Dual-Wan или как заставить идти трафик по основно&#



  • Настроил Dual-wan,все работает. На  одном интерфейсе приоритет 1,на втором 2.Весь трафик  идет через 1(пусть будет Билайн).Все отлично.Второй пусть будет MTC-это резервный.Когда отрубается Билайн, весь трафик  через  МТС идет.Тоже отлично.Но как только подрубается  Билайн.Трафик  все ровно у пользователей  идет через МТС. Только после отключения лан подключения  на  компах пользователей, трафик  опять идет по Билайну. Собственно вопрос- Как сделать так, чтобы  когда подрубается Билайн,трафик  автоматом  шел через Билайн. А не так как сейчас,пока  не пере подключишься,трафик  будет идти по резервному.Спасибо.



  • Фаервол хранит таблицу состояний - states. Пока ее не сбросить, трафик и будет идти как вы указали.
    Если стоит галочка System: Advanced: Miscellaneous  - Use sticky connections то и новые подключения будут идти по пути уже существующих.
    По идее без этой галочки через некоторый промежуток времени все подключения перейдут на 1 приоритет



  • я так понимаю,что  этим пользоваться  нужно когда уже первый канал пришел?Попробовал,если  2 канала подключены, при снятии галки и отключении одного интернета.На второй не меняется.



  • Давайте с этого начнем
    а у вас в System: Gateways: Edit gateway >> Advanced в разделе Weight у шлюзов стоят разные значения ?



  • а у вас в System: Gateways: Edit gateway >> Advanced в разделе Weight у шлюзов стоят разные значения ?

    Конечно.Основной  1, второй 2.
    Ставил на вирт  систему,по  этому  факу- http://macrodmin.blogspot.com/2012/02/multiwan-pfsense.html 
    Работает  только  если  включены  эти галки- Use sticky connections и Allow default gateway switching



  • У меня настроено так
    В группе шлюзы имеют одинаковый tier 1 (условие переключения - member down)
    в System: Gateways: Edit gateway >> Advanced в разделе Weight у главного стоит вес больше
    В таком виде через резервный шлюз трафик в нормальных условиях все равно идет (но гораздо меньше основного)
    но после переключения на запасной канал возвращается на основной (постепенно)



  • У меня настроено так
    В группе шлюзы имеют одинаковый tier 1 (условие переключения - member down)
    в System: Gateways: Edit gateway >> Advanced в разделе Weight у главного стоит вес больше
    В таком виде через резервный шлюз трафик в нормальных условиях все равно идет (но гораздо меньше основного)
    но после переключения на запасной канал возвращается на основной (постепенно)

    Большое  спасибо) Все получилось.Но по другому сделал. В обоих вариантах выставил тир 1 и 2.Так  как  один канал 10 мегабит,второй 3.Галку  поставил на только -Allow default gateway switching и отключил один интерфейс. Все пошло по другому интерфейсу. Врубил первый.Но опять же шло все  по резервному.Раз 10 трассировку давал.И  решил полазить по страницам.Через пару страниц,решил трассировку сделать и  все,все пошло по основе. Но  вышла  другая  проблема.Решил попробовать точно. Отключал раза 4-5 основной  интерфейс, только отключал интерфейс и все.И проверял.Все было норма. И  на каком-то отключении, все.Трафик  не пошел  по второму.Тупо  винда пишет, что проблема в  DNS.Вторую виртуальную машину поднял с  win 7. Тоже самое. Работает только если основной  врублен, отрубаешь его и все.Не знаете куда  копать?
    UPD-Мучился,мучился,зашел в  раздел Services: DNS forwarder и выставил  Resolve DHCP mappings first
    , работает до первого отключения интерфейса. Иду снимаю галку,инет появляется.Отключаю снова интерфейс, инета  нету через резерв. Ставлю галку и появляется по резервному.Даже не знаю куда копать.



  • Не понятно как к вас DNS работает
    Возможны 2 варианта
    1. На pf настройть dns форвард. Указать на самом pf 2 dns от каждого провайдера и еще какой общедоступный например 8.8.8.8
    Клиентам в качестве DNS тогда надо указывать lan интерфейс pf
    2. Первичный и вторичный dns сервера указывать прямо у клиентов

    Для начала я бы попробовал сделать Reset states
    и сбросить таблицу arp  ( arp -d )



  • Не понятно как к вас DNS работает

    Oracle VM, на  ней  установлен pfsense с 3 интерфейсами.2 с  выходом в  инет, одна внутренняя  сеть(192,168,0,1).

    WAN      (DHCP)
    10.0.2.15 1000baseT <full-duplex>(Gateway 10.0.2.2)
      LAN
    192.168.0.1 1000baseT <full-duplex>( включен DHCP для другой Oracle VM( на  win 7)
      WAN2      (DHCP)
    10.0.3.15 1000baseT <full-duplex>( Gateway 10.0.3.2)
    Win 7 вот что получает по DHCP c Pfsense-

    Ethernet adapter Подключение по локальной сети:

    DNS-суффикс подключения . . . . . : localdomain
      Локальный IPv6-адрес канала . . . : fe80::ddb5:48e7:d217:25b0%11
      IPv4-адрес. . . . . . . . . . . . : 192.168.0.2
      Маска подсети . . . . . . . . . . : 255.255.255.0
      Основной шлюз. . . . . . . . . : 192.168.0.1

    Туннельный адаптер isatap.localdomain:

    Состояние среды. . . . . . . . : Среда передачи недоступна.
      DNS-суффикс подключения . . . . . : localdomain

    WAN2      (DHCP)
    10.0.3.15 1000baseT <full-duplex>( Gateway 10.0.3.2) –-главный канал.Его отключаю и все  инет  не идет по запасному. Хотя 192.168.0.1 пингуется, от него  повторно получаются  все настройки win 7. Ладно  ничего,  резет фактори  я  еще  вчера  сделал не помогло.Я даже в  DHCP указывал на 1  гуглевский  днс 8.8.8.8.  Ничего  переустановлю все  заново, делов на 5 минут.Просто хотелось бы понять, насколько стабильный pfsense в  плане балансировки.
    И  еще  остались два  вопроса-

    Указать на самом pf 2 dns от каждого провайдера и еще какой общедоступный например 8.8.8.8

    Это ставится в  разделе –DNS forwarder, подраздел --Host Overrides? И  насчет команды arp -d. Там  есть значения. arp-d hostname (pub) и arp -d -i interface -a .Я не понял  что вводить после  arp -d? Cпасибо.</full-duplex></full-duplex></full-duplex></full-duplex>



  • DNS сервера указываются в System: General Setup
    В Services: DNS forwarder нужно только галочку включить (если не стоит задача разрешать адреса локальных ресурсов)

    Под pf надо дать команду arp -d -a (каждый раз после операций с подключениями)
    И чтобы увидеть какой dns получает win 7 дайте команду ipconfig /all

    А какие маски подсетей wan и wan2 ? Сросьте что у вас на pf выдает ifconfig (Diagnostics: Execute command)
    Скорее всего проблема в том, что у ваших wan маска 255.0.0.0 т.е они находятся в одной подсети



  • DNS сервера указываются в System: General Setup
    В Services: DNS forwarder нужно только галочку включить (если не стоит задача разрешать адреса локальных ресурсов)

    Под pf надо дать команду arp -d -a (каждый раз после операций с подключениями)
    И чтобы увидеть какой dns получает win 7 дайте команду ipconfig /all

    192.168.0.1 днс  получает.
    Так  самое  интересное, что я  пере установил  систему  уже  Pfsense. Стандартно выставил 2 интерфейса (NAT в  Оракле WM) + 1 для внутренней  сети. Как обычно, я  так  делал  и пробовал уже  десятки раз.Настроил балансировку, уже  не заглядываю в  фак.И не  идет. Но  вот я  решил проверить через  Pfsense Инет.Даю  пинг через wan-пинг идет, через wan2 – не идет.Отключаю главный(дефаулт гатевей), естественно инета  нету ни на пфсенсе,ни на win 7
    (

    Трассировка маршрута к ya.ru [87.250.250.3]
    с максимальным числом прыжков 30:

    1    <1 мс    <1 мс    <1 мс  pfsense.localdomain [192.168.0.1]
     2  pfsense.localdomain [192.168.0.1]  сообщает: Заданный узел недоступен.

    Трассировка завершена.)

    . Иду в  роутинг и  ставлю дефаул гатевей wan2 и  инет сразу появляется

    Трассировка маршрута к ya.ru [87.250.250.3]
    с максимальным числом прыжков 30:

    1     1 ms     1 ms    <1 мс  pfsense.localdomain [192.168.0.1]
     2     1 ms    <1 мс    <1 мс  10.0.2.2

    Я  уже  даже  поставил Wmware, настроил там, правда  там для двух wan один и тот же  gateway.Но там я  поставил на один чтобы мониторил google.ru

    А какие маски подсетей wan и wan2 ? Сросьте что у вас на pf выдает ifconfig (Diagnostics: Execute command)
    Скорее всего проблема в том, что у ваших wan маска 255.0.0.0 т.е они находятся в одной подсети

    $ ifconfig
    em0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
    options=9b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum>ether 08:00:27:f3:ea:fe
    inet6 fe80::a00:27ff:fef3:eafe%em0 prefixlen 64 scopeid 0x1
    inet 10.0.2.15 netmask 0xffffff00 broadcast 10.0.2.255
    nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (1000baseT <full-duplex>)
    status: active
    em1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
    options=9b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum>ether 08:00:27:76:95:bf
    inet6 fe80::a00:27ff:fe76:95bf%em1 prefixlen 64 scopeid 0x2
    inet 10.0.3.15 netmask 0xffffff00 broadcast 10.0.3.255
    nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (1000baseT <full-duplex>)
    status: active
    em2: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
    options=9b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum>ether 08:00:27:0a:e5:c8
    inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
    inet6 fe80::a00:27ff:fe0a:e5c8%em2 prefixlen 64 scopeid 0x3
    nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (1000baseT <full-duplex>)
    status: active
    pfsync0: flags=0<> metric 0 mtu 1460
    syncpeer: 224.0.0.240 maxupd: 128 syncok: 1
    pflog0: flags=100 <promisc>metric 0 mtu 33200
    enc0: flags=0<> metric 0 mtu 1536
    lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
    options=3 <rxcsum,txcsum>inet 127.0.0.1 netmask 0xff000000
    inet6 ::1 prefixlen 128
    inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
    nd6 options=43<performnud,accept_rtadv></performnud,accept_rtadv></rxcsum,txcsum></up,loopback,running,multicast></promisc></full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum></up,broadcast,running,simplex,multicast></full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum></up,broadcast,running,simplex,multicast></full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum></up,broadcast,running,simplex,multicast>



  • Методика тестирования несколько другая должна быть
    1. С самого pf делаем ping вначале одного шлюза через первое подключение, потом второго через второе
    2. Тестируем балансировку отключая интерфейсы
    Делаем вывод, что с сетевыми интерфейсами и правилами фаервола на wan все в порядке
    3. Тестируем NAT и правила фаервола на LAN пингуя с клиентов любимый ip и через tracert смотрим через какой шлюз идет
    4. Через nslookup смотрим, что у нас с dns



  • Методика тестирования несколько другая должна быть
    1. С самого pf делаем ping вначале одного шлюза через первое подключение, потом второго через второе
    2. Тестируем балансировку отключая интерфейсы
    Делаем вывод, что с сетевыми интерфейсами и правилами фаервола на wan все в порядке
    3. Тестируем NAT и правила фаервола на LAN пингуя с клиентов любимый ip и через tracert смотрим через какой шлюз идет
    4. Через nslookup смотрим, что у нас с dns

    Я  днем  сделал  видео,на видео установка с  нуля. И  голая  система, если не сложно взглянуть, посмотрите. А  дома  буду, уже  по вашим методам проверю

    https://mega.co.nz/#!LMQlWB4R!b0OCWmDrgiX6vYaZBHj4tEAjBF9uLl5R95495E5PJu8


Log in to reply