделал так (схема старая но могу нарисовать еще раз):
Настроил WAN как 7x.x.x.125/24 gateway: 7x.x.x.1

Настроил лан так:

Отключил NAT так:

Отключил автоматически создавшееся правило Outbound NAT:

Прописал Firewall Rules Временно так:

Результат: Бриджинг заработал и комп PC 1 с тестовой схемы с адресом 7x.x.x.Z - вошел в интернет!!!

Потом я добавил интерфейс OPT1 так:

И настроил его так:

Добавил правила:

В итоге PC 1 с тестовой схемы взял IP 10.10.10.107 (с внешнего DHCP)
PC 1 - ничего не пингует(((
Пишу
arp -a
результат:

interface 10.10.10.107  –- 0x2
Interface address      Physical address          Type
10.10.10.1              00-00-00-00-00-00      Invalid

Eugene

Т.е. OPT1 - это vlan на той же карте, что и LAN. Не имеет особого смысла, если нет свича, "знающего" про VLAN'ы.
От затеи с двумя интерфейсами надо отказаться хотя бы потому, что pfSense не умеет шэйпить больше одного LAN'а.
От затеи иметь Public IP на LAN тоже отказаться ибо в данном случае не вижу необходимости, всё должно получаться NAT'ом.