Переназначение внеш_порта при 2xWAN & failover



  • Товарищи, помогите пож-та разобраться, что я не правильно делаю.

    Локальная сеть, шлюз на pfSense 2.3, DNS контроллер домена.

    Основной интернет канал -> pfsense wan1 (lan 192.168.0.100, далее локальная сеть соответственно 192.168.0.0)

    Резервный интернет, 3g модем -> zyxeel keenetic 4g (172.16.0.100)-> pfsense wan2 ( 172.16.0.2)

    Настроил правило в System: Gateway Groups, Failover, тоесть если падает default - включается резервный, всё работает и само поднимается, и обратно выключается если то, что упало поднимается.

    Но есть задача внутрь лок\сети 192.168.0.0 к одному из пк пробросить порт скажем 7777, с основным каналом Wan1 проблем нет, все работает.

    По резервному, настроил на  роутере (который с 3джи модемом) проброс порта на pfsense, тоесть захожу из инета на второй статический адрес (который резервный), например  x2.x2.x2.x2, роутер(внутр 172.16.0.100) пробрасывает на pfsense(172.16.0.2) по подсети 172.16.0.0, дальше на pfsense в нате создал правило переадресющее:

    c 172.16.0.2(это получается wan2 adress) порт 7777 на пк с адресом 192.168.0.246 на порт 7777.
    Соответствующее правило в файрволе для wan2.

    Захожу на http://speed-tester.info проверка доступности порта, в инет выхожу с первого адреса! ввожу адрес и порт который хочу проверить, соответственно 7777 и х2.х2.х2.х2, пишет порт открыт, проверяю программу через "отдельный девайс с инетом", там выставляю подключаться по ип адресу х2.х2.х2.х2 (резервный) всё нормально, работает, соединяется.

    Делаю failover, тоесть просто выдергиваю из шлюза wan1(основной интернет), офис начинает работать по резервному каналу, но вот "отдельный девайс с инетом" уже не коннектится к х2.х2.х2.х2, захожу  http://speed-tester.info проверка доступности порта, и результат порт закрыт.
    Как тлько включаю Wan1 обратно, основной канал становится вновь дефолтным и удаленный девайс коннектится к х2.х2.х2.х2
    и на сайте видно что этот порт открыт.

    Что я делаю не так, раз у меня форвардинг порта wan2 зависит от wan1, вот некоторые правила.

    Нат для резервного интерфейса:
    WAN2 TCP * * 172.16.0.2 7777 192.168.0.246 7777

    Файрволл для резервного интерфейса Wan2

    IPv4 TCP * * 192.168.0.246 777 *q none

    *q - кстати вот тут у меня стоит типа щлюз по дефолту, а дефолтный Wan1, если я поставлю Wan2, то неработает совсем даже при подключенном wan1, соответсвенно всёравно каким то образом,  хоть я и тестирую ип адрес х2.х2.х2.х2, гдето маршрутизируется через wan1, посоветуйте куда смотреть???

    Спасибо!



  • потерто ..не дочитал..



  • Номера портов попробуйте сделать разными на wan1 и wan2



  • dvserg  ок.  *

    nomeron Проблема в том , что серверная часть приложения может слушать только один порт, тоесть настроить например либо на 7777, либо на 7778 (((

    • я думаю, что ход мыслей настройки этого дела правилен, просто гдето косяк, либо два одинаковых порта шлюз не  может обработать?…
      Вариант в тот пк на который требуется проброс порта воткнуть вторую сетевушку, одна будет смотреть в основную локалку 192.168.0.0, другая в локалку с 3G роутером 172.16.0.0


  • @Azot:

    dvserg  что такой бред написан или просто лень читать?

    Нет, просто написал ответ не внимательно прочитав.



  • dvserg понятно  8) , если что непонятно, могу пояснить, я старался как можно ближе изъяснить то как я настраивал и в чем загвозка.



  • Скриншоты правил для пояснения нужны.



  • Ок, завтра с утра "сфотографирую" и выложу, спбо.



  • Нашел в чём проблема, во всяком случае теперь при Failover  проверка порта на сайте пишет Порт открыт:

    System: Advanced: Miscellaneous надо поставить галочку Allow default gateway switching

    • If the link where the default gateway resides fails switch the default gateway to another available one. Тоесть если шлюз назначенный по умолчанию перешёл в оффлайн, переключатся на другой доступный.

    Интересно из каких соображений эта опция находится не в настройках правил System: Gateway Groups, где задаются правила "поведения" шлюзов.
    И ведь даже если эта галка не включена, например при падении wan1 выход в интернет осуществляется через шлюз wan2, тогда как для "входа" сеть из интернета она нужна.



  • Теперь вот у меня очередная загвозка видимо зависимая от вышепреведенной настройки, на pfsense также организован прокси squid 2.7.9 pkg v.4.3.3, соответственно при работе с wan1 всё нормально, выдергиваю wan1 pfsense переключается на wan2, в общемто всё пингуется, хотя иногда косячно работали теже аутлуки и ни как не хотел подсоединятся скайп, по правилам файрвола LAn все нормально, но вроде как это дело было в качестве связи 3G модема .. ((

    А вот web странички через прокси sqiud 8080 при Failover, через wan2 никак не хотят открываться, отключаю прокси в браузере, в файрволе разрешаю source компу с отключенным прокси в браузере выходить через 80 порт и всё нормально, открывается.
    В Proxy server: General settings никаких настроек особо влияющих на это не нашёл, Proxy interface установлен на lan.
    –-
    Стоит галочка: Load Balancing  Allow default gateway switching но без неё также )))
    Скажите пож-та, что я на этот раз упустил, хотя мне кажется, что вчера\позавчера работало всё (((



  • http://forum.pfsense.org/index.php/topic,60977.0.html - для версии 2.0.х

    P.s. Последний пост на 2-ой странице по ссылке выше от vielfede для версии 2.1:

    ON
    2.1-RC1 (amd64)
    built on Thu Aug 15 16:30:12 EDT 2013
    FreeBSD 8.3-RELEASE-p9

    I solved by activating "Allow default gateway switching" option in Advanced configs (failover only) and removing all floating and NAT rules..
    Hope this helps…



  • werter Спасибо, но на два сообщения выше я написал, что нашел проблему на изначальный вопрос:

    System: Advanced: Miscellaneous надо поставить галочку Allow default gateway switching

    А теперь вот прокси-сервер сквид не хочет работать через резервнй канал\шлюз (((


Log in to reply