Роутинг и Virtual IP
-
Доброго всем времени суток,
не получается справиться с простой задачей - настроить маршрутизацию для Virtual IP(IP Alias'а):
Имею pfsense 2.2, 1 LAN(192.168.28.1), 1 WAN (белый).
На WAN повешал IP Alias 10.251.136.86\30
Создал GW 10.251.136.85(провайдер) и через него маршрут к сети 10.251.2.0\30
Добавил правила NAT для локалки и сети 10.251.2.0\30.Что получается:
Адрес 10.251.136.85 (провайдер) пингуется, только если указать source addr - 10.251.136.86 (IP Alias).
Трасерт от source=LAN даже к 10.251.136.85 лезет через WAN-адрес, чего в любом случае быть не должно, даже если я с правилами Outbound NAT напутал.
В таблице маршрутов вроде бы все в порядке.
Попробовал даже(оно вроде и не к чему?) дать route add -host 10.251.136.85 10.251.136.86 - не помогло.
Скрины приаттачил.
Куда еще можно покопать?
-
не думал что такое возможно с Virtual IP:ip alias :)
Я бы попробовал сперва в правилах firewall на lan интерфейсе указать gateway для destination = 10.251.2.0\30
не совсем понял правила NAT:Outbound - 2 правила повторяются, а что идет за ним правило, - я так понимаю что static port наверное там не нужен
-
сперва в правилах firewall на lan интерфейсе указать gateway для destination = 10.251.2.0\30
Попробовать-то можно… только LAN до gateway 10.251.136.85 пытается добраться через белый адрес WAN...
-
так можно попробовать или уже опробовано?
как вариант, если pfsense виртуализирован, то добавить еще интерфейс и работать как с полноценным интерфейсом.
-
@A_M:
только LAN до gateway 10.251.136.85 пытается добраться через белый адрес WAN…
В настройках wan фейса задается шлюз, там надо выбрать NONE. Тогда маршрутизация будет работать правильно.
-
В настройках wan фейса задается шлюз, там надо выбрать NONE. Тогда маршрутизация будет работать правильно.
Огромная благодарность!
-
-
-
Ээээ, а если на WAN, например, pppoe ?
Тоже интересно. В остальном, как я вижу задача автора темы решена.
-
Ээээ, а если на WAN, например, pppoe ?
Тоже интересно. В остальном, как я вижу задача автора темы решена.
Предполагаю, что у ТС на WAN все же статика. А вот это :" В настройках wan фейса задается шлюз, там надо выбрать NONE. Тогда маршрутизация будет работать правильно" заставляет использовать в кач-ве шлюза интерфейс, а не next-hop.
Типа как в *nix команда route add x.x.x.x dev eth1 -
заставляет использовать в кач-ве шлюза интерфейс, а не next-hop.
Типа как в *nix команда route add x.x.x.x dev eth1Выбор шлюза в настройках интерфейса на системную таблицу маршрутов никак не влияет, но в некоторые pf правила добавляет опции route-to/reply-to. Т. е. получается policy routing на gateway средствами pf, который и мешает в данном случае, т. к. осуществляется в обход системной маршрутизации.
