FreeBSD, pf, два провайдери та інше

[Lambert 5]

Цей топік мабуть можна віднести до комерційного, бо моїх мізків не вистачило і я зацікавлений в консультативних послугах людини що знається на pf

бо мануали особисто мені щось не допомагають, обкурився але зробити не подужав...

 

дано: типовий роутер, FreeBSD 10, pf, два провайдери на вході, на виході (в локалку) два vlan, гостьовий та робочий.

оскільки параметри провайдерських каналів відрізняються, хочеться реалізувати систему розподілення трафіку за класами

себто щоб vpn, sip та nat одного з vlan'ів були прикріплені до одного каналу, а все інше що працює - до іншого

швидкість гостьового та робочого вланів на вихід регулюється через altq

за умови падіння одного з каналів роутер має автоматично згорнути деякі сервіси в працюючий канал (а деякі заблокувати), і повернути "як було" після того як канал аплінка підніметься

зараз грався правилами в pf але повністю реалізувати ідею не виходить, обидва канали працюють але трафік обох nat переважно йде за маршрутом default route

є сенс викладати конфіги, чи консультація такого роду автоматично виходить за межі благодійної і коштує n грн/год?

буду уважний до пропозицій у приватній пошті

[supportod 1]

man setfib

И простой пинговалкой провайдерского шлюза переключать на живой канал.

[John_Doe 301]

 

 

И простой пинговалкой провайдерского шлюза переключать на живой канал.

Никогда не определяйте доступность канала пингованием провайдерского шлюза,только удаленного хоста с роутом через этот канал

Чтобы не получилось ситуации что шлюз есть а инета в нем нет

[desmond 22]

Те що Вам потрібно 

[Lambert 5]

скрипт переключення дефолт роута в мене зараз є і працює, але на жаль пінгує він саме провайдерський гейт

Проблем ще не було, але я цілком згоден з тим, що правильно буде пінгувати декілька загальновідомих стабільних ресурсів крізь заданий напрямок

але то ще якось скумекати треба, як то робиться

бо зараз якраз проблема в мене з напрямками у pf, при переключенні дефолтроута не виходить змусити фаєрвол залишати деякі сервіси прив'язаними до вибраного каналу

наприклад, внутрішня телефонія - у оператора аутентифікація з прив'язкою до ip, і от зараз якраз воюю з тим щоб станція ходила в світ лише крізь один і той же канал, навіть якщо він впаде

[Lambert 5]

man setfib

И простой пинговалкой провайдерского шлюза переключать на живой канал.

почитав. виглядає навіть занадто круто невже засобами pf не можна зробити подібного, щоб не ваяти декілька таблиць маршрутизації?

 

Те що Вам потрібно

от якби можна було сирий конфіг подивитися, після тієї вебморди... була б інша справа

в мене не pfsense, тут чиста фряха

Відредаговано 2015-10-10 19:43:54 Lambert

[~AsmodeuS~ 34]

от базовий конфіг

 

http://abills.net.ua/wiki/doku.php/abills:docs:other:2way:ru

 

далі уже можна розвити від бажання замовника, напрацювання по переключенню каналів  уже є

[supportod 1]

 

И простой пинговалкой провайдерского шлюза переключать на живой канал.

Никогда не определяйте доступность канала пингованием провайдерского шлюза,только удаленного хоста с роутом через этот канал

Чтобы не получилось ситуации что шлюз есть а инета в нем нет

 

 

Ок. Поправка, src IP  пинга должны быть интерфейсные IP аплинков.

Чтоб в случае личной AS ответ на пинг не пришел с другого интерфейса.

Відредаговано 2015-10-11 21:13:09 supportod

[John_Doe 301]

 

 

И простой пинговалкой провайдерского шлюза переключать на живой канал.

Никогда не определяйте доступность канала пингованием провайдерского шлюза,только удаленного хоста с роутом через этот канал

Чтобы не получилось ситуации что шлюз есть а инета в нем нет

 

 

Ок. Поправка, src IP  пинга должны быть интерфейсные IP аплинков.

Чтоб в случае личной AS ответ на пинг не пришел с другого интерфейса.

 

какая разница через какой интерфейс прийдет ответ? Если в проверяемом канале нет инета пакет не уйдет. а вернется он влюбом случае через канал в котором инет есть,

[Ромка 567]

 

 

И простой пинговалкой провайдерского шлюза переключать на живой канал.

Никогда не определяйте доступность канала пингованием провайдерского шлюза,только удаленного хоста с роутом через этот канал

Чтобы не получилось ситуации что шлюз есть а инета в нем нет

 

 

Ок. Поправка, src IP  пинга должны быть интерфейсные IP аплинков.

Чтоб в случае личной AS ответ на пинг не пришел с другого интерфейса.

 

Позвольте полюбопытствовать, если есть своя AS, то зачем тогда эти все костыли с перетыканием дефолт гейтвея? Часто бывает что сессия есть, а инета нет?

Відредаговано 2015-10-12 12:33:08 Ромка

[FonOdinus 92]

Часто бывает что используют копеечный домашний интернет в коммерческих целях.

[supportod 1]

 

 

Позвольте полюбопытствовать, если есть своя AS, то зачем тогда эти все костыли с перетыканием дефолт гейтвея? Часто бывает что сессия есть, а инета нет?

 

Связность и доступность интерфейсных IP тоже надо проверять.

На них часто вешают порт-форвардинг для мониторинга и IP-KVM.

 

Ваш КО.

[vovchokig 35]

Использую скрипт от  RicoX (спасибо доброму человеку).

http://habrahabr.ru/post/177767/   там в коментах.

Отрабатывает на ура уже 2 года. Как раз используется пинг внешнего ресурса, /sbin/ping -S $INT1 -c 3 $testaddress .

Відредаговано 2015-10-21 08:53:12 vovchokig