два провайдера 2 шлюза

[Rico-X]

Возможно глупый вопрос, но спрошу.
При проверки дефолтного шлюза, чтобы это все работало, netstat должен выдавать 2 шлюза или один?

Дефолтным - один. Тут маршруты через второй интерфейс роутятся на уровне pf а не шлюзов.

[kuhar]

Без pass выдает синтаксическую ошибку, а так не работает.
Пробовал добавить

Код:

pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any

Тоже не работает.
Криво но работает, если с конфигурацией, как я раньше писал, но добавить второй шлюз:

Код:

route add default ISP_GW2

После этого netstat выдает два шлюза.
Но тогда выходит следующая картина:
Через PS1 у клиента пинг идет стабильный на 8.8.8.8, но страницы не открываются, а через PS2 пинг на 8.8.8.8 идет один пакет проходит и 5-8 нет.
В rc.conf дефаулт роутер стоит ISP_GW1
Может я действительно, что-то не так делаю, помогите плизз..

[Rico-X]

Вот реальный пример конфига, работающего через 2 провайдера

Код:

# cat /etc/pf.conf
set limit states 128000
set optimization aggressive
ext_if1="vlan100" #Kanal1
ext_if2="vlan200" #Kanal2

ext_gw1="192.168.88.1"
ext_gw2="192.168.89.1"

table <no_nat> const { 192.168.0.0/16 10.0.0.0/16 }
scrub in all 
nat pass on $ext_if1 inet from 10.0.0.0/24 to 192.168.88.0/24 -> 192.168.88.99
nat pass on $ext_if2 inet from 10.0.0.0/24 to 192.168.89.0/24 -> 192.168.89.99
nat pass inet from 10.0.0.105 to 10.0.12.0/24 -> 10.0.12.1
nat pass inet from 10.0.0.0/16 to 10.0.0.100 port {137,138,139,445} -> 10.0.0.1
nat from 10.0.0.100 to !<no_nat> -> $ext_if2
nat pass from 10.0.0.105 to !<no_nat> -> $ext_if1
nat pass from 10.0.0.14 to !<no_nat> -> $ext_if1

nat from 10.0.0.0/20 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address
nat from 10.0.100.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address
nat from 10.0.99.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address

pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to !<no_nat>
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to !<no_nat>

Не забываем также поменять параметры IPFW, что надо менять:

Код:

${f} add 200 skipto 500 ip from any to any { via ${ifOut} or via ${ifOut2} }
${f} add 400 skipto 450 ip from any to any { recv ${ifOut} or recv ${ifOut2} }
${f} add 2050 deny ip from any to any { via ${ifOut} or via ${ifOut2} }

Ни какие дефаултоуты править не нужно.

[kuhar]

А можешь плизз описать чем являются подсети и ip:
192.168.0.0/16
10.0.0.0/16
192.168.88.99 на сколько я понял это ip ISP1
192.168.89.99 на сколько я понял это ip ISP2
10.0.0.105
10.0.12.0/24
10.0.12.1
10.0.0.100
10.0.0.1
10.0.0.14

Для меня будет достаточна следующая конфигурация?

Код:

set limit states 128000
set optimization aggressive

ext_if1="ip_PS1"
ext_if2="ip_PS2"
ext_gw1="GW_PS1"
ext_gw2="GW_PS2"

nat pass on $ext_if1 from 10.0.24.0/24 to any -> $ext_if1
nat pass on $ext_if2 from 10.0.25.0/24 to any -> $ext_if2

nat from 10.0.24.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address
nat from 10.0.25.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address

pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to !<no_nat>
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to !<no_nat>

IPFW именно так и настроен у меня, и еще у меня сейчас в rc.conf закоменчен defaultrouter, так как оба прова соединяются по dhcp, но по какой-то причине постоянно в netstat светится GW второго прова, может нужно defaultrouter прописать какой-то локальный ip?

[Rico-X]

А можешь плизз описать чем являются подсети и ip:

192.168.0.0/16 - Вся серая подсеть 192.168 - на нее не натим
10.0.0.0/8 - тоже с 10.
192.168.88.99 - Айпишка самого маршрутизатора, смотрящая в сторону ISP1
192.168.89.99  - Айпишка самого маршрутизатора, смотрящая в сторону ISP2
10.0.0.105 - Сервак помойка, просто ему разрешаем попадать в приватный вилан 12
10.0.12.0/24 - Приватный вилан для сотрудников
10.0.12.1 - Айпишка самого маршрутизатора для вилана 12
10.0.0.100 - Сервачек, который всегда должен ходить через 1 интерфейс
10.0.0.1 - Айпишка самого маршрутизатора на вилане 1
10.0.0.14 - аналогично со 105
То-есть в принципе эти значения исключительно для сетки, откуда я их выдрал. Основное

Для меня будет достаточна следующая конфигурация?

Код:

set limit states 128000
set optimization aggressive

ext_if1="ip_PS1"
ext_if2="ip_PS2"
ext_gw1="GW_PS1"
ext_gw2="GW_PS2"

nat pass on $ext_if1 from 10.0.24.0/24 to any -> $ext_if1
nat pass on $ext_if2 from 10.0.25.0/24 to any -> $ext_if2

nat from 10.0.24.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address
nat from 10.0.25.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address

pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to !<no_nat>
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to !<no_nat>

Можно без:

Код:

nat from 10.0.24.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address
nat from 10.0.25.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address

Эти строки для динамической балансировки нагрузки

IPFW именно так и настроен у меня, и еще у меня сейчас в rc.conf закоменчен defaultrouter, так как оба прова соединяются по dhcp, но по какой-то причине постоянно в netstat светится GW второго прова, может нужно defaultrouter прописать какой-то локальный ip?

Нет ничего прописывать не надо, если не выйдет - дайте ssh или тимвивер - посмотрим что не так.

[SeMant]

  Что -то у меня ничего не получается.
 У меня два канала, один Я получаю по рррое второй по дхцп.

Код:

 root@vento:/etc#cat pf.conf
set limit states 128000
set optimization aggressive

ext_if1="em1" # dhcp
ext_if2="re0" # pppoe
ext_gw1="GW_PS1"
ext_gw2="GW_PS2"

nat pass on $ext_if1 from 10.10.0.0/16 to any -> $ext_if1
nat pass on $ext_if2 from 10.10.0.0/16 to any -> $ext_if2

nat from 10.10.0.0/16 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address
# nat from 10.0.0.0/8 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address

pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to !<no_nat>
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to !<no_nat>

абоненты ходят только туда, куда стоит маршрут по default. меняю по ходу работы маршрут, работаем через другого прова.
И ещё, Я же правильно понимаю, больше нигде ничего настраивать не надо, чтобы сервер мог работать одновременно на два шлюза ?

[k291]

Решили проблему?

[SeMant]

Решили проблему?

Скорее нет чем да. Если к серверу подключаться по ip (всегда онлайн), то трафик балансируется. Но дело в том, что абоненты у меня подключаются по пппое и тунели ходят только по дефолту.
 Как балансировать трафик пппое пока не знаю. Гле-то читал, что народ с помощью PF балансироваал пппое тунели на кол-во шлюзов.
 Проблема пока открыта, если только не поставить перед насом сервер для балансирования.

[Animancorda]

Попробуйте создать VLAN для каждого сервиса в отдельности со своим Service ID и Vlan ID. И пускай трафик по каждому гоняет там где вам надо