Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Dual-Wan или как заставить идти трафик по основно&#

    Scheduled Pinned Locked Moved Russian
    13 Posts 2 Posters 5.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      artem1982
      last edited by

      Настроил Dual-wan,все работает. На  одном интерфейсе приоритет 1,на втором 2.Весь трафик  идет через 1(пусть будет Билайн).Все отлично.Второй пусть будет MTC-это резервный.Когда отрубается Билайн, весь трафик  через  МТС идет.Тоже отлично.Но как только подрубается  Билайн.Трафик  все ровно у пользователей  идет через МТС. Только после отключения лан подключения  на  компах пользователей, трафик  опять идет по Билайну. Собственно вопрос- Как сделать так, чтобы  когда подрубается Билайн,трафик  автоматом  шел через Билайн. А не так как сейчас,пока  не пере подключишься,трафик  будет идти по резервному.Спасибо.

      1 Reply Last reply Reply Quote 0
      • N
        nomeron
        last edited by

        Фаервол хранит таблицу состояний - states. Пока ее не сбросить, трафик и будет идти как вы указали.
        Если стоит галочка System: Advanced: Miscellaneous  - Use sticky connections то и новые подключения будут идти по пути уже существующих.
        По идее без этой галочки через некоторый промежуток времени все подключения перейдут на 1 приоритет

        1 Reply Last reply Reply Quote 0
        • A
          artem1982
          last edited by

          я так понимаю,что  этим пользоваться  нужно когда уже первый канал пришел?Попробовал,если  2 канала подключены, при снятии галки и отключении одного интернета.На второй не меняется.

          1 Reply Last reply Reply Quote 0
          • N
            nomeron
            last edited by

            Давайте с этого начнем
            а у вас в System: Gateways: Edit gateway >> Advanced в разделе Weight у шлюзов стоят разные значения ?

            1 Reply Last reply Reply Quote 0
            • A
              artem1982
              last edited by

              а у вас в System: Gateways: Edit gateway >> Advanced в разделе Weight у шлюзов стоят разные значения ?

              Конечно.Основной  1, второй 2.
              Ставил на вирт  систему,по  этому  факу- http://macrodmin.blogspot.com/2012/02/multiwan-pfsense.html 
              Работает  только  если  включены  эти галки- Use sticky connections и Allow default gateway switching

              1 Reply Last reply Reply Quote 0
              • N
                nomeron
                last edited by

                У меня настроено так
                В группе шлюзы имеют одинаковый tier 1 (условие переключения - member down)
                в System: Gateways: Edit gateway >> Advanced в разделе Weight у главного стоит вес больше
                В таком виде через резервный шлюз трафик в нормальных условиях все равно идет (но гораздо меньше основного)
                но после переключения на запасной канал возвращается на основной (постепенно)

                1 Reply Last reply Reply Quote 0
                • A
                  artem1982
                  last edited by

                  У меня настроено так
                  В группе шлюзы имеют одинаковый tier 1 (условие переключения - member down)
                  в System: Gateways: Edit gateway >> Advanced в разделе Weight у главного стоит вес больше
                  В таком виде через резервный шлюз трафик в нормальных условиях все равно идет (но гораздо меньше основного)
                  но после переключения на запасной канал возвращается на основной (постепенно)

                  Большое  спасибо) Все получилось.Но по другому сделал. В обоих вариантах выставил тир 1 и 2.Так  как  один канал 10 мегабит,второй 3.Галку  поставил на только -Allow default gateway switching и отключил один интерфейс. Все пошло по другому интерфейсу. Врубил первый.Но опять же шло все  по резервному.Раз 10 трассировку давал.И  решил полазить по страницам.Через пару страниц,решил трассировку сделать и  все,все пошло по основе. Но  вышла  другая  проблема.Решил попробовать точно. Отключал раза 4-5 основной  интерфейс, только отключал интерфейс и все.И проверял.Все было норма. И  на каком-то отключении, все.Трафик  не пошел  по второму.Тупо  винда пишет, что проблема в  DNS.Вторую виртуальную машину поднял с  win 7. Тоже самое. Работает только если основной  врублен, отрубаешь его и все.Не знаете куда  копать?
                  UPD-Мучился,мучился,зашел в  раздел Services: DNS forwarder и выставил  Resolve DHCP mappings first
                  , работает до первого отключения интерфейса. Иду снимаю галку,инет появляется.Отключаю снова интерфейс, инета  нету через резерв. Ставлю галку и появляется по резервному.Даже не знаю куда копать.

                  1 Reply Last reply Reply Quote 0
                  • N
                    nomeron
                    last edited by

                    Не понятно как к вас DNS работает
                    Возможны 2 варианта
                    1. На pf настройть dns форвард. Указать на самом pf 2 dns от каждого провайдера и еще какой общедоступный например 8.8.8.8
                    Клиентам в качестве DNS тогда надо указывать lan интерфейс pf
                    2. Первичный и вторичный dns сервера указывать прямо у клиентов

                    Для начала я бы попробовал сделать Reset states
                    и сбросить таблицу arp  ( arp -d )

                    1 Reply Last reply Reply Quote 0
                    • A
                      artem1982
                      last edited by

                      Не понятно как к вас DNS работает

                      Oracle VM, на  ней  установлен pfsense с 3 интерфейсами.2 с  выходом в  инет, одна внутренняя  сеть(192,168,0,1).

                      WAN      (DHCP)
                      10.0.2.15 1000baseT <full-duplex>(Gateway 10.0.2.2)
                        LAN
                      192.168.0.1 1000baseT <full-duplex>( включен DHCP для другой Oracle VM( на  win 7)
                        WAN2      (DHCP)
                      10.0.3.15 1000baseT <full-duplex>( Gateway 10.0.3.2)
                      Win 7 вот что получает по DHCP c Pfsense-

                      Ethernet adapter Подключение по локальной сети:

                      DNS-суффикс подключения . . . . . : localdomain
                        Локальный IPv6-адрес канала . . . : fe80::ddb5:48e7:d217:25b0%11
                        IPv4-адрес. . . . . . . . . . . . : 192.168.0.2
                        Маска подсети . . . . . . . . . . : 255.255.255.0
                        Основной шлюз. . . . . . . . . : 192.168.0.1

                      Туннельный адаптер isatap.localdomain:

                      Состояние среды. . . . . . . . : Среда передачи недоступна.
                        DNS-суффикс подключения . . . . . : localdomain

                      WAN2      (DHCP)
                      10.0.3.15 1000baseT <full-duplex>( Gateway 10.0.3.2) –-главный канал.Его отключаю и все  инет  не идет по запасному. Хотя 192.168.0.1 пингуется, от него  повторно получаются  все настройки win 7. Ладно  ничего,  резет фактори  я  еще  вчера  сделал не помогло.Я даже в  DHCP указывал на 1  гуглевский  днс 8.8.8.8.  Ничего  переустановлю все  заново, делов на 5 минут.Просто хотелось бы понять, насколько стабильный pfsense в  плане балансировки.
                      И  еще  остались два  вопроса-

                      Указать на самом pf 2 dns от каждого провайдера и еще какой общедоступный например 8.8.8.8

                      Это ставится в  разделе –DNS forwarder, подраздел --Host Overrides? И  насчет команды arp -d. Там  есть значения. arp-d hostname (pub) и arp -d -i interface -a .Я не понял  что вводить после  arp -d? Cпасибо.</full-duplex></full-duplex></full-duplex></full-duplex>

                      1 Reply Last reply Reply Quote 0
                      • N
                        nomeron
                        last edited by

                        DNS сервера указываются в System: General Setup
                        В Services: DNS forwarder нужно только галочку включить (если не стоит задача разрешать адреса локальных ресурсов)

                        Под pf надо дать команду arp -d -a (каждый раз после операций с подключениями)
                        И чтобы увидеть какой dns получает win 7 дайте команду ipconfig /all

                        А какие маски подсетей wan и wan2 ? Сросьте что у вас на pf выдает ifconfig (Diagnostics: Execute command)
                        Скорее всего проблема в том, что у ваших wan маска 255.0.0.0 т.е они находятся в одной подсети

                        1 Reply Last reply Reply Quote 0
                        • A
                          artem1982
                          last edited by

                          DNS сервера указываются в System: General Setup
                          В Services: DNS forwarder нужно только галочку включить (если не стоит задача разрешать адреса локальных ресурсов)

                          Под pf надо дать команду arp -d -a (каждый раз после операций с подключениями)
                          И чтобы увидеть какой dns получает win 7 дайте команду ipconfig /all

                          192.168.0.1 днс  получает.
                          Так  самое  интересное, что я  пере установил  систему  уже  Pfsense. Стандартно выставил 2 интерфейса (NAT в  Оракле WM) + 1 для внутренней  сети. Как обычно, я  так  делал  и пробовал уже  десятки раз.Настроил балансировку, уже  не заглядываю в  фак.И не  идет. Но  вот я  решил проверить через  Pfsense Инет.Даю  пинг через wan-пинг идет, через wan2 – не идет.Отключаю главный(дефаулт гатевей), естественно инета  нету ни на пфсенсе,ни на win 7
                          (

                          Трассировка маршрута к ya.ru [87.250.250.3]
                          с максимальным числом прыжков 30:

                          1    <1 мс    <1 мс    <1 мс  pfsense.localdomain [192.168.0.1]
                           2  pfsense.localdomain [192.168.0.1]  сообщает: Заданный узел недоступен.

                          Трассировка завершена.)

                          . Иду в  роутинг и  ставлю дефаул гатевей wan2 и  инет сразу появляется

                          Трассировка маршрута к ya.ru [87.250.250.3]
                          с максимальным числом прыжков 30:

                          1     1 ms     1 ms    <1 мс  pfsense.localdomain [192.168.0.1]
                           2     1 ms    <1 мс    <1 мс  10.0.2.2

                          Я  уже  даже  поставил Wmware, настроил там, правда  там для двух wan один и тот же  gateway.Но там я  поставил на один чтобы мониторил google.ru

                          А какие маски подсетей wan и wan2 ? Сросьте что у вас на pf выдает ifconfig (Diagnostics: Execute command)
                          Скорее всего проблема в том, что у ваших wan маска 255.0.0.0 т.е они находятся в одной подсети

                          $ ifconfig
                          em0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
                          options=9b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum>ether 08:00:27:f3:ea:fe
                          inet6 fe80::a00:27ff:fef3:eafe%em0 prefixlen 64 scopeid 0x1
                          inet 10.0.2.15 netmask 0xffffff00 broadcast 10.0.2.255
                          nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (1000baseT <full-duplex>)
                          status: active
                          em1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
                          options=9b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum>ether 08:00:27:76:95:bf
                          inet6 fe80::a00:27ff:fe76:95bf%em1 prefixlen 64 scopeid 0x2
                          inet 10.0.3.15 netmask 0xffffff00 broadcast 10.0.3.255
                          nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (1000baseT <full-duplex>)
                          status: active
                          em2: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
                          options=9b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum>ether 08:00:27:0a:e5:c8
                          inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
                          inet6 fe80::a00:27ff:fe0a:e5c8%em2 prefixlen 64 scopeid 0x3
                          nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (1000baseT <full-duplex>)
                          status: active
                          pfsync0: flags=0<> metric 0 mtu 1460
                          syncpeer: 224.0.0.240 maxupd: 128 syncok: 1
                          pflog0: flags=100 <promisc>metric 0 mtu 33200
                          enc0: flags=0<> metric 0 mtu 1536
                          lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
                          options=3 <rxcsum,txcsum>inet 127.0.0.1 netmask 0xff000000
                          inet6 ::1 prefixlen 128
                          inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
                          nd6 options=43<performnud,accept_rtadv></performnud,accept_rtadv></rxcsum,txcsum></up,loopback,running,multicast></promisc></full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum></up,broadcast,running,simplex,multicast></full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum></up,broadcast,running,simplex,multicast></full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum></up,broadcast,running,simplex,multicast>

                          1 Reply Last reply Reply Quote 0
                          • N
                            nomeron
                            last edited by

                            Методика тестирования несколько другая должна быть
                            1. С самого pf делаем ping вначале одного шлюза через первое подключение, потом второго через второе
                            2. Тестируем балансировку отключая интерфейсы
                            Делаем вывод, что с сетевыми интерфейсами и правилами фаервола на wan все в порядке
                            3. Тестируем NAT и правила фаервола на LAN пингуя с клиентов любимый ip и через tracert смотрим через какой шлюз идет
                            4. Через nslookup смотрим, что у нас с dns

                            1 Reply Last reply Reply Quote 0
                            • A
                              artem1982
                              last edited by

                              Методика тестирования несколько другая должна быть
                              1. С самого pf делаем ping вначале одного шлюза через первое подключение, потом второго через второе
                              2. Тестируем балансировку отключая интерфейсы
                              Делаем вывод, что с сетевыми интерфейсами и правилами фаервола на wan все в порядке
                              3. Тестируем NAT и правила фаервола на LAN пингуя с клиентов любимый ip и через tracert смотрим через какой шлюз идет
                              4. Через nslookup смотрим, что у нас с dns

                              Я  днем  сделал  видео,на видео установка с  нуля. И  голая  система, если не сложно взглянуть, посмотрите. А  дома  буду, уже  по вашим методам проверю

                              https://mega.co.nz/#!LMQlWB4R!b0OCWmDrgiX6vYaZBHj4tEAjBF9uLl5R95495E5PJu8

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.