Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Multiwan + vlan = отваливаются vlan'ы [решено]

    Russian
    3
    4
    660
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      igroykt last edited by

      Есть два провайдера. Один на pppoe а другое по ipoe.
      Есть 6 подсетей:
      wired_lan - vlan100
      administr - vlan110
      wifi1 - vlan200
      conf_small - vlan400
      conf_big - vlan500
      ip_cam_tel - vlan600
      Все подключены к procurve2824 (коммутатор работает в режиме layer-2).

      Задача: сделать балансировку трафика и раздать подсетям.

      Создаю gateway group:
      group name - loadbalance
      gateway1 - ttk_pppoe - tier 1
      gateway2 - rtk_ipoe - tier 1
      trigger level - member down

      Далее правлю rules (у интерфейса wire_lan только это правило):
      proto - ipv4
      source - wired_lan
      port - *
      destination - *
      port - *
      gateway - loadbalance
      После чего происходит следующая ситуация:
      шлюз видит всех
      вланы не видят друг друга
      у всех есть доступ в интернет

      Outbound:
      interface - ttk_ppoe
      source - wired_lan_net
      source port - *
      destination - *
      nat address - ttk_ppoe_address
      nat port - *

      2.1.5-RELEASE (amd64)

      Куда копать?

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Далее правлю rules (у интерфейса wire_lan только это правило):
        proto - ipv4
        source - wired_lan
        port - *
        destination - *
        port - *
        gateway - loadbalance

        После чего происходит следующая ситуация:
        шлюз видит всех
        вланы не видят друг друга
        у всех есть доступ в интернет

        Все верно. Шлюзом по-дефолту является канал в Инет. Весь трафик туда и уходит.

        Пф стоит перед свитчом, имеет несколько физ. интерфейсов , в к-ые приходят провайдеры (ВАНы), а кабель от ЛАН пф-а воткнут в порт на свитче ?
        Если это так, то этот порт должен быть tagged всеми ID имеющихся влан , т.е. он должен быть multi-tagged. А порты, куда приходят ЛАНы - untagged.

        Покажите скрины правил fw на всех интерфейсах.
        Покажите, что выдает свитч по sh run и  sh vlan

        1 Reply Last reply Reply Quote 0
        • I
          igroykt last edited by

          @werter:

          Далее правлю rules (у интерфейса wire_lan только это правило):
          proto - ipv4
          source - wired_lan
          port - *
          destination - *
          port - *
          gateway - loadbalance

          После чего происходит следующая ситуация:
          шлюз видит всех
          вланы не видят друг друга
          у всех есть доступ в интернет

          Все верно. Шлюзом по-дефолту является канал в Инет. Весь трафик туда и уходит.

          Пф стоит перед свитчом, имеет несколько физ. интерфейсов , в к-ые приходят провайдеры (ВАНы), а кабель от ЛАН пф-а воткнут в порт на свитче ?
          Если это так, то этот порт должен быть tagged всеми ID имеющихся влан , т.е. он должен быть multi-tagged. А порты, куда приходят ЛАНы - untagged.

          Покажите скрины правил fw на всех интерфейсах.
          Покажите, что выдает свитч по sh run и  sh vlan

          Спасибо! На счет шлюза ты был прав.
          Трейсороут показал что локальные айпи уходит искать во внешку %)
          Включил ip routing и сделал адреса вланов шлюзами для подсетей (теперь маршрутизацией внутренних сетей занимается чисто коммутатор что логически правильно).
          Одно не удобство это то что теперь указывать правила маршрутизации для других сетей надо в правилах vlan100 (основная сеть).
          А так pfsense подключен к порту 1 который является trunk поскольку vlan интерфейсов 6 штук. Порты для ланов не тегированные.

          1 Reply Last reply Reply Quote 0
          • W
            WY6EPT last edited by

            а правила в свиче через ACL пишешь? как файрволишь то?
            или у тебя нет необходимости файрволить внутренние подсети?
            одно не пойму. почему вланы на пфсенсе не принимать на отдельные интерфейсы?
            у меня сейчас порядка 30 интерфейсов все прилетают через разные сетевухи.
            WAN тоже тегами прилетают

            1 Reply Last reply Reply Quote 0
            • First post
              Last post

            Products

            • Platform Overview
            • TNSR
            • pfSense
            • Appliances

            Services

            • Training
            • Professional Services

            Support

            • Subscription Plans
            • Contact Support
            • Product Lifecycle
            • Documentation

            News

            • Media Coverage
            • Press
            • Events

            Resources

            • Blog
            • FAQ
            • Find a Partner
            • Resource Library
            • Security Information

            Company

            • About Us
            • Careers
            • Partners
            • Contact Us
            • Legal
            Our Mission

            We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

            Subscribe to our Newsletter

            Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

            © 2021 Rubicon Communications, LLC | Privacy Policy