pf на 2 провайдера
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- agat
- мл. сержант
- Сообщения: 138
- Зарегистрирован: 2009-10-27 1:21:55
- Откуда: Солнечная система, планета Земля, Россия
- Контактная информация:
pf на 2 провайдера
Появилось 2 канала интернет, а как разрулить их не знаю.
локальная сеть 192.168.0.0/24 шлюз для нее 192.168.0.1
1й канал интернет ip выданный провайдером 10.128.12.21 шлюз 10.128.0.1
2й канал интернет ip выданный провайдером 172.28.34.231 шлюз 172.28.0.1
на pf читал что есть чтото вроде route-to и reply-to, и есть еще round-robin
но вот как это слепить чтоб работало ума не приложу,
если прописать gate и выполнить нат на любой из внешних vlan3,4 то интернет есть, а вместе не работают.
ни какие сервисы, порты и службы пробрасывать не надо, людям тупо нужен инет.
схема вот такая
локальная сеть 192.168.0.0/24 шлюз для нее 192.168.0.1
1й канал интернет ip выданный провайдером 10.128.12.21 шлюз 10.128.0.1
2й канал интернет ip выданный провайдером 172.28.34.231 шлюз 172.28.0.1
на pf читал что есть чтото вроде route-to и reply-to, и есть еще round-robin
но вот как это слепить чтоб работало ума не приложу,
если прописать gate и выполнить нат на любой из внешних vlan3,4 то интернет есть, а вместе не работают.
ни какие сервисы, порты и службы пробрасывать не надо, людям тупо нужен инет.
схема вот такая
- Вложения
-
- 2gate.jpg (11.14 КБ) 3589 просмотров
Последний раз редактировалось f_andrey 2010-03-21 8:42:43, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Re: pf на 2 провайдера
где то тут то ли на форуме то ли в статьях видел заметку о балансировке (распределении нагрузки) как раз по двум каналам инфернета. По-моему в статьях было..
по теме -
а вообще можно гуглить по словам типа freebsd балансировка распределение 2 канала
по теме -
- man lagg и
- http://www.lissyara.su/articles/freebsd ... /pbr+ipfw/
- http://www.samag.ru/art/02.2007/02.2007_09.html
а вообще можно гуглить по словам типа freebsd балансировка распределение 2 канала
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
- agat
- мл. сержант
- Сообщения: 138
- Зарегистрирован: 2009-10-27 1:21:55
- Откуда: Солнечная система, планета Земля, Россия
- Контактная информация:
Re: pf на 2 провайдера
вот что нашел в манах, осталось только проверить как все это работает, отпишусь после тестов.
h@@p://www.openbsd.org/faq/pf/ru/pools.html
Хорошо бы что бы это заработало, а то уже неделю как 2 канала, а пользовать их не могу.
Код: Выделить всё
lan_net = "192.168.0.0/24"
int_if = "vlan2"
ext_if1 = "vlan3"
ext_if2 = "vlan4"
ext_gw1 = "10.128.0.1"
ext_gw2 = "172.28.0.1"
# nat исходящие соединения на каждый интерфейс Интернета
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $lan_net to any -> ($ext_if2)
# по дефолту deny
block in from any to any
block out from any to any
# pass all исходящие пакеты на внутреннем интерфейсе
pass out on $int_if from any to $lan_net
# pass in quick any пакеты, предназначенные для шлюза itself
pass in quick on $int_if from $lan_net to $int_if
# балансировка исходящего tcp трафика от внутренней сети.
pass in on $int_if route-to { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin proto tcp from $lan_net to any flags S/SA modulate state
# балансировка исходящего udp и icmp трафика от внутренней сети
pass in on $int_if route-to { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin proto { udp, icmp } from $lan_net to any keep state
# Общие "pass out" правила для внешних интерфейсов
pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if1 proto { udp, icmp } from any to any keep state
pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from any to any keep state
# маршрутизации пакетов с любого IP-адреса на $ext_if1 to $ext_gw1 и та же для $ext_if2 и $ext_gw2
pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any
Хорошо бы что бы это заработало, а то уже неделю как 2 канала, а пользовать их не могу.
- agat
- мл. сержант
- Сообщения: 138
- Зарегистрирован: 2009-10-27 1:21:55
- Откуда: Солнечная система, планета Земля, Россия
- Контактная информация:
Re: pf на 2 провайдера
FreeBSP писал(а):где то тут то ли на форуме то ли в статьях видел заметку о балансировке (распределении нагрузки) как раз по двум каналам инфернета. По-моему в статьях было..
по теме -
Огроменнейшее ПАСИБА, линки о_О много узнал нового, в закладки 100 пудов
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: pf на 2 провайдера
Рецепту этому уже не один год, раз его до сих пор не убрали, значит работает.
Обратите внимание, что эта балансировка только для исходящего тарфика, т.е. для предоставления внешних сервисов его надо допилить на тему вхождения внешнего трафика и возвращения его через соответствующий интерфейс, а не по дефолт роутеру. В данно случае помните, что таблица состояний смотрится до правил фаервола.
Ну и интересно, как это будет работать на udp. Ведь роунд-робин идет не по пакетам, а по потокам. А у udp, как известно, соединения как такового нет. В случае глюков не будет скакать по каналам?. Но, думаю, проблем не будет.
Если сделаете, отпишитесь, не изменится ли после этого стабильность работы по udp. Так,ради интереса)
Да, и кстате, для этих целей больше подходит пф,имхо.
Обратите внимание, что эта балансировка только для исходящего тарфика, т.е. для предоставления внешних сервисов его надо допилить на тему вхождения внешнего трафика и возвращения его через соответствующий интерфейс, а не по дефолт роутеру. В данно случае помните, что таблица состояний смотрится до правил фаервола.
Ну и интересно, как это будет работать на udp. Ведь роунд-робин идет не по пакетам, а по потокам. А у udp, как известно, соединения как такового нет. В случае глюков не будет скакать по каналам?. Но, думаю, проблем не будет.
Если сделаете, отпишитесь, не изменится ли после этого стабильность работы по udp. Так,ради интереса)
Да, и кстате, для этих целей больше подходит пф,имхо.
- agat
- мл. сержант
- Сообщения: 138
- Зарегистрирован: 2009-10-27 1:21:55
- Откуда: Солнечная система, планета Земля, Россия
- Контактная информация:
Re: pf на 2 провайдера
UDP потоки пропускает и как бы работает более менее стабильно, гимор начинается после отваливания одного из каналов. round-robin тупо продолжает переключать с канала на канал в соотношении 50x50 и 50% просто пропадает.Al писал(а):Ну и интересно, как это будет работать на udp. Ведь роунд-робин идет не по пакетам, а по потокам. А у udp, как известно, соединения как такового нет. В случае глюков не будет скакать по каналам?. Но, думаю, проблем не будет.
Если сделаете, отпишитесь, не изменится ли после этого стабильность работы по udp. Так,ради интереса)
мдя... ожидал большего....
Родилась идея не тупого переключения(round-robin) а распределения по портам,
21,25,80,110 поры идут через один канал все остальные через другой. возможно ли такое сделать на pf
пробовал изменить конфиг, что то не получается видимо из за неполного понимания как же это работает на round-robin.
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: pf на 2 провайдера
Ну, с тем,что при отвалившемся канале пф все равно пытается слать туда пакеты ничо не поделаешь. Фаер не заставишь следить за состоянием канала. Если только какой-нть самописный скрипт.agat писал(а):
Родилась идея не тупого переключения(round-robin) а распределения по портам,
21,25,80,110 поры идут через один канал все остальные через другой. возможно ли такое сделать на pf
пробовал изменить конфиг, что то не получается видимо из за неполного понимания как же это работает на round-robin.
По поводу разбрасывания по протоколам.
Код: Выделить всё
расс ин он инт_иф инет прото тсп,удп фром локал лан ту !локал лан порт нттп,фтп роут ту екст_иф2 гейт2
Ну,или второй вариант. На выходе.
Код: Выделить всё
расс аут он екст_иф1 инет прото тсп,удп фром экст_аддр2 ту !локал лан роут ту екст_иф2 гейт2
ЗЫ. дефолт по первому провайдеру.
- agat
- мл. сержант
- Сообщения: 138
- Зарегистрирован: 2009-10-27 1:21:55
- Откуда: Солнечная система, планета Земля, Россия
- Контактная информация:
Re: pf на 2 провайдера
Al все работает прям аще....
icmp отправил в отдельный канал не на defaultrouter, и .... мой gate просто изчез из хопов traceroute, udp в том же канале, а tcp в дефолтном.
пока так раскидал, потом по портам разнесу, теперь уже дело техники.
спасиб большое.,
icmp отправил в отдельный канал не на defaultrouter, и .... мой gate просто изчез из хопов traceroute, udp в том же канале, а tcp в дефолтном.
пока так раскидал, потом по портам разнесу, теперь уже дело техники.
спасиб большое.,
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: pf на 2 провайдера
Рады стараться)
На входе сделал или на выходе?
На входе сделал или на выходе?
- agat
- мл. сержант
- Сообщения: 138
- Зарегистрирован: 2009-10-27 1:21:55
- Откуда: Солнечная система, планета Земля, Россия
- Контактная информация:
Re: pf на 2 провайдера
Код: Выделить всё
pass in...
но... смоделировал каналы на отдельном неответственном участке и пытаюсь понять работу route-to и reply-to
пока для меня это некое шаманство -работает, а как- непонятно, шайтанама.
Код: Выделить всё
pass out
В общем на тупом списал конфиг и -" да по фиг что он делает" не останавился. хочу понять как оно работает, чтоб в следующий раз с закрытыми глазами написать тоже самое, а может и еще что получше.
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: pf на 2 провайдера
Да все просто. роут-ту - ты просто задаешь шлюз для пакетов, попавших под это правило.
реплай-ту, тож самое, только для входящих пакетов ты уже задаешь шлюз на исходящие по этому стейту.
реплай-ту, тож самое, только для входящих пакетов ты уже задаешь шлюз на исходящие по этому стейту.
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: pf на 2 провайдера
Наткнулся тут на способ монитора хостов фаером... Так что беру свои слова обратно.
http://www.openbsderos.org/libros/The%2 ... f%20PF.pdf
стр. 53
http://www.openbsderos.org/libros/The%2 ... f%20PF.pdf
стр. 53
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: pf на 2 провайдера
Но не на фре(
- agat
- мл. сержант
- Сообщения: 138
- Зарегистрирован: 2009-10-27 1:21:55
- Откуда: Солнечная система, планета Земля, Россия
- Контактная информация:
Re: pf на 2 провайдера
Распечатал, с экрана в неудобно читать, много интересного нашел.
Да у PF синтаксис одинаковый что на openBSD что на freeBSD
Да у PF синтаксис одинаковый что на openBSD что на freeBSD
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: pf на 2 провайдера
Почитай, там дело не в синтаксисе, к сожалению(