Squid + 2WAN



  • Есть 2 канала, рабочий (спутник) и личный (3G). Хотелось бы спутник обрезать в соответствии с требованиями компании, на личном без ограничений трафика, но плюс приоритет игры WoT. Кто должен попасть на 3G прописаны alias в FW.



  • Вы хотите использовать squid на обоих WAN-ах одновременно ? Или выборочно на одном ?

    1. Если на обоих - Google -> squid + muliwan+ pfsense
    2. Если только на одном - выбираете в настройках сквида использовать только определенный WAN . Плюс в настройках свкида есть возможность указать адреса\целые подсети тех, кому можно использовать сквид. Также есть возможность указать , кому можно ходить "мимо"сквида.

    но плюс приоритет игры WoT.

    Сквид тут не причем - используйте шейпер.



    1. Есть рабочие компьютеры, им положен WAN1 (спутник). Через squid.
    2. Есть частные компьютеры, им положен WAN2 (3G). Желательно без squid

    Как указать использовать определенный WAN?



  • 1. Squid настраивается как обычно (если у вас один LAN физически\логически).

    2. Proxy server: General settings : Bypass proxy for these source IPs . Плюс разрешающие правила правила fw на LAN, в к-ых явно указываются Source и Gateway (WAN2).
    Эти правила должны быть выше всех.



  • 4 LAN (VLAN).

    Шлюз по умолчанию OPT2. Допустим, сеть 10.0.1.0/24 хочу послать через GW WAN. В дополнительных правилах pkg_edit.php?xml=squid.xml&id=0 , в поле Integrations хочу написать:

    acl wan_sat src 10.0.1.0/24
    tcp_outgoing_address 172.31.8.154 wan_sat
    

    Вопрос… Дополнительные правила сквида, ограничение по времени как вставить? Куда поместить эти строки, вперед или назад (относительно squidguard правил).



    1. Есть частные компьютеры, им положен WAN2 (3G). Желательно без squid

    Вы определитесь - со сквидом или без? Остальное я описал в своем пред. посте.



  • Лучше их без сквида оставить. Но прописывать толпу компьютеров в игнорировании squid как-то совсем не весело. Мне проще прописать в alias "клиентов", чтобы им шлюз на 3G был определен.



  • Странно, добавил в squid правило, но он все равно через шлюз по умолчанию отрабатывает…

    acl work src 10.0.1.0/24
    tcp_outgoing_address 172.31.8.153 work
    


  • …устал я бороться со squid, снес его...



  • @werter:

    1. Squid настраивается как обычно (если у вас один LAN физически\логически).

    2. Proxy server: General settings : Bypass proxy for these source IPs . Плюс разрешающие правила правила fw на LAN, в к-ых явно указываются Source и Gateway (WAN2).
    Эти правила должны быть выше всех.

    Выделенным показано, какие правила нужно сделать.

    Уберите squid. Сделайте правила отдельно для рабочих, отдельно для домашних компов согласно выделенному. Секрет успеха в явном указании в правилах нужного Вам GW.



  • Делал я это. Reset states после этого тоже делал. Может быть следовало перегрузить сам pfsense, не знаю, вероятно.

    Пояснения по моим интерфейсам: Lan это общие правила LAN10, 20 и 30. Lan60 будущие сервисные компании, которые надо будет ограничить по контрактной полосе. WAN2811 это спутниковый интерфейс (через роутер Cisco), 3G_ETH это 4G маршрутизатор Huawei E5172.

    Почему я осерчал и совсем прибил squid. Раньше он неплохо кэшировал всякие обновления программ, антивирусов и windows. Но сейчас увидел что попаданий в кэш 0.0%. "Оно нам надо?".

    ![Firewall LAN20.png](/public/imported_attachments/1/Firewall LAN20.png)
    ![Firewall LAN20.png_thumb](/public/imported_attachments/1/Firewall LAN20.png_thumb)