настройка PFsense, 2 wan, балансировка, приоретет. И ещ&#
-
Появилась острая необходимость раздать белые IP, сейчас раздаются серые в связке c MAC через DHCP. Белые с PFsense как можно раздать? PPOE? и приоритезировать трафик этих машин?
-
Появилась острая необходимость раздать белые IP, сейчас раздаются серые в связке c MAC через DHCP. Белые с PFsense как можно раздать? PPOE? и приоритезировать трафик этих машин?
http://www.thin.kiev.ua/router-os/50-pfsense/608-portforward-nat.html
-
так. А это сработает если белый IP приходит на WAN после поднятия PPPOE. И на этот же WAN придет второй белый IP?
-
Исходя из этого http://www.thin.kiev.ua/router-os/50-pfsense/574-nat.html
Правильно ли я понял. Беру еще один белый айпи, делаю 1:1 NAT для интерфейса ван, указываю там External subnet IP = белый ип, Internal IP = серый ип. Если в сети используется подсеть 192.168.1.1, могу я назначить машине с белым ip, серый ип из подсети 192.168.2.1?
-
Исходя из этого http://www.thin.kiev.ua/router-os/50-pfsense/574-nat.html
Если в сети используется подсеть 192.168.1.1, могу я назначить машине с белым ip, серый ип из подсети 192.168.2.1?Можете. Но тогда придется физическому интерфейсу 192.168.1.1 присвоить второй IP 192.168.2.1.
И на всех машинках в 192.168.2.0, ручками настраивать все реквизиты. :-))
-
Ребят. Такая проблемка есть… Не знаю на сколько это связано с sense-ом... В сети перестали работать роутеры - IP, маска, шлюз, DNS приходят на роутер(мак подменен), сенс видит роутер как онлайн, но в инет роутер не выходит. Так уже 3 роутера отказались работать.
-
Ребят. Такая проблемка есть… Не знаю на сколько это связано с sense-ом... В сети перестали работать роутеры - IP, маска, шлюз, DNS приходят на роутер(мак подменен), сенс видит роутер как онлайн, но в инет роутер не выходит. Так уже 3 роутера отказались работать.
Схему сети нарисуйте, пож-та. Не очень понятно- какие роутеры , находящиеся за пфсенсом или перед.
-
Вот. Набросал примерно. WiFi роутеров возможно в сети больше, два работают точно, один из них не зачеркнут на схеме. Зачеркнуты те о которых я знаю, перестали работать примерно за 3 дня.
Там где синие "линии радио", это радио линк от AP до ST на Гдидах UBNT, в режиме моста. До недавнего времени таких косяков не было. Все бы ничего, если бы роутеры не посыпались буквально одновременно.
-
Эээ, может проблема с БС Юбиквити ? Как бы она "концентрирует" проблемные роутеры. Вы на нее заходили на предмет логов ? В ней софт обновляли ? Попробуйте обновить. Плюс включите логи fw на пфсенсе смотрите.
P.s. А на Д-Линках и ТП-Линках прошивки "родные" стоят или альтернативные ? Советую ,по-возможности, сменить на альтернативные.
На ТП-Линках (чипсет Атерос) отлично взлетает Openwrt\Gargoyle , на Д-Линках - Openwrt\DD-Wrt.
Ну и моя любимая TomatoUSB от Shibby работает на Асусах (RT-N12 C1\D1, RT-N16 etc) и др. (чипсет Броадком) - http://en.wikipedia.org/wiki/Tomato_(firmware)
-
Дело в том, что до недавнего времени все работало отлично. Один из отвалившихся роутеров подключен в PFsense через коммутатор витой парой, порядка 80ти метров. Еще два через AP UBNT, которая в свою очередь витой парой в PFsense. И еще один роутер работал от второй AP UBNT, которая соединена с PFSENSE радиоканалом на Mikrotik. Так же есть точно работающий роутер, живущий на том же радиоканале Mikrotik.
Поэтому я считаю что дело не в радио, тк в разных точках сети проблема возникла. Может быть действительно совпадение и роутеры просто сдохли. Подожду еще - "хороший стук наружу выйдет".
-
2 Song
У вас на схеме к роутеру микротик подключен по воздуху коммутатор. Так бывает или это ошибка и к нему на самом деле подключен роутер длинк, а уж к длинку коммутатор?
-
2Song
Заглючившие роутеры на бесперебойниках? Холодную перезагрузку им делали?
-
2 Song
У вас на схеме к роутеру микротик подключен по воздуху коммутатор. Так бывает или это ошибка и к нему на самом деле подключен роутер длинк, а уж к длинку коммутатор?Я поясню, Это мост из двух микротиков, настроены прозрачным бриджом.
-
поясните принцип работы балансировки нагрузки?
два шлюза на РРРоЕ один из них стоит дефолтовый.
шлюзы объеденены в группу.
на каждом гейте стоит тир1
отключение по мембер даун.
если ставлю по лэтенси или лосс они вообще как то странно начинают работать
поидее при забивании канала, будут расти задержки в данном случае он просто переключает канал. работает в режиме файловер.
как ему задать балансировку по бандвич либо самый примитивный запрос туда запрос сюда?
или это уже через шэйпер ковырять.
там кстати тоже 3 разных алгоритма и нет пояснений, какой как работает.
-
Ecли Tier1=Tier2, то производится ПОСЕССИОННАЯ равномерная балансировка между двумя каналами.
Если Tier не равны между собой, то меньший Tier имеет приоритет при failover. Weight в gateway Advanced при равных Tier, например, 3:1 означает, что пропускная способность первого выше в три раза второго.
При падении одного канала все новые сессии начинают ходить через оставшийся. Старые сессии через зависший канал тоже подвисают.
Повторяю, балансирова посессионная, а не попакетная.
Считается, что сетевой стек Freebsd получше Linux. На практике шейпинг и балансировка в Zeroshell более продвинутые, чем в Pfsense. НО это мое субъективное мнение.
-
Вот в том то и проблема. Тир первого канала равен тир второго канала.
Но при этом первый канал стабильно загружен на 30-40 мегабит, а на втором канале 150 килобит и то обратного тср трафика.
При этом я даже убрал галки дефолт гейтвэй с обоих интерфейсов.
Непонимаю.
-
В Rules gateway установлен на gatewaygroup?
-
Так, походу нет.
У меня правило для каждой подсети фром сабнет то эни
Я пока до файром разбираюсь, как мне все правила прописать не через жопу :)
Можешь пояснить или картинку скинуть как это должно прописываться и на каком интерфейсе? Я чего то пока недопонимаю как это тут работает.
Маны курю
-
-
Спасибо )) про этот пунктик я как то и забыл
-
Вот в том то и проблема. Тир первого канала равен тир второго канала.
Но при этом первый канал стабильно загружен на 30-40 мегабит, а на втором канале 150 килобит и то обратного тср трафика.
При этом я даже убрал галки дефолт гейтвэй с обоих интерфейсов.
Непонимаю.А если указать Weigt каждого шлюза?
2 WAN. Оба включены в группу с Tier=1
В
System: Gateways: Edit gateway-Advanced
Попробуйте указать Weight для каждого шлюза, чтобы задать соотношение пропускных способностей.
У меня задано соотношение 1:3, и оно прекрасно отрабатывается.
http://doc.pfsense.org/index.php/Multi-WAN_2.0#Weight
-
Каналы то у меня с одинаковой пропускной способностью :)
Нетормоз ссылочку кинул, я по картинкам понял, что я в правилах шлюз не выставлял групповой, потому и работало все через один канал :)
Сейчас все прекрасно работает.Вопрос на засыпку шифрование канала впн сильно проц грузит?
-
Pigbrother правильно добавил, я про weight совсем не упомянул. Теперь подправил выше. Для VPN дели частоту процессора одного ядра на 40-45, чтобы получить максимальную скорость внутри VPN. Скажем двухядерный проц на 3 ГГц уже может сделать VPN на 130-150 Мб/c.
-
Доброго времени суток. Провайдер перешел с PPPOE на статик ИП, подскажите как сент настроить на статик ИП?
Есть ип
Маска 255.255.255.224
есть шлюзПрикрепил скрин, правильно все вбил?
-
Маска /32 не есть 255.255.255.224
Поищите в инете калькуляторы
-
/27 это и будет 255.255.255.224?
-
Все заработало. Спасибо. Подскажите, у сенса есть какие ни буть ограничения по количеству адресов а алисе для правила с лимитером?
По какой то причине не догружается канал, нет скорости на клиентских машинах. Проверку делаю на спидтесте с машине без ограничений по скорости, по графику в сенсе, не догружается 1-2 Мбит. Когда отключаю правила с лиметерами для простых смертных машин и делаю так же проверку со свей, то канал по графику сенса загружается полностью при спидтесте.
И еще вопрос, может ли быть косяк в сетевухе? Все правила установлены на LAN(Dlink сетевая). Правила шейпера по приоритезации трафика на Floating. Сетевая WAN интеловская, есть ли смысл поменять сетевые местами?
-
+в догонку. Бывает такое, особенно по вечерам. Спидтест показывает нормальную скорость(какая и должна быть) на клиентской машине, но при этом онлайн видео грузится со скрипом, да и веб серфинг не такой резвый как днем. При этом канал загружен на 50%-70%!
Куда копать?
-
Спидтест показывает нормальную скорость(какая и должна быть) на клиентской машине, но при этом онлайн видео грузится со скрипом, да и веб серфинг не такой резвый как днем
Я поставил кеш сервер, который клиенту, если у него 50, выдает 100.
:D
-
Не не то. Клиенту отмеряю лиметером мегабит, на спидтесте у него все нормально, показывается мегабит, но на этом мегабите при загрузке онлайн видео, явно видно что нет там мегабита, потому что практически вообще не прогружается видяхя.
Сейчас всплыл еще косяк: DHCP раздает серые IP с привязкой к маку. Интернет раздается по IP. Очень удобно для клиентов, вставил кабель и погнал. В DHCP server установлена всегда Deny unknown clients.
Сегодня поставил галочку на Enable Static ARP entries и сразу же отвалились три машины… Выключил Enable Static ARP entries интернет у них появился.
Почему? Может ли это быть из за ввода настроек сети вручную на клиентской машине?
-
Почему? Может ли это быть из за ввода настроек сети вручную на клиентской машине?
Может.
-
Причины:
- Ввод ручных настроек на клиентской машине.
- Привязка двух MACов к одному IP.
В общем чудесная вещь :) Свою функцию выполняет, и пропала необходимость перехода на PPPoE ;D
С недогрузкой канала решилось так - отключил 38 правил фаервола на закладке
Floating отвечающие за приоритезацию различного трафика, оставил только самые необходимые(с моей точки зрения все нужны были, добавлялись вручную) в количестве 14 штук, приоретизирующие трафик на WOT и всякие HTTP, HTTPS и DNS запросы.
-
Все же периодически всплывет проблема с недогрузкой внешнего канала. При этом не хватает скорости на всех клиентов. При отключении правил с лиметерами канал грузится на 100%, значит проблема не со стороны аплинка.
В чем может быть проблема?
Для правила фаерола, содержащего лимитер(например один мегабит) есть ограничение по количеству IP адресов в алисе? Или количество IP адресов на один лимитер?
Уже не знаю куда еще копать, загрузка процессора 20-50%, иногда на пару секунд прыгает до 100%. Загрузка ОЗУ 30-50%. В сети 50 машин.
-
На чем "трудится" пф (в смысле железо)?
-
На писюке Celeron 1,7Ггц, 3 планки озу по 128Мб.
-
Берите недорогой 2-ух ядерник, 1-2Гб ОЗУ, сетевые желательно Интел. Все это можно б\у, ес-но. Ваше железо как бы "захлебывается".
-
Есть HP Proliant DL360G4 2x3.4Ггц Xeon, 4x1024 ddr. 4 сетевых интел. два блока питания по460 ват. Имеет ли смысл использовать его для этих целей, имеется в виду энергопотребление, или лучше уже микротиковский аппаратный роутер купить?
-
Есть HP Proliant DL360G4 2x3.4Ггц Xeon, 4x1024 ddr. 4 сетевых интел. два блока питания по460 ват. Имеет ли смысл использовать его для этих целей, имеется в виду энергопотребление, или лучше уже микротиковский аппаратный роутер купить?
Имеет смысл поднять на нем VmWare ESXi 5.5 , а ней уже - pfsense и все остальное , что на нем крутилось тоже виртуализировать.
Или вы до сих пор используете такую няшку только под одну задачу?! Ну как дети малые, честное слово (с)
-
Celeron 1,7Ггц, 3 планки озу по 128Мб
Чипсет матери укажите и память РС какая у вас.
микротиковский аппаратный роутер купить?
А вам функционала оного хватит? У вас же сейчас сенс играет роль полноценного NAS'а, а на микроте этого нет.
Ваше железо как бы "захлебывается"
Факты "захлёбывания" укажите, пожалуйста.
-
Celeron 1,7Ггц, 3 планки озу по 128Мб
Чипсет матери укажите и память РС какая у вас.
память дим. Чип только завтра сказать смогу.
