PfSense 1.2.3\. íà îäíó ñåòåâóþ êàðòó LAN



  • È òàê, äâà ñåðâåðà ñ «pfSense 1.2.3» (ñì. ñõåìó)
    Äâà íåçàâèñèìûõ èíòåðåò ëèíêà äàëåå âíóòðåííÿÿ ñåòü, õàá è èíòåðíåò ðàçäà¸òñÿ þçåðàì, äàëåå þçåðû ñàìè ïðèíèìàþò ðåøåíèå 
    ÷åðåç êàêîé èíòåðíåò èì âûõîäèòü èëè «1» èëè «2».
    Ñ ïîìîùüþ ïðîãðàììû «NetSetMan» þçåðû îäíèì êëèêîì â ñåòåâîé êàðòå â ñâîéñòâå ïðîòîêîëà TCP/IP.
    Ìåíÿþò ØËÞÇ È DNSêè- âîò òàê îíè è õîäÿò â èíòåðåíò.  ;)

    ×òî ÿ õî÷ó ñäåëàòü. Íà ñåðâàêè ñ «pfSense 1.2.3» ïîñòàâèòü ÒÐÅÒÜÞ ñåòåâóþ 
    –êîòîðàÿ áóäåò ñìîòðåòü â WAN,  à ñåòåâîé ñ LAN äàòü äâà IP àäðåñà (192.168.1.100 è 192.168.1.200)
    ×òîá íå íàðóøàòü ìíîãîëåòíþþ ïðèâû÷êó þçåðîâ ïîëüçîâàòüñÿ ïåðåêëþ÷åíèåì èíòåðíåòîâ, ê êîòîðîé óæå òàê äàâíî ïðèâûêëè â íàøåé ìèíè ñåòêè.  8)
    Çàäóìêà ýòà ñäåëàíà äëÿ òîãî ÷òîá íå äâà ñåðâàêà îäíîâðåìåííî ðàáîòàëè, à ê ïðèìåðó ìåñÿö îäèí, ìåñÿö äðóãîé ò.å. ÷òîá îäèí ñåðâåð ðàáîòàë äðóãîé îòäûõàë….
    Ó êîãî êàêèå ìíåíèå áóäóò ãîñïîäà.
    ñõåìà: http://i056.radikal.ru/1209/98/092e6417d2c7.jpg



  • Хм.. Очень заморочено , однако  ::)
    Переходите на 2.0.1, настраивайте loadbalancing и failover - все будет жить на одном сервере. И что значит " … т.е. чтоб один сервер работал другой отдыхал " ? Это техника и чем меньше вы ей вкл\выкл делаете , тем для неё лучше . Она и расчитана работать 24\7.

    P.s. Для повышения отказоустойчивости ставьте на оба тот же Xen\Xen Server или proxmox (у них HCL по-мягче , чем у ESXi), настраиваете в гипервизоре виртуалку с pf, делаете ее резервную копию. Если настает "толстый полярный лис" для сервера в железном плане - у вас под рукой всегда второй есть. Подгрузить туда ВМ с pfsense составит ~10-15 мин.

    P.s.s. Как вариант ,  если у вас pf просто интернет раздает без всяких там проксей и т.д. , купите asus rt-n16 , ставьте туда Tomato в версии с DualWAN, настривайте резервирование и балансировку и радуйтесь тишине и энергосбережению :) Есть в "помидорке" и простой limiter и шейпинг по-портам и даже (sic!) L7-фильтр.



  • @werter:

    Õì.. Î÷åíü çàìîðî÷åíî , îäíàêî  ::)

    ×òî íà ñòîëüêî çàìàðî÷åíî, ÷òî íåëüçÿ ñäåëàòü âîò ýòè ÒÐÈ ÂÅÙÈ? ???

    1)  Íà ñåðâàê ñ «pfSense 1.2.3» ñòàâÿòñÿ  ÒÐÈ ñåòåâûõ êàðòû (äâà –WAN,  îäíà LAN ñ äâóìÿ IP àäðåñàìè (192.168.1.100 è 192.168.1.200)

    2) Âî âíóòðåííåé ñåòè ó âñåõ þçåðîâ ñòàòèñòè÷åñêèì IP àäðåñà

    3) þçåðû âî âíóòðåííåé ñåòè  â ñåòåâîé êàðòå â ñâîéñòâå ïðîòîêîëà TCP/IP ìåíÿþò ØËÞÇ È DNSêè- òàêèì ñïîñîáîì îíè ìîãóò âûáèðàòü ÷åðåç êàêîãî èíòåðíåò ïðîâàéäåðà èì âûõîäèòü â èíåò  "1"  èëè "2"

    @werter:

    Ýòî òåõíèêà è ÷åì ìåíüøå âû åé âêë\âûêë äåëàåòå , òåì äëÿ íå¸ ëó÷øå . Îíà è ðàñ÷èòàíà ðàáîòàòü 24\7.

    ÝÒÎ ÌÎÆÅÒ È ÑÅÐÂÅÐÍÛÅ ÂÀÐÈÀÍÒÛ ÐÀÑ×ÈÒÀÍÛ-à ó ìåíÿ pfSense ñòîèò íà îáû÷íûõ ìàòåðèíêàõ, 4-ûõ ïíÿõ (socket 478)…. :(



  • Сделать эти три вещи можно - просто возьмите и сделайте. Но есть возможность уйти от двойной подсети и  от необходимости пользователям выбирать ту или иную подсеть. Версия pfSense 2.0.1 рекомендуется как текущая стабильная, имеющая бОльше возможностей и меньше ошибок по сравнению с pfSense 1.2.3 .



  • @dvserg:

    Ñäåëàòü ýòè òðè âåùè ìîæíî - ïðîñòî âîçüìèòå è ñäåëàéòå.

    âîò ñ ýòîãî ìåñòà õîòåëîñü ïî ïîäðîáíåå áû ;)

    Íî åñòü âîçìîæíîñòü óéòè îò äâîéíîé ïîäñåòè

    êàêàÿ äâîéíàÿ? ñåòü îäíà îò "192.168.1.1" äî "192.168.1.254" è  òî íå âñå 254 àäðåñà èñïîëüçóþòñÿ (â ïåðâîì ïîñòå åñòü ñõåìà ñåòè)

    è  îò íåîáõîäèìîñòè ïîëüçîâàòåëÿì âûáèðàòü òó èëè èíóþ ïîäñåòü.

    òîåñòü â pfSense 1.2.3 íåëüçÿ ñäåëàòü òàêóþ îïöèþ- êàê ÿ ïèñàë âûøå, ÷òîá þçåðû â ñåòåâîé êàðòå â ñâîéñòâå ïðîòîêîëà TCP/IP ìåíÿþò ØËÞÇ È DNSêè- è òàê áû  ìåíÿëè ïðîâàéäåðà? "1"  èëè "2"



  • Упс, сори - не внимательно смотрел. Думал, что у Вас две разные подсети (в этом случае делается правилами с роутингом / роутингом). Для одной подсети не представляю как такое на одном интерфейсе сделать (разве, что NATом на LAN помудрить).

    В 1.2.3 на сколько помню нельзя через GUI задать два IP адреса на интерфейсе (кроме как разные типы Virtual IP). В 2.0.1 эту возможность добавили как IP Alias.



  • @dvserg:

    Óïñ, ñîðè - íå âíèìàòåëüíî ñìîòðåë. Äóìàë, ÷òî ó Âàñ äâå ðàçíûå ïîäñåòè. Äëÿ îäíîé ïîäñåòè íå ïðåäñòàâëÿþ êàê òàêîå íà îäíîì èíòåðôåéñå ñäåëàòü (ðàçâå, ÷òî NATîì íà LAN ïîìóäðèòü).

    ðàçâå â pfSense 1.2.3 íà îäíîé ôèçè÷åñêîé ñåòåâîé êàðòå ò.å.  LAN- íåëüçÿ ïðîïèñàòü äâà IP àäðåñà (192.168.1.100 è 192.168.1.200)



  • @Barin:

    @dvserg:

    Упс, сори - не внимательно смотрел. Думал, что у Вас две разные подсети. Для одной подсети не представляю как такое на одном интерфейсе сделать (разве, что NATом на LAN помудрить).

    разве в pfSense 1.2.3 на одной физической сетевой карте т.е.  LAN- нельзя прописать два IP адреса (192.168.1.100 и 192.168.1.200)

    Ну Proxy ARP точно не подойдет, а с  CARP и Other у меня ( как помню ) мало что вышло. Сейчас 1.2.3 в распоряжении нет, чтобы проверить точно.



  • @dvserg:

    Íó Proxy ARP òî÷íî íå ïîäîéäåò, à ñ  CARP è Other ó ìåíÿ ( êàê ïîìíþ ) ìàëî ÷òî âûøëî. Ñåé÷àñ 1.2.3 â ðàñïîðÿæåíèè íåò, ÷òîáû ïðîâåðèòü òî÷íî.

    dvserg, à ìîæåò òàê ïîïðîáîâàòü?
    ñîçäàòü åùå îäíè èíòåðôåéñ OPT1 êîòîðûé íàçûâàåòñÿ….òîëüêî ôèçè÷åñêèé èíòåðôåéñ óêàçàòü òîò æå ÷òî è äëÿ ËÀÍ .... è âîò òàê ïðîïèñûâàåòñÿ 2 àéïè íà îäíó ñåòåâêó  îáìàíûâàåòñÿ ôàêòè÷åñêè îñü...
    âîò òàê ïðèìåðíî: http://s018.radikal.ru/i509/1209/63/c02d9d3ce506.png



  • @Barin:

    @dvserg:

    Ну Proxy ARP точно не подойдет, а с  CARP и Other у меня ( как помню ) мало что вышло. Сейчас 1.2.3 в распоряжении нет, чтобы проверить точно.

    dvserg, а может так попробовать?
    создать еще одни интерфейс OPT1 который называется….только физический интерфейс указать тот же что и для ЛАН .... и вот так прописывается 2 айпи на одну сетевку  обманывается фактически ось...

    Попробуйте, если сможете на 1.2.3.

    Зы С NAT на одной подсети тоже облом - не выйдет такое.



  • @dvserg:

    Çû Ñ NAT íà îäíîé ïîäñåòè òîæå îáëîì - íå âûéäåò òàêîå.

    ÒÎÅÑÒÜ ÏÓÊÒ ¹3 Ó ÌÅÍß ÍÅ ÏÎËÓ×ÈÒÑß ÑÄÅËÀÒÜ? 3) þçåðû âî âíóòðåííåé ñåòè  â ñåòåâîé êàðòå â ñâîéñòâå ïðîòîêîëà TCP/IP ìåíÿþò ØËÞÇ È DNSêè- òàêèì ñïîñîáîì îíè ìîãóò âûáèðàòü ÷åðåç êàêîãî èíòåðíåò ïðîâàéäåðà èì âûõîäèòü â èíåò  "1"  èëè "2"



  • @Barin:

    @dvserg:

    Зы С NAT на одной подсети тоже облом - не выйдет такое.

    ТОЕСТЬ ПУКТ №3 У МЕНЯ НЕ ПОЛУЧИТСЯ СДЕЛАТЬ? 3) юзеры во внутренней сети  в сетевой карте в свойстве протокола TCP/IP меняют ШЛЮЗ И DNSки- таким способом они могут выбирать через какого интернет провайдера им выходить в инет  "1"  или "2"

    Я не вижу такого способа.



  • @dvserg:

    ß íå âèæó òàêîãî ñïîñîáà.

    êàê òî ñòðàííî, êîãäà îäèè WAN - NAT ìîæíî ñäåëàòü, à âîò ñ äâóìÿ WANàíàìè- ÓÆíå ïîëó÷àåòñÿ? à êàê æå ìîæíî ðàáîòàòü ñ äâóìÿ WANàìè?



  • @Barin:

    @dvserg:

    Я не вижу такого способа.

    как то странно, когда одии WAN - NAT можно сделать, а вот с двумя WANанами- УЖне получается? а как же можно работать с двумя WANами?

    Во 2-ом посте самый простой вариант.



  • @dvserg:

    Âî 2-îì ïîñòå ñàìûé ïðîñòîé âàðèàíò.

    Äà êàêàÿ òî åðóíäà ïîëó÷àåòñÿ, íå âåðþ ÷òîá â  «pfSense 1.2.3»  íåëüçÿ ðåàëèçîâàòü
    Òàêèå ïðîñòûå âåùè êàê:
    _1)  Íà ñåðâàê ñ «pfSense 1.2.3» ñòàâÿòñÿ  ÒÐÈ ñåòåâûõ êàðòû (äâà –WAN,  îäíà LAN ñ äâóìÿ IP àäðåñàìè (192.168.1.100 è 192.168.1.200)

    1. Âî âíóòðåííåé ñåòè ó âñåõ þçåðîâ ñòàòèñòè÷åñêèì IP àäðåñà
    2. þçåðû âî âíóòðåííåé ñåòè  â ñåòåâîé êàðòå â ñâîéñòâå ïðîòîêîëà TCP/IP ìåíÿþò ØËÞÇ È DNSêè- òàêèì ñïîñîáîì îíè ìîãóò âûáèðàòü ÷åðåç êàêîãî èíòåðíåò ïðîâàéäåðà èì âûõîäèòü â èíåò  "1"  èëè "2"_

    Ïðèâåäó ïðîñòîé ïðèìåð, âñå ïðåêðàñíî çíàþò, ÷òîá èç âíå  â «pfSense 1.2.3» ïðîáðîñèòü VPN ñîåäèíåíèå íóæíî îòêðûòü PPTP clients
    (ñì. ñêðàá: http://s55.radikal.ru/i148/1209/d9/ba829b139962.png ) à òàê æå ìîæíî è íå îòêðûâàòü PPTP clients è ïî äðóãîìó ïðîáðîñèòü VPN ñîåäèíåíèå èç âíå… ;)



  • @Barin:

    1)  Íà ñåðâàê ñ «pfSense 1.2.3» ñòàâÿòñÿ  ÒÐÈ ñåòåâûõ êàðòû (äâà –WAN,  îäíà LAN ñ äâóìÿ IP àäðåñàìè (192.168.1.100 è 192.168.1.200)

    2) Âî âíóòðåííåé ñåòè ó âñåõ þçåðîâ ñòàòèñòè÷åñêèì IP àäðåñà
     
    3) þçåðû âî âíóòðåííåé ñåòè  â ñåòåâîé êàðòå â ñâîéñòâå ïðîòîêîëà TCP/IP ìåíÿþò ØËÞÇ È DNSêè- òàêèì ñïîñîáîì îíè ìîãóò âûáèðàòü ÷åðåç êàêîãî èíòåðíåò ïðîâàéäåðà èì âûõîäèòü â èíåò  "1"  èëè "2"

    Âîò ýòè òðè ïóíêòà ïîëó÷èòñÿ ðåàëèçîâàòü, åñëè áóäó ×ÅÒÛÐÅ ñåòåâóõè (ñì. ñõåìó: http://s018.radikal.ru/i521/1209/c6/c0a2cb7b73c6.jpg )



  • @Barin:

    @Barin:

    1)  На сервак с «pfSense 1.2.3» ставятся  ТРИ сетевых карты (два –WAN,  одна LAN с двумя IP адресами (192.168.1.100 и 192.168.1.200) 
    2) Во внутренней сети у всех юзеров статистическим IP адреса   
    3) юзеры во внутренней сети  в сетевой карте в свойстве протокола TCP/IP меняют ШЛЮЗ И DNSки- таким способом они могут выбирать через какого интернет провайдера им выходить в инет  "1"  или "2"

    Вот эти три пункта получится реализовать, если буду ЧЕТЫРЕ сетевухи (см. схему: http://s018.radikal.ru/i521/1209/c6/c0a2cb7b73c6.jpg )

    Вставлю свои 5 копеек.
    1. В версии 2.0 будет работать схема с двумя WAN и LAN
    2. Я так понял, что NetSetMan может менять не только ДНС и ШЛЮЗ, а и айпи адрес. Можно поделить пользователей на две группы адресов. 1я идет через одного провайдера в инет, 2я через второго. Меняя IP юзвери будут выбирать через какого провайдера выходить в инет.
    http://thin.kiev.ua/router-os/50-pfsense/515-c-qq-pfsense.html


Locked