2.0RC - Работает ли Dial-on-demand ?



  • Вопрос к знающим - в pfSense Dial-on-demand вообще принципиально работает для pppoe/pptp ? У меня складывается впечатление, что нет, стабильно поднимается непонятно почему, даже если я вручную рассоединяю его.

    Конфига примерно такая:
    WAN - static IP, default gateway (весь трафик идет сюда)
    LAN
    OPT1 - pppoe, DoD + 60 sec. timeout

    DNSы на вкладке General Setup имеют шлюзом WAN gateway.

    От интерфейса OPT1 требуется только доступ на один IP (создано правило в System: Static Routes) по протоколам SMTP/POP3 (созданы правила в Firewall Rules, разрешающие только этот трафик).

    Но интерфейс OPT1 все-равно держится поднятым, не рассоединяется по таймауту и поднимается сам после ручного отключения. Куда копать ?

    UPDATE 06-09-2011: В общем, если в настройках интерфейса OPT1 выставить альтернативный шлюз, я взял для примера 127.0.0.1 - интерфейс отключается четко по расписанию, таймаут соединения отрабатывает. Правда, интерфейс обратно уже не поднимается.

    Получается, проверка самим pfSense доступности шлюза мешает своим же трафиком отрабатывать timeout. В силу этого пункт Dial-on-demand + timeout является полной бессмыслицей, ибо он не работает.

    Или все же можно как-то исключить ненужную в данном случае проверку шлюза ?



  • Хм, а может подскажете - правила Routing->Routes имеют преимущество над Firewall->Rules ? Или я недогоняю, как тут работает firewall ? Поясню - для простейшего теста на интерфейсе OPT1 в правилах firewall создано одно единственное правило - block any traffic, любой источник, любое назначение, любой протокол. В то же время в Routing->Routes перечислены конкретные IP-адреса, на которые маршрутизируется трафик в OPT1 через {Interfaceopt1dynamic gateway}.

    На этих IP-адресах мне доступны сервисы (в частности HTTP и SMTP/POP3), которые по идее наглухо должны быть закрыты правилом firewall для интерфейса OPT1. Захожу на эти сервисы с компьютера, расположенного в LAN-сегменте.



  • Обновил первый пост



  • Dial-on-demand - вызов по требованию. Поднимается от любого требующего это соединения пакета.
    Попробуйте уменьшить до минимума таймаут бездействия для отключения.



  • @dvserg:

    Dial-on-demand - вызов по требованию. Поднимается от любого требующего это соединения пакета.
    Попробуйте уменьшить до минимума таймаут бездействия для отключения.

    Проблема не в том, что интерфейс не поднимается. Проблема в том, что он не отключается по таймауту. Ибо этому мешаются пакеты, проверяющие доступность шлюза, предположительно. В итоге вместо интерфейса по требованию я получаю постоянно поднятый интерфейс. Мне хотелось бы добиться, чтобы интерфейс четко поднимался, когда попросят, и отключался, когда не нужно.


Locked