Multi-WAN, UDP NAT, игровой сервер

TheRaven

Доброго времени суток ! Во первых строках письма хотел бы поблагодарить за продукт, пользуюсь, нравиться, рекомендую.

Имеется:
4 WAN, белые статические IP по pppoe и l2tp
1 LAN

В LAN сегменте расположен игровой сервер (cs) на который настроен NAT с каждого WAN:

wan_1 –- tcp\udp --- * --- * --- wan_1_address --- 27037 --- lan_ip --- 27037
wan_2 --- tcp\udp --- * --- * --- wan_2_address --- 27037 --- lan_ip --- 27037
wan_3 --- tcp\udp --- * --- * --- wan_3_address --- 27037 --- lan_ip --- 27037
wan_4 --- tcp\udp --- * --- * --- wan_4_address --- 27037 --- lan_ip --- 27037

Outbound NAT на всю LAN-сетку через каждый WAN есть.

Ситуация такая - зайти поиграть можно, все работает, НО при прописывании IP WAN'ов в какую-нибудь программку мониторинга, вроде HLSW, видно данные только по одному WAN IP, остальные якобы недоступны.
HLSW отправляет запросы с одного постоянного исходящего порта. Если вписывать IP-шники WAN'ов по очереди, а не вместе, отвечают все.

Я правильно понимаю что pfSense видя в таблице NAT'а одинаковые src_ip:src_port возвращает трафик не с того WAN'а ? Видел такое в Show States.

Возможно как-то маркировать трафик разных WAN'ов чтобы избежать возврата трафика с неверного интерфейса ?
Спасибо.

werter

Я правильно понимаю что pfSense видя в таблице NAT'а одинаковые src_ip:src_port возвращает трафик не с того WAN'а ? Видел такое в Show States.

Покажите скрины настроек. Особенно правила на LAN.

TheRaven

Вот, пожалуйста.

werter

Я правильно понимаю что pfSense видя в таблице NAT'а одинаковые src_ip:src_port возвращает трафик не с того WAN'а ? Видел такое в Show States.

3-е правило сверху fw на LAN . Отправляет все с алиаса servers через один и тот же gateway.

TheRaven

Да, верно, все исходящие соединения этого сервера маршрутизируются через выбранный гейт (см. tracert)

Но в нашем случае соединения инициируются со стороны wan_x (не важно какого, был бы NAT настроен) и коннект нормально проходит и возвращается. Возможно что случайно =)

Мне следовало собрать WAN'ы в group и указать группы как gw для исходящих соединений ?

werter

Мне следовало собрать WAN'ы в group и указать группы как gw для исходящих соединений ?

И тогда при создании LoadBalacing и Failover-групп у вас трафик будет идти так , как решит pfsense.
Вы этого хотите добиться ?

TheRaven

Как пойдут соединения инициированные игровым сервером, по сути, все равно. Ибо такой трафик это обновления операционки максимум.

Основной вопрос в том, почему я не могу мониторить все адреса одновременно. И я не понимаю почему так происходит.
Как я показал выше правило #3 на это не влияет.

werter

НО при прописывании IP WAN'ов в какую-нибудь программку мониторинга, вроде HLSW, видно данные только по одному WAN IP, остальные якобы недоступны.

Это программа извне мониторит или изнутри ?

TheRaven

Извне.
Если вас не затруднит, вы можете сами посмотреть как это выглядит:

http://www.hlsw.org/download/file/1482/hlsw_1_4_0_3_setup.exe
После запуска нажать "Не в сети", потом вписать адрес сервера в графу "IP/Port"

Адреса сервера (один и тот же гейм-сервак):

188.235.130.25:27037
217.23.74.217:27037
78.107.58.75:27037

Если вписать один любой адрес - данные по серверу видно, если все вместе - ответит только один.

werter

Скрин правил fw на всех ваших WAN покажите

Если вписать один любой адрес - данные по серверу видно, если все вместе - ответит только один.

Вполне возможно, что это проблема этой утилиты.

TheRaven

Возможно это действительно проблема утилиты (как я писал выше она всегда один и тот же исходящий порт использует), но встроенный сервер-браузер в STEAM ведет себя точно так же.

Вот правила FW, 99% сцепленные с NAT и создались автоматически.

werter

Попробовать включить логирование необходимых Вам правил fw на WAN-ах ,  запустить утилиту с прописыванием всех адресов и посмотреть что при этом происходит.

P.s. RDP исп. только TCP . Отключите UDP.

TheRaven

Входящие соединения есть, они проходят, а установившихся только одна пара.

При этом в логе нет соединений с интерфейсом с которым в данный момент проходит коннект (???). Не только с ТТК, с другими воспроизводится то же.

werter

@TheRaven:

Входящие соединения есть, они проходят, а установившихся только одна пара.

При этом в логе нет соединений с интерфейсом с которым в данный момент проходит коннект (???). Не только с ТТК, с другими воспроизводится то же.

Интересует лог fw! Включайте логирование правил fw на WAN + вкл. логирование fw и смотрите.

У вас фильтр по ip стоит в States на скрине. Это IP , на к-ом крутится программа ?

TheRaven

Сорри, я балбес-кун, лог сделал а приложить забыл ^_^""

Да, IP в фильтре это удаленная тачка на которой запущена программка мониторинга.

werter

Вы в настройках логирования fw галку на отображение всех блокируемых пакетах поставили?
Уберите указание интерфейса в настройках логирования!

TheRaven

В Log – FW -- Settings стоят три галки:

TheRaven

@werter:

Уберите указание интерфейса в настройках логирования!

Можете показать где это ?

werter

Как-то так

TheRaven

В фильтре я интерфейс указывал чтобы показать скриншотом, что в логе почему-то нет записей по тому интерфейсу с которым установилось соединение.

werter

Теперь смотрите. У вас как минимум на к двум интерфейсам программа приконнектилась.
Проблема в ней.