PfSense 1.2.3\. íà îäíó ñåòåâóþ êàðòó LAN
-
È òàê, äâà ñåðâåðà ñ «pfSense 1.2.3» (ñì. ñõåìó)
Äâà íåçàâèñèìûõ èíòåðåò ëèíêà äàëåå âíóòðåííÿÿ ñåòü, õàá è èíòåðíåò ðàçäà¸òñÿ þçåðàì, äàëåå þçåðû ñàìè ïðèíèìàþò ðåøåíèå
÷åðåç êàêîé èíòåðíåò èì âûõîäèòü èëè «1» èëè «2».
Ñ ïîìîùüþ ïðîãðàììû «NetSetMan» þçåðû îäíèì êëèêîì â ñåòåâîé êàðòå â ñâîéñòâå ïðîòîêîëà TCP/IP.
Ìåíÿþò ØËÞÇ È DNSêè- âîò òàê îíè è õîäÿò â èíòåðåíò. ;)×òî ÿ õî÷ó ñäåëàòü. Íà ñåðâàêè ñ «pfSense 1.2.3» ïîñòàâèòü ÒÐÅÒÜÞ ñåòåâóþ
–êîòîðàÿ áóäåò ñìîòðåòü â WAN, à ñåòåâîé ñ LAN äàòü äâà IP àäðåñà (192.168.1.100 è 192.168.1.200)
×òîá íå íàðóøàòü ìíîãîëåòíþþ ïðèâû÷êó þçåðîâ ïîëüçîâàòüñÿ ïåðåêëþ÷åíèåì èíòåðíåòîâ, ê êîòîðîé óæå òàê äàâíî ïðèâûêëè â íàøåé ìèíè ñåòêè. 8)
Çàäóìêà ýòà ñäåëàíà äëÿ òîãî ÷òîá íå äâà ñåðâàêà îäíîâðåìåííî ðàáîòàëè, à ê ïðèìåðó ìåñÿö îäèí, ìåñÿö äðóãîé ò.å. ÷òîá îäèí ñåðâåð ðàáîòàë äðóãîé îòäûõàë….
Ó êîãî êàêèå ìíåíèå áóäóò ãîñïîäà.
ñõåìà: http://i056.radikal.ru/1209/98/092e6417d2c7.jpg -
Хм.. Очень заморочено , однако ::)
Переходите на 2.0.1, настраивайте loadbalancing и failover - все будет жить на одном сервере. И что значит " … т.е. чтоб один сервер работал другой отдыхал " ? Это техника и чем меньше вы ей вкл\выкл делаете , тем для неё лучше . Она и расчитана работать 24\7.P.s. Для повышения отказоустойчивости ставьте на оба тот же Xen\Xen Server или proxmox (у них HCL по-мягче , чем у ESXi), настраиваете в гипервизоре виртуалку с pf, делаете ее резервную копию. Если настает "толстый полярный лис" для сервера в железном плане - у вас под рукой всегда второй есть. Подгрузить туда ВМ с pfsense составит ~10-15 мин.
P.s.s. Как вариант , если у вас pf просто интернет раздает без всяких там проксей и т.д. , купите asus rt-n16 , ставьте туда Tomato в версии с DualWAN, настривайте резервирование и балансировку и радуйтесь тишине и энергосбережению :) Есть в "помидорке" и простой limiter и шейпинг по-портам и даже (sic!) L7-фильтр.
-
Õì.. Î÷åíü çàìîðî÷åíî , îäíàêî ::)
×òî íà ñòîëüêî çàìàðî÷åíî, ÷òî íåëüçÿ ñäåëàòü âîò ýòè ÒÐÈ ÂÅÙÈ? ???
1) Íà ñåðâàê ñ «pfSense 1.2.3» ñòàâÿòñÿ ÒÐÈ ñåòåâûõ êàðòû (äâà –WAN, îäíà LAN ñ äâóìÿ IP àäðåñàìè (192.168.1.100 è 192.168.1.200)
2) Âî âíóòðåííåé ñåòè ó âñåõ þçåðîâ ñòàòèñòè÷åñêèì IP àäðåñà
3) þçåðû âî âíóòðåííåé ñåòè â ñåòåâîé êàðòå â ñâîéñòâå ïðîòîêîëà TCP/IP ìåíÿþò ØËÞÇ È DNSêè- òàêèì ñïîñîáîì îíè ìîãóò âûáèðàòü ÷åðåç êàêîãî èíòåðíåò ïðîâàéäåðà èì âûõîäèòü â èíåò "1" èëè "2"
Ýòî òåõíèêà è ÷åì ìåíüøå âû åé âêë\âûêë äåëàåòå , òåì äëÿ íå¸ ëó÷øå . Îíà è ðàñ÷èòàíà ðàáîòàòü 24\7.
ÝÒÎ ÌÎÆÅÒ È ÑÅÐÂÅÐÍÛÅ ÂÀÐÈÀÍÒÛ ÐÀÑ×ÈÒÀÍÛ-à ó ìåíÿ pfSense ñòîèò íà îáû÷íûõ ìàòåðèíêàõ, 4-ûõ ïíÿõ (socket 478)…. :(
-
Сделать эти три вещи можно - просто возьмите и сделайте. Но есть возможность уйти от двойной подсети и от необходимости пользователям выбирать ту или иную подсеть. Версия pfSense 2.0.1 рекомендуется как текущая стабильная, имеющая бОльше возможностей и меньше ошибок по сравнению с pfSense 1.2.3 .
-
Ñäåëàòü ýòè òðè âåùè ìîæíî - ïðîñòî âîçüìèòå è ñäåëàéòå.
âîò ñ ýòîãî ìåñòà õîòåëîñü ïî ïîäðîáíåå áû ;)
Íî åñòü âîçìîæíîñòü óéòè îò äâîéíîé ïîäñåòè
êàêàÿ äâîéíàÿ? ñåòü îäíà îò "192.168.1.1" äî "192.168.1.254" è òî íå âñå 254 àäðåñà èñïîëüçóþòñÿ (â ïåðâîì ïîñòå åñòü ñõåìà ñåòè)
è îò íåîáõîäèìîñòè ïîëüçîâàòåëÿì âûáèðàòü òó èëè èíóþ ïîäñåòü.
òîåñòü â pfSense 1.2.3 íåëüçÿ ñäåëàòü òàêóþ îïöèþ- êàê ÿ ïèñàë âûøå, ÷òîá þçåðû â ñåòåâîé êàðòå â ñâîéñòâå ïðîòîêîëà TCP/IP ìåíÿþò ØËÞÇ È DNSêè- è òàê áû ìåíÿëè ïðîâàéäåðà? "1" èëè "2"
-
Упс, сори - не внимательно смотрел. Думал, что у Вас две разные подсети (в этом случае делается правилами с роутингом / роутингом). Для одной подсети не представляю как такое на одном интерфейсе сделать (разве, что NATом на LAN помудрить).
В 1.2.3 на сколько помню нельзя через GUI задать два IP адреса на интерфейсе (кроме как разные типы Virtual IP). В 2.0.1 эту возможность добавили как IP Alias.
-
Óïñ, ñîðè - íå âíèìàòåëüíî ñìîòðåë. Äóìàë, ÷òî ó Âàñ äâå ðàçíûå ïîäñåòè. Äëÿ îäíîé ïîäñåòè íå ïðåäñòàâëÿþ êàê òàêîå íà îäíîì èíòåðôåéñå ñäåëàòü (ðàçâå, ÷òî NATîì íà LAN ïîìóäðèòü).
ðàçâå â pfSense 1.2.3 íà îäíîé ôèçè÷åñêîé ñåòåâîé êàðòå ò.å. LAN- íåëüçÿ ïðîïèñàòü äâà IP àäðåñà (192.168.1.100 è 192.168.1.200)
-
Упс, сори - не внимательно смотрел. Думал, что у Вас две разные подсети. Для одной подсети не представляю как такое на одном интерфейсе сделать (разве, что NATом на LAN помудрить).
разве в pfSense 1.2.3 на одной физической сетевой карте т.е. LAN- нельзя прописать два IP адреса (192.168.1.100 и 192.168.1.200)
Ну Proxy ARP точно не подойдет, а с CARP и Other у меня ( как помню ) мало что вышло. Сейчас 1.2.3 в распоряжении нет, чтобы проверить точно.
-
Íó Proxy ARP òî÷íî íå ïîäîéäåò, à ñ CARP è Other ó ìåíÿ ( êàê ïîìíþ ) ìàëî ÷òî âûøëî. Ñåé÷àñ 1.2.3 â ðàñïîðÿæåíèè íåò, ÷òîáû ïðîâåðèòü òî÷íî.
dvserg, à ìîæåò òàê ïîïðîáîâàòü?
ñîçäàòü åùå îäíè èíòåðôåéñ OPT1 êîòîðûé íàçûâàåòñÿ….òîëüêî ôèçè÷åñêèé èíòåðôåéñ óêàçàòü òîò æå ÷òî è äëÿ ËÀÍ .... è âîò òàê ïðîïèñûâàåòñÿ 2 àéïè íà îäíó ñåòåâêó îáìàíûâàåòñÿ ôàêòè÷åñêè îñü...
âîò òàê ïðèìåðíî: http://s018.radikal.ru/i509/1209/63/c02d9d3ce506.png -
Ну Proxy ARP точно не подойдет, а с CARP и Other у меня ( как помню ) мало что вышло. Сейчас 1.2.3 в распоряжении нет, чтобы проверить точно.
dvserg, а может так попробовать?
создать еще одни интерфейс OPT1 который называется….только физический интерфейс указать тот же что и для ЛАН .... и вот так прописывается 2 айпи на одну сетевку обманывается фактически ось...Попробуйте, если сможете на 1.2.3.
Зы С NAT на одной подсети тоже облом - не выйдет такое.
-
Çû Ñ NAT íà îäíîé ïîäñåòè òîæå îáëîì - íå âûéäåò òàêîå.
ÒÎÅÑÒÜ ÏÓÊÒ ¹3 Ó ÌÅÍß ÍÅ ÏÎËÓ×ÈÒÑß ÑÄÅËÀÒÜ? 3) þçåðû âî âíóòðåííåé ñåòè â ñåòåâîé êàðòå â ñâîéñòâå ïðîòîêîëà TCP/IP ìåíÿþò ØËÞÇ È DNSêè- òàêèì ñïîñîáîì îíè ìîãóò âûáèðàòü ÷åðåç êàêîãî èíòåðíåò ïðîâàéäåðà èì âûõîäèòü â èíåò "1" èëè "2"
-
Зы С NAT на одной подсети тоже облом - не выйдет такое.
ТОЕСТЬ ПУКТ №3 У МЕНЯ НЕ ПОЛУЧИТСЯ СДЕЛАТЬ? 3) юзеры во внутренней сети в сетевой карте в свойстве протокола TCP/IP меняют ШЛЮЗ И DNSки- таким способом они могут выбирать через какого интернет провайдера им выходить в инет "1" или "2"
Я не вижу такого способа.
-
ß íå âèæó òàêîãî ñïîñîáà.
êàê òî ñòðàííî, êîãäà îäèè WAN - NAT ìîæíî ñäåëàòü, à âîò ñ äâóìÿ WANàíàìè- ÓÆíå ïîëó÷àåòñÿ? à êàê æå ìîæíî ðàáîòàòü ñ äâóìÿ WANàìè?
-
-
Âî 2-îì ïîñòå ñàìûé ïðîñòîé âàðèàíò.
Äà êàêàÿ òî åðóíäà ïîëó÷àåòñÿ, íå âåðþ ÷òîá â «pfSense 1.2.3» íåëüçÿ ðåàëèçîâàòü
Òàêèå ïðîñòûå âåùè êàê:
1) Íà ñåðâàê ñ «pfSense 1.2.3» ñòàâÿòñÿ ÒÐÈ ñåòåâûõ êàðòû (äâà –WAN, îäíà LAN ñ äâóìÿ IP àäðåñàìè (192.168.1.100 è 192.168.1.200)
2) Âî âíóòðåííåé ñåòè ó âñåõ þçåðîâ ñòàòèñòè÷åñêèì IP àäðåñà
3) þçåðû âî âíóòðåííåé ñåòè â ñåòåâîé êàðòå â ñâîéñòâå ïðîòîêîëà TCP/IP ìåíÿþò ØËÞÇ È DNSêè- òàêèì ñïîñîáîì îíè ìîãóò âûáèðàòü ÷åðåç êàêîãî èíòåðíåò ïðîâàéäåðà èì âûõîäèòü â èíåò "1" èëè "2"Ïðèâåäó ïðîñòîé ïðèìåð, âñå ïðåêðàñíî çíàþò, ÷òîá èç âíå â «pfSense 1.2.3» ïðîáðîñèòü VPN ñîåäèíåíèå íóæíî îòêðûòü PPTP clients
(ñì. ñêðàá: http://s55.radikal.ru/i148/1209/d9/ba829b139962.png ) à òàê æå ìîæíî è íå îòêðûâàòü PPTP clients è ïî äðóãîìó ïðîáðîñèòü VPN ñîåäèíåíèå èç âíå… ;) -
1) Íà ñåðâàê ñ «pfSense 1.2.3» ñòàâÿòñÿ ÒÐÈ ñåòåâûõ êàðòû (äâà –WAN, îäíà LAN ñ äâóìÿ IP àäðåñàìè (192.168.1.100 è 192.168.1.200)
2) Âî âíóòðåííåé ñåòè ó âñåõ þçåðîâ ñòàòèñòè÷åñêèì IP àäðåñà
3) þçåðû âî âíóòðåííåé ñåòè â ñåòåâîé êàðòå â ñâîéñòâå ïðîòîêîëà TCP/IP ìåíÿþò ØËÞÇ È DNSêè- òàêèì ñïîñîáîì îíè ìîãóò âûáèðàòü ÷åðåç êàêîãî èíòåðíåò ïðîâàéäåðà èì âûõîäèòü â èíåò "1" èëè "2"Âîò ýòè òðè ïóíêòà ïîëó÷èòñÿ ðåàëèçîâàòü, åñëè áóäó ×ÅÒÛÐÅ ñåòåâóõè (ñì. ñõåìó: http://s018.radikal.ru/i521/1209/c6/c0a2cb7b73c6.jpg )
-
1) На сервак с «pfSense 1.2.3» ставятся ТРИ сетевых карты (два –WAN, одна LAN с двумя IP адресами (192.168.1.100 и 192.168.1.200)
2) Во внутренней сети у всех юзеров статистическим IP адреса
3) юзеры во внутренней сети в сетевой карте в свойстве протокола TCP/IP меняют ШЛЮЗ И DNSки- таким способом они могут выбирать через какого интернет провайдера им выходить в инет "1" или "2"Вот эти три пункта получится реализовать, если буду ЧЕТЫРЕ сетевухи (см. схему: http://s018.radikal.ru/i521/1209/c6/c0a2cb7b73c6.jpg )
Вставлю свои 5 копеек.
1. В версии 2.0 будет работать схема с двумя WAN и LAN
2. Я так понял, что NetSetMan может менять не только ДНС и ШЛЮЗ, а и айпи адрес. Можно поделить пользователей на две группы адресов. 1я идет через одного провайдера в инет, 2я через второго. Меняя IP юзвери будут выбирать через какого провайдера выходить в инет.
http://thin.kiev.ua/router-os/50-pfsense/515-c-qq-pfsense.html