https://m.opennet.dev/openforum/vsluhforumID10/4441.html Всем привет облазил кучу форумов много про это пишут но у меня не работают 2 канала из интернет. <br>Есть некоторое количество сервисов в локалке с серыми айпишниками, на которые необходимо редиректить соединения из вне... к примеру: 3389 и 4899. Необходимо, чтобы эти сервисы БЫЛИ ДОСТУПНЫ С ОБОИХ ВНЕШНИХ IP. Баллансировка пока не нужна.<br><br>Есть гейт под управлением FreeBSD 6.3. C 3мя интерфейсами: firewall pf<br>rl0 # локалка<br>rl1 # лимитка это default<br>ext_if<br>rl2 # безлимитка <br>ext_if2<br><br>в првилах pf.conf так<br>на default тут работает<br>rdr pass on $ext_if inet proto tcp from any to any port 3333 -&gt; 10.0.0.104 port 3389<br>а на втором нет<br>rdr pass on $ext_if2 inet proto tcp from any to any port 3333 -&gt; 10.0.0.104 port 3389<br><br>и в низу после всех pass<br>pass in on $ext_if reply-to ( $ext_if $ext_if_gw ) inet proto tcp from any to 10.0.0.4 port {3333, 3389} flags S/SA keep state<br>pass in on $ext_if2 reply-to ( $ext_if2 $ext_if2_gw ) inet proto tcp from any to 10.0.0.104 port {3333,3389} flags S/SA keep state<br><br>Под https://m.opennet.dev/openforum/vsluhforumID10/4441.html#14 Thu, 17 Dec 2009 06:47:09 GMT &gt;зачем тебе два тунеля на отдном физическом? <br><br>см.выше.<br>&gt;А что делать? ISP выдает IP 10.8.37.4 шлюз 10.8.37.1 на внехе выходит через ххх.хх.хх.хх.<br>&gt;Остальные IP получаю по VPN, https://m.opennet.dev/openforum/vsluhforumID10/4441.html#13 Thu, 17 Dec 2009 04:54:02 GMT &gt;&gt;речь о двух независимых КАНАЛАХ <br>&gt;<br>&gt;по вашему ng0, ng1 зависимые каналы? отчего? они зависят только от наличия <br>&gt;связи на vlan5. tcpdum -i vlan5 ничего не покажет кроме gre <br>&gt;до vpn серверов, а вот tcpdump -i ng0 или ng1 покажет <br>&gt;какие пакеты туда сыпятся, такч то я счита что они ничем <br>&gt;не отличаются от физических таких как re, rl и т.д. <br>&gt;у каждого ng имеется свой шлюз также как и у физических. <br><br>зачем тебе два тунеля на отдном физическом?<br> https://m.opennet.dev/openforum/vsluhforumID10/4441.html#12 Wed, 16 Dec 2009 15:59:16 GMT &gt;речь о двух независимых КАНАЛАХ <br><br>по вашему ng0, ng1 зависимые каналы? отчего? они зависят только от наличия связи на vlan5. tcpdum -i vlan5 ничего не покажет кроме gre до vpn серверов, а вот tcpdump -i ng0 или ng1 покажет какие пакеты туда сыпятся, такч то я счита что они ничем не отличаются от физических таких как re, rl и т.д.<br>у каждого ng имеется свой шлюз также как и у физических.<br><br> https://m.opennet.dev/openforum/vsluhforumID10/4441.html#11 Wed, 16 Dec 2009 15:50:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt;начнем с того что дефоулт настраивается не на твой айпи ))) <br>&gt;<br>&gt;А что делать? ISP выдает IP 10.8.37.4 шлюз 10.8.37.1 на внехе выходит <br>&gt;через ххх.хх.хх.хх. <br>&gt;Остальные IP получаю по VPN, естественно что самый стабильный путь это на <br>&gt;шлюз провайдера, т.к. VPN может разорвать и т.д. ну и т.к. <br>&gt;этот канал пошустрее чем VPN <br>&gt;А насчет каналов могу добавить, т.к. внешние у меня доступны только через <br>&gt;VPN то получаю соответсвенно ng0, ng1 интерфейсов. vlan5 - default gateway <br>&gt;to isp. <br><br>речь о двух независимых КАНАЛАХ<br> https://m.opennet.dev/openforum/vsluhforumID10/4441.html#10 Wed, 16 Dec 2009 15:38:44 GMT &gt;еще раз внимательно читаем топ и ищем разницу между двумя КАНАЛАМИ и <br>&gt;двумя АЙПИ <br>&gt;&gt;по NAT и работает. <br>&gt;<br>&gt;третий айпи? дефаулт на нат? )) жесть ... <br>&gt;начнем с того что дефоулт настраивается не на твой айпи ))) <br><br>А что делать? ISP выдает IP 10.8.37.4 шлюз 10.8.37.1 на внехе выходит через ххх.хх.хх.хх.<br>Остальные IP получаю по VPN, естественно что самый стабильный путь это на шлюз провайдера, т.к. VPN может разорвать и т.д. ну и т.к. этот канал пошустрее чем VPN<br>А насчет каналов могу добавить, т.к. внешние у меня доступны только через VPN то получаю соответсвенно ng0, ng1 интерфейсов. vlan5 - default gateway to isp.<br><br> https://m.opennet.dev/openforum/vsluhforumID10/4441.html#9 Wed, 16 Dec 2009 15:29:34 GMT &gt;Я думаю tcpdump и pflog скажет что куда уходит, <br><br>я думаю надо для начала подумать и использовать здравый смысл))<br>&gt;у меня 2 внешних ip, defaul route настроен на третий ip который <br><br>еще раз внимательно читаем топ и ищем разницу между двумя КАНАЛАМИ и двумя АЙПИ<br>&gt;по NAT и работает. <br><br>третий айпи? дефаулт на нат? )) жесть ...<br>начнем с того что дефоулт настраивается не на твой айпи )))<br><br><br> https://m.opennet.dev/openforum/vsluhforumID10/4441.html#8 Wed, 16 Dec 2009 14:15:12 GMT Я думаю tcpdump и pflog скажет что куда уходит,<br>у меня 2 внешних ip, defaul route настроен на третий ip который по NAT и работает.<br> https://m.opennet.dev/openforum/vsluhforumID10/4441.html#7 Wed, 16 Dec 2009 13:19:58 GMT &gt;Всем привет облазил кучу форумов много про это пишут но у меня <br>&gt;не работают 2 канала из интернет. <br>&gt;Есть некоторое количество сервисов в локалке с серыми айпишниками, на которые необходимо <br>&gt;редиректить соединения из вне... к примеру: 3389 и 4899. Необходимо, чтобы <br>&gt;эти сервисы БЫЛИ ДОСТУПНЫ С ОБОИХ ВНЕШНИХ IP. Баллансировка пока не <br>&gt;нужна. <br><br>думаю тут как всегда все бонально:<br>1) пакет пришел НЕ ЧЕРЕЗ дефалут<br>2) парет средиректился (точно также как на дефаулте, тут думаю все нормально)<br>3) вопрос - куда улетит ответный пакет?<br><br><br> https://m.opennet.dev/openforum/vsluhforumID10/4441.html#6 Wed, 16 Dec 2009 12:02:29 GMT Попробуйте так, т.е. добавив nat, разрешив out, у меня примерно по такой схеме работает, причем $ext_if и $ext_if2 уменя не являются шлюзами по умолчанию.<br><br>nat on $ext_if -&gt; ($ext_if)<br>nat on $ext_if2-&gt; ($ext_if2)<br><br>rdr on $ext_if proto {tcp,udp} from any to any port 3333 -&gt; 10.0.0.104 port 3389<br>rdr on $ext_if2 proto {tcp,udp} from any to any port 3333 -&gt; 10.0.0.104 port 3389<br><br>pass in on $ext_if reply-to($ext_if $ext_if_gw) proto {tcp,udp} from any to 10.0.0.104 port {3389} flags S/SA modulate state<br><br>pass out quick on $ext_if route-to($ext_if $ext_if_gw) proto {tcp,udp,gre} from any to any flags S/SA modulate state<br><br>pass in on $ext_if2 reply-to($ext_if2 $ext_if2_gw) proto {tcp,udp} from any to 10.0.0.104 port {3389} flags S/SA modulate state<br><br>pass out quick on $ext_if route-to($ext_if2 $ext_if2_gw) proto {tcp,udp,gre} from any to any flags S/SA modulate state<br>