Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    MultiWan + NAT

    Scheduled Pinned Locked Moved Russian
    5 Posts 2 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      remru
      last edited by

      Доброго времени суток!

      Подскажите пожалуйста где копать в такой вот ситуации:
      два WANа один LAN
      пробрасываю NATом порт на адрес в локальной сети
      двумя правилами NAT (для каждого WANа)
      NAT reflection - Use system default
      Filter rule association - Rule NAT

      с обоих WANов общение с портом локального адреса происходит нормально
      но вопрос вот в чем, дефаулт шлюз WAN1
      при обращении к WAN1, ответ приходит через интерфейс WAN1 с указанием IP- отправителя WAN1
      при обращении к WAN2, ответ приходит через интерфейс WAN1 с указанием IP- отправителя WAN2?!
      как вернуть ответ через WAN2 при обращении к WAN2
      мои утверждения основаны на данных Packet Capture

      и второй вопрос, после проброски порта в локалку,
      срабатывает правила фаервола WAN на входящие соединение
      соединение проходит успешно (запись в логе),
      но разве не должны сработать правила LANа и соответственно остаться запись в логе по интерфейсу ЛАНа?
      (соответствующую запись в правилах ЛАНа добавил с записью в лог, но в логах пусто)
      или механизм фаервола такой, что раз соединение установлено по порту, значит проверять его больше не будем???

      Заранее спасибо!

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Я не вижу какая схема у вас используется - LoadBalancing или Failover (или обе) и используется ли вообще (и зачем тогда 2 провайдера?) ? Если LoadBalancing , то параметры в конфигураторе Allow default gateway switching (http://macrodmin.blogspot.com/2012/02/multiwan-pfsense.html) и Use stickly connections включите.

        …и второй вопрос...

        Соединение установлено через WAN. Причем здесь внутренняя сеть? Будете устанавливать связь к ресурсам из внутренней сети вовне - будет вам запись в логах на LAN.

        1 Reply Last reply Reply Quote 0
        • R
          remru
          last edited by

          По второму вопросу СПАСИБО, так и подозревал, но не было уверенности в этом
          ссылку эту уже находил, там простой случай на получение связи локальной сетью с внешкой

          Два провайдера используются для резервирование возможности работы с моим портом ЛАНа внешних клиентов
          когда один канал упал, второй канал для внешнего клиента доступен
          трафик у меня в основном идет от меня во вне, т.е. сейчас у меня отдача происходит только по дефаулт шлюзу,
          при этом второй канал на отдачу не используется

          до этого жил на PFSense 2.0.1, и там работали на отдачу оба канала, подтверждением этому графики WANов с веб интерфейса. После обновления до 2.1 график второго не основного канала на отдачу показывает близкое к нулю
          на 2.0.1 в правилах WANов шлюзом стоял ЛоадБаланс, сейчас с таким шлюзом (ЛоадБаланс) не работает

          на данный момент правило на каждом WANе для входящих с NATа соединений шлюз указан дефаулт
          IPv4 TCP source:* port:* destination:192.168.15.100 port:19000 gateway:*
          правило на лане
          IPv4 TCP source:192.168.15.100 port:19000 destination:*  port:* gateway:*

          Use stickly connections включен
          Allow default gateway switching включен, но как я понимаю он нужен только для смены default gateway при падении основного канала

          пробовал в этих двух правилах шлюзом указывать и лоадбаланс и фэйловер и свои шлюзы (т.е. для WAN1 wan1gateway и для WAN2 wan2gateway)
          все попытки неудачные, ответных пакетов ни где поймал
          во всех экспериментах PacketCapture ловил только входящий трафик и последующие попытки внешнего клиента еще раз открыть соединение после таймаута,
          ни на внешних ни на интерфейсе локальной подсети не удалось поймать каких либо пакетов ответа
          вот думаю что же где поменять надо
          (в локальной подсети шлюзом выступает PFSense)

          при этом другая внутренняя подсеть инетом пользуется через FailOver нормально, тесты на падения и переключения дефаулт шлюза проводились успешно.

          до кучи результат еще одного эксперимента
          на WAN2 указал разрешающее правило для ICMP со шлюзом wan2gateway и записью в лог,
          запись в логе появилась, что доказывает срабатывание именно этого правила
          захват пакетов показал, что входящие пакеты ловятся на интерфейсе WAN2, а исходящие на WAN1 (default) с адресом WAN2

          правила для пинга
          в правилах WAN1
          IPv4 ICMP * * WAN1 * WAN1gateway (дефаулт)
          в правилах WAN2
          IPv4 ICMP * * WAN2 * WAN2gateway

          вопрос этот для меня практический, а не теоретический, при отдаче мне необходимо использовать пропускную способность обоих каналов

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Ну и наворотили же вы  :( Сбрасывайте-ка вы настройки на дефолт (сохранив конфиг, разумеется) и настройте заново.

            правило на лане
            IPv4 TCP    source:192.168.15.100    port:19000    destination:*  port:* gateway:*****

            Ну с какого перепугу у вас там порт указан, а? Не должно быть там никакого порта. Далее - интернет , это не только TCP, но и еще (как минимум)  UDP, ICMP etc.
            Поставьте там any , т.е. ***** . Следующее - в кач-ве gateway должна быть указана ваша LoadBalance-группа. Иначе все будет идти только через шлюз по-умолчанию.

            правила для пинга
            в правилах WAN1
            IPv4 ICMP    *    *    WAN1    *    WAN1gateway (дефаулт)
            в правилах WAN2
            IPv4 ICMP    *    *    WAN2    *    WAN2gateway

            Не WAN1\WAN2 , а WAN1 address\WAN2 address. И зачем вы еще и WAN1gateway\WAN2gateway принудительно (да еще и для ICMP !) указываете?

            Я вам ссылку на статью давал  - просто сделайте по-написанному и без отсебятины.

            1 Reply Last reply Reply Quote 0
            • R
              remru
              last edited by

              уже делал так,
              и сейчас повторил. результат тот же

              соединение инициировано из внешней сети, т.е. правила срабатывают WANовские
              шлюз в WANовских правилах указывать бестолку, правильно я понял?
              отдача ответа идет по таблице роутинга, т.е. через дефаулт шлюз

              шлюз "лоад балансе" указал в ЛАНе, проверил работает для
              исходящих соединений из лана во внешку, нагружают оба канала и на отдачу и на получение
              но у меня соединение инициируется ИЗ ВНЕШКИ, т.е. "лоадбаланс" в правилах ЛАНа  тут уже ни при чем

              остается только дождаться рабочего понедельника,
              а то сбрасывать к "заводским" удаленно не очень хочется

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.