нужен multiwan на одной сетевой



  • доброго времени.
    небольшая история, чтобы объяснить, что хочу и может ли вообще это pfsense

    наш пров даёт БЕСПЛАТНЫЙ интернет 
    раздаются 10 подсети и прокся 85.233.74.5:8080 c аутентификацией и фильтрацией (все порты в интернет перекрыты)

    используется в данный момент ipfire (шлюз и прокся) с двумя сетевыми lan и wan  и непрозрачный прокси на 3128 с авторизацией на вышестоящей

    недавно появилась проблема - медленный интернет с 8 до 17, (в рабочее время)
    пробовал на компе из локальной сети (шлюз ipfire - внешний 10.52.40.106) прописывать напрямую проксю 85.233.74.5:8080 тоже безрезультатно

    поднял второй прокси ipfire c внешним 10.52.40.107 - интернет быстрый

    одни и те же страницы через 10.52.40.106 блокируются фильтром WebSense, через 10.52.40.107 - отображаются нормально

    после звонков провайдеру пояснили: что на проксе 85.233.74.5:8080 установлен Websense, который агрится на большой траф с одного айпишнека (защита от DDoS)

    рекомендация: или всех в 10 подсеть напрямую, либо раздать 10 подсеть через dhcp и отключить маскарадинг.
    хотелось бы пока обойтись без радикальных мер, ибо придется переписывать кучу статичных устройств

    нужно решения ситуации менее безболезненно:
    на компе с 2 сетевыми lan и wan, включить непрозрачный прокси на порту 3128 с авторизацией на вышестоящей проксе
    создать на wan кучу внешних айпишников (10.***/24)(может быть даже с разными мак адресами)
    и сделать так чтобы пользователи идущие в интернет через локальную проксю получили быстрый интернет,
    чтобы вышестоящая прокся видела, что лезут не с одного ip, а с кучи различных.

    хочу узнать: может ли это pfsense, гуглил по теме - обычно используются много сетевых и разные провайдеры (а тут провайдер один и сетевая одна)

    был бы благодарен за ссылки.



  • Доброе.
    Рисуйте схему.



  • правильно не правильно понял слово схема, но вот более подробно чтоли визуальнее:

    локалка (192.168.0.0/24)

    {
    //это шлюз и прокси ipfire
    –--LAN(192.168.0.2)----(физ интерфейс)
    непрозрачный прокси :3128 c авторизацией на 85.233.74.5:8080
    NAT из LAN в WAN
    (+правила с WAN на локальные ресурсы)
    ----WAN(10.52.40.106)----(физ интерфейс)
    }

    10.0.0.0/8 (локальная сети ЦИТА)

    фаер ЦИТА и прокси с авторизацией 85.233.74.5:8080

    нужно на WAN дополнительно создать  10.92.47.0/24 - дополнительный мой диапазон
    и равномерно раскидывать сессии внутренних пользователей по разным айпишникам

    чтобы WebSense видел, что запросы идут от 10.52.40.106+10.92.47.0/24 и не агрился на большой трафик
    (маки для каждого ip из 10.92.47.0/24 разные нужны?)



  • Во первых, не проще ли договориться с провайдером??? Во вторых, рисовать не значит перефразировать.
    В третьих, сделать задуманное на средствами (только) pfSense раз-два не выйдет, поэтому ставьте задачу чётче.



  • В былые времена, я решал подобную задачу под виндой исключительно средствами 3proxy, правда мне не требовалось подделывать MAC адреса.



  • @Scodezan:

    договориться с провайдером?

    поверьте, не стал бы тревожить общественность этого форума

    насчет схемы да, признаюсь, не знаю как это делается

    @Scodezan:

    В третьих, сделать задуманное на средствами (только) pfSense раз-два не выйдет, поэтому ставьте задачу чётче.

    а куда позвольте спросить чётче? какой момент непонятен? попробую объяснить.
    тему потому и поднял: может или не может

    (как сделать на линуксах представляю, но там еще тот велосипед будет)



  • Из быстрого решения могу только предложить управляемый комутатор и VLAN'ы
    Генерим на каждом из портов в сторону провайдера отдельный VLAN и одним портом пробрасываем все VLAN в сторону pfSense.
    Вот вам и куча интерфейсов без головной боли



  • Это то понятно. При том управляемый коммутатор, возможно и не нужен, учитывая что всё в конечно сливается на один порт. Просто создать VLANы и завести на обычный коммутатор.

    Вопрос как маршрутизировать трафик в pfSense, если шлюз для всех интерфейсов один.
    И объяснить Squid как правильно работать с 10ю шлюзами.



  • Проблем со шлюзами не должно быть, обычно шлюз привязывается дополнительно к интерфейсу. Правда по умолчанию трафик должен вроде как будет идти через интерфейс и минимальным IP-адресом
    Обычный коммутатор не подойдет — кому то надо снимать теги в сторону провайдера.
    Да и необходимо будет для каждого VLAN интерфейса прописать отдельный MAC, чтоб коммутатор и провайдер работали нормально.
    Работа SQUID в режиме MultiWan-балансировки не раз поднималась на этом форуме.



  • Тогда уж на виртуалку установить pfSense, и добавить максимум виртуальных адаптеров. Ещё быстрее будет.



  • в proxmox поставил pfsense
    дал виртуалке дополнительно 4 карты (opt1 2 3 4) настраиваю
    назначаю opt1 10.92.47.2 /32 шлюз 10.92.47.1
    назначаю opt2 10.92.47.3 /32 шлюз 10.92.47.1 и тут система ругаться начинает на шлюз



  • Во первых не /32, а /8. Во вторых, лично у меня получалось что-то подобное, только при получении адреса от DHCP.  Иначе GUI никак не давала сохранить настройки.



  • @Scodezan:

    Во первых не /32, а /8.

    а можете уточить почему так…
    в случае /32  я думаю ошибся и должна быть /24 (но делу это не помогло)
    а вы говорите что нужна /8 подсеть для 10.92.47.5



  • /8 или /24 Вам виднее. Так понял, просто если подсеть /24, то зачем тогда MACи подделывать?



  • @dsstorm:

    назначаю opt2 10.92.47.3 /32 шлюз 10.92.47.1 и тут система ругаться начинает на шлюз

    тоесть  так:
    The following input errors were detected:
    The gateway IP address "10.92.47.1" already exists

    dsstorm, разве сложно было процитировать гуй?

    PbIXTOP, кто говорил проблем не будет?



  • @Scodezan:

    разве сложно было процитировать гуй?

    да да, посыпаю голову пеплом.

    @Scodezan:

    Так понял, просто если подсеть /24, то зачем тогда MACи подделывать?

    есть подозрения что детектятся и они,но это не важно, в виртуальных сетевых proxmox есть возможность сменить мак)

    насчет сетей- поискал дополнительные другие диапазоны…. нашел еще 5 наших подсетей...
    в итоге имею 6 сетевых...буду исходить из этого... все равно лучше чем одна

    но вопрос насчет
    @Scodezan:

    тоесть  так:
    The following input errors were detected:
    The gateway IP address "10.92.47.1" already exists

    все же интересен



  • @dsstorm:

    но вопрос насчет
    The gateway IP address "10.92.47.1" already exists
    все же интересен

    А разве нет DHCP сервера на стороне "провайдера"?  Он наверняка бы решил эту часть задачи.



  • Кстати если провайдер не учитывает логин, а только IP на своей проксе то можно повесить несколько Alias IP и попробовать соединяться через этот пулл настроив или сам Squid если он имеет балансер или заворачивая его пакеты в NAT выбирая случайный IP



  • @PbIXTOP:

    попробовать соединяться через этот пулл настроив или сам Squid если он имеет балансер

    @PbIXTOP:

    или заворачивая его пакеты в NAT выбирая случайный IP

    мне бы ссылки на решения задачи подобной моей тз… предположения я и сам генерировать горазд тоннами :)

    в общем пока остановился на решении с proxmox с 6 сетевыми из разных подсетей (27 24) и разными маками...
    дальше как я понимаю: мне нужно будет Gateway Priority  поставить одинаковые чтобы работал Load Balancing и все?
    триггеры и другое трогать не нужно??


Log in to reply