Jump to content

FreeBSD, pf, два провайдери та інше

Lambert

By Lambert,
in Software

 Share Followers 0

Recommended Posts

Lambert

Lambert 5

Posted
Posted

Цей топік мабуть можна віднести до комерційного, бо моїх мізків не вистачило і я зацікавлений в консультативних послугах людини що знається на pf

бо мануали особисто мені щось не допомагають, обкурився але зробити не подужав... :)

 

дано: типовий роутер, FreeBSD 10, pf, два провайдери на вході, на виході (в локалку) два vlan, гостьовий та робочий.

оскільки параметри провайдерських каналів відрізняються, хочеться реалізувати систему розподілення трафіку за класами

себто щоб vpn, sip та nat одного з vlan'ів були прикріплені до одного каналу, а все інше що працює - до іншого

швидкість гостьового та робочого вланів на вихід регулюється через altq

за умови падіння одного з каналів роутер має автоматично згорнути деякі сервіси в працюючий канал (а деякі заблокувати), і повернути "як було" після того як канал аплінка підніметься

зараз грався правилами в pf але повністю реалізувати ідею не виходить, обидва канали працюють але трафік обох nat переважно йде за маршрутом default route

є сенс викладати конфіги, чи консультація такого роду автоматично виходить за межі благодійної і коштує n грн/год? :)

буду уважний до пропозицій у приватній пошті

Link to post
Share on other sites
John_Doe

John_Doe 301

Posted
Posted

 

 

И простой пинговалкой провайдерского шлюза переключать на живой канал.

Никогда не определяйте доступность канала пингованием провайдерского шлюза,только удаленного хоста с роутом через этот канал

Чтобы не получилось ситуации что шлюз есть а инета в нем нет

Link to post
Share on other sites
Lambert

Lambert 5

Posted
  • Author
Posted

скрипт переключення дефолт роута в мене зараз є і працює, але на жаль пінгує він саме провайдерський гейт

Проблем ще не було, але я цілком згоден з тим, що правильно буде пінгувати декілька загальновідомих стабільних ресурсів крізь заданий напрямок

але то ще якось скумекати треба, як то робиться :)

бо зараз якраз проблема в мене з напрямками у pf, при переключенні дефолтроута не виходить змусити фаєрвол залишати деякі сервіси прив'язаними до вибраного каналу

наприклад, внутрішня телефонія - у оператора аутентифікація з прив'язкою до ip, і от зараз якраз воюю з тим щоб станція ходила в світ лише крізь один і той же канал, навіть якщо він впаде

Link to post
Share on other sites
Lambert

Lambert 5

Posted
  • Author
Posted (edited)

man setfib

И простой пинговалкой провайдерского шлюза переключать на живой канал.

почитав. виглядає навіть занадто круто :) невже засобами pf не можна зробити подібного, щоб не ваяти декілька таблиць маршрутизації?

 

Те що Вам потрібно

от якби можна було сирий конфіг подивитися, після тієї вебморди... була б інша справа :)

в мене не pfsense, тут чиста фряха

Edited by Lambert
Link to post
Share on other sites
supportod

supportod 1

Posted
Posted (edited)

 

И простой пинговалкой провайдерского шлюза переключать на живой канал.

Никогда не определяйте доступность канала пингованием провайдерского шлюза,только удаленного хоста с роутом через этот канал

Чтобы не получилось ситуации что шлюз есть а инета в нем нет

 

 

Ок. Поправка, src IP  пинга должны быть интерфейсные IP аплинков.

Чтоб в случае личной AS ответ на пинг не пришел с другого интерфейса.

Edited by supportod
Link to post
Share on other sites
John_Doe

John_Doe 301

Posted
Posted

 

 

И простой пинговалкой провайдерского шлюза переключать на живой канал.

Никогда не определяйте доступность канала пингованием провайдерского шлюза,только удаленного хоста с роутом через этот канал

Чтобы не получилось ситуации что шлюз есть а инета в нем нет

 

 

Ок. Поправка, src IP  пинга должны быть интерфейсные IP аплинков.

Чтоб в случае личной AS ответ на пинг не пришел с другого интерфейса.

 

какая разница через какой интерфейс прийдет ответ? Если в проверяемом канале нет инета пакет не уйдет. а вернется он влюбом случае через канал в котором инет есть,

Link to post
Share on other sites
Ромка

Ромка 567

Posted
Posted (edited)

 

 

И простой пинговалкой провайдерского шлюза переключать на живой канал.

Никогда не определяйте доступность канала пингованием провайдерского шлюза,только удаленного хоста с роутом через этот канал

Чтобы не получилось ситуации что шлюз есть а инета в нем нет

 

 

Ок. Поправка, src IP  пинга должны быть интерфейсные IP аплинков.

Чтоб в случае личной AS ответ на пинг не пришел с другого интерфейса.

 

Позвольте полюбопытствовать, если есть своя AS, то зачем тогда эти все костыли с перетыканием дефолт гейтвея? Часто бывает что сессия есть, а инета нет?

Edited by Ромка
Link to post
Share on other sites
supportod

supportod 1

Posted
Posted

 

 

Позвольте полюбопытствовать, если есть своя AS, то зачем тогда эти все костыли с перетыканием дефолт гейтвея? Часто бывает что сессия есть, а инета нет?

 

Связность и доступность интерфейсных IP тоже надо проверять.

На них часто вешают порт-форвардинг для мониторинга и IP-KVM.

 

Ваш КО.

Link to post
Share on other sites
vovchokig

vovchokig 35

Posted
Posted (edited)

Использую скрипт от  RicoX (спасибо доброму человеку).

http://habrahabr.ru/post/177767/   там в коментах.

Отрабатывает на ура уже 2 года. Как раз используется пинг внешнего ресурса, /sbin/ping -S $INT1 -c 3 $testaddress .

Edited by vovchokig
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 0
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...