Организация резервного канала wan
-
Здравствуйте. столкнулся со следующей проблемой:
Использую pfsense 2.1-RELEASE (amd64). Есть 2 wan и 1 lan. 1wan постоянный основной. 2й резервный. При отключении wan1 должен включаться wan2 только для 8888 порта и для openvpn. Как это организовать?
если ставлю галку Allow default gateway switching то на резервный канал переключается все. Если ставлю в правиле NAT gatway wan2 а галку убираю то ничего не работает( -
Схему сети.
8888 порт и Опевпн - внутренние сервисы или внешние (не ваши) ?
-
схема сети: есть lan (статические адреса 192.168.19.0/24 с доменом) -> pfsense -> wan1,wan2, openvpn
openvpn наш настроен на pfsense и подключает филиалы 192.168.22.0/24
на 8888 порт приходит запрос с wan и перенаправляется на 5555 порт на lan server -
скрины
-
Указать в правиле fw для лан шлюз не дефолт (тогда будет переключаться), а явно. Для нужных портов оставить дефолт (тогда переключаться на резевр будет только правило с нужным портом).
-
это я понял) а как сквид прозрачный заставить работать только через 1 gw? правила lan для него нет. если создать правило на 80 порт не будет ли трафик ходить мимо сквида?
-
это я понял) а как сквид прозрачный заставить работать только через 1 gw? правила lan для него нет. если создать правило на 80 порт не будет ли трафик ходить мимо сквида?
Да, точно, не внимательно прочитал.
Через nat я думаю. Надо попробовать создать правило (в нат) только для порта 80 и явный шлюз ему сделать. Галку для переключения шлюзов оставить.
P.S. Мне по подобной схеме только на 1 сайт нужно было через строго 1 провайдера выходить, я просто через routing указал сайт и шлюз и сквид съел это. -
в нат нельзя поставить определенный gw( только в rules на wan. Причем если я ставлю в rulse wan gw не дефолтный правило перестает работать(. если галку не ставить сквид не будет переключатся на другой gw соответсвенно и в интернет никто не полезет. НО и rulse wanr для резервного перенаправления не будет работать. Загвоздка в том чтобы назначить как то для разных nat правил с разными wan разные gw! Это все касается моего перенаправления 8888 порта. По поводу openvpn еще не капал.
-
Речь идет о Port forwarding. Там явно можно указать GW.
-
в нат нельзя поставить определенный gw( только в rules на wan. Причем если я ставлю в rulse wan gw не дефолтный правило перестает работать(. если галку не ставить сквид не будет переключатся на другой gw соответсвенно и в интернет никто не полезет. НО и rulse wanr для резервного перенаправления не будет работать. Загвоздка в том чтобы назначить как то для разных nat правил с разными wan разные gw! Это все касается моего перенаправления 8888 порта. По поводу openvpn еще не капал.
Да, нельзя, но я бы попробовал в нат создать правило трансляции для порта 80 через нужный интерфейс (например wan) и если надо, поправить нат для резервной трансляции (например opt1) - типа not 80, тогда в нате для 80 порта будет только один вариант - через wan, а не opt1.
Галку при этом оставить для автоматического переключения шлюзов.
Сработает такое или нет, не знаю, сам не пробовал.
Если нет, может стоить форум почитать на счёт loadbalance, там тоже что то было про группу шлюзов. -
NAT Reflection mode for port forwards вот ответ на мой вопрос. Выставил для правил 8888 порта enable (Pure NAT) для остальных оставил по умолчанию NAT + Proxy. Убрал галку Allow default gateway switching. Теперь работает перенаправление и на wan1 и на wan2. осталось сделать openvpn и автоматическую смену wanов, чтобы wan2 был недоступен при активном wan1.
