Failover и статический роутинг
-
Добрый вечер,уважаемые форумчане.
возникла непредвиденный косяк с файловером в пфсенс.
есть два интерфейса на выход к примеру
wan1 8.8.8.8 с шлюзом 8.8.8.1
wan2 4.4.4.4 с шлюзом 4.4.4.1
есть локальная сеть 192.168.1.0 с маской /24
была выстроена отказоустойчивость на основе данной статьи
http://shop.nativepc.ru/content/94–pfsense-load-balance-
tier1 -шлюз 8.8.8.1
tier2 -шлюз 4.4.4.1
оба шлюза сгруппированы в группу failover_gate.
failover работает, но есть один нюанс.
пакеты из сети LAN 192.168.1.0 к хосту 3.3.3.3 должны ходить строго через шлюз 4.4.4.1 вне зависимости от того какой канал работает.
для этого был выставлен static route - network=3.3.3.3 gateway 4.4.4.1 interface wan2как только в настройках ( rules-firewall-advanced-gateway) выставляешь вместо шлюза default - шлюз failover_gate то траффик на айпи 3.3.3.3 начинает ходить через шлюз failover_gate.вместо того чтобыходить через 4.4.4.1.
вопрос - как при работающем файловере заставить pfsense прогонять траффик через необходимый шлюз ? -
Когда вы делаете static route, этот маршрут попадает в системную таблицу маршрутизации, но при policy-based routing'е (т.е. при вашем failover'e) на нее никто не обращает внимания. Поэтому вам не нужен статический маршрут. Просто сделайте два правила PBR:
- Proto = * / Source = LAN Net / Port = * / Destination = 3.3.3.3 / Port = * / Gateway = GW_4_4_4_1
- Proto = * / Source = LAN Net / Port = * / Destination = * / Port = * / Gateway = failover_gate
первое должно стоять выше второго
-
большое спасибо.
я первым делом так и сделал, но допустил одну ошибку которая и сыграла главную роль
вместо proto=all оставил proto=tcp и в итоге трассировка у меня ходила по старому маршруту.
проблема решена.
огромное спасибо. комментарий в личке.