Squid + 2WAN
-
Есть 2 канала, рабочий (спутник) и личный (3G). Хотелось бы спутник обрезать в соответствии с требованиями компании, на личном без ограничений трафика, но плюс приоритет игры WoT. Кто должен попасть на 3G прописаны alias в FW.
-
Вы хотите использовать squid на обоих WAN-ах одновременно ? Или выборочно на одном ?
1. Если на обоих - Google -> squid + muliwan+ pfsense
2. Если только на одном - выбираете в настройках сквида использовать только определенный WAN . Плюс в настройках свкида есть возможность указать адреса\целые подсети тех, кому можно использовать сквид. Также есть возможность указать , кому можно ходить "мимо"сквида.но плюс приоритет игры WoT.
Сквид тут не причем - используйте шейпер.
-
- Есть рабочие компьютеры, им положен WAN1 (спутник). Через squid.
- Есть частные компьютеры, им положен WAN2 (3G). Желательно без squid
Как указать использовать определенный WAN?
-
1. Squid настраивается как обычно (если у вас один LAN физически\логически).
2. Proxy server: General settings : Bypass proxy for these source IPs . Плюс разрешающие правила правила fw на LAN, в к-ых явно указываются Source и Gateway (WAN2).
Эти правила должны быть выше всех. -
4 LAN (VLAN).
Шлюз по умолчанию OPT2. Допустим, сеть 10.0.1.0/24 хочу послать через GW WAN. В дополнительных правилах pkg_edit.php?xml=squid.xml&id=0 , в поле Integrations хочу написать:
acl wan_sat src 10.0.1.0/24 tcp_outgoing_address 172.31.8.154 wan_sat
Вопрос… Дополнительные правила сквида, ограничение по времени как вставить? Куда поместить эти строки, вперед или назад (относительно squidguard правил).
-
- Есть частные компьютеры, им положен WAN2 (3G). Желательно без squid
Вы определитесь - со сквидом или без? Остальное я описал в своем пред. посте.
-
Лучше их без сквида оставить. Но прописывать толпу компьютеров в игнорировании squid как-то совсем не весело. Мне проще прописать в alias "клиентов", чтобы им шлюз на 3G был определен.
-
Странно, добавил в squid правило, но он все равно через шлюз по умолчанию отрабатывает…
acl work src 10.0.1.0/24 tcp_outgoing_address 172.31.8.153 work
-
…устал я бороться со squid, снес его...
-
1. Squid настраивается как обычно (если у вас один LAN физически\логически).
2. Proxy server: General settings : Bypass proxy for these source IPs . Плюс разрешающие правила правила fw на LAN, в к-ых явно указываются Source и Gateway (WAN2).
Эти правила должны быть выше всех.Выделенным показано, какие правила нужно сделать.
Уберите squid. Сделайте правила отдельно для рабочих, отдельно для домашних компов согласно выделенному. Секрет успеха в явном указании в правилах нужного Вам GW.
-
Делал я это. Reset states после этого тоже делал. Может быть следовало перегрузить сам pfsense, не знаю, вероятно.
Пояснения по моим интерфейсам: Lan это общие правила LAN10, 20 и 30. Lan60 будущие сервисные компании, которые надо будет ограничить по контрактной полосе. WAN2811 это спутниковый интерфейс (через роутер Cisco), 3G_ETH это 4G маршрутизатор Huawei E5172.
Почему я осерчал и совсем прибил squid. Раньше он неплохо кэшировал всякие обновления программ, антивирусов и windows. Но сейчас увидел что попаданий в кэш 0.0%. "Оно нам надо?".
![Firewall LAN20.png](/public/imported_attachments/1/Firewall LAN20.png)
![Firewall LAN20.png_thumb](/public/imported_attachments/1/Firewall LAN20.png_thumb)