Jump to content

pfsense проброс белых ip c шейпером трафика

ufdufd
 Share

Recommended Posts

ufdufd

ufdufd

Posted
Posted

Добрый день.

Сейчас схема работы следующая.

Имеется подсеть белых ip/28. Интернет канал заведен в коммутатор cisco 3570g. Далее вланами разруливается на pfsense и другие серваки с белыми ip. Имеются еще серваки, которые ходят в инет через pfsense (nat).

Требуется включить шейпер для канала интернет.

Как вариант рассматриваю убрать серваки с белыми адресами за pfsense, так чтобы эти ип адреса сохранились у этих серваков и появилась возможность включить шейпер трафика как для белых ип таки тех кто за нат.

Подскажите как лучше сделать?

jffulcrum

jffulcrum

Posted
Posted

Сервера убрать за pfsense, на pfsense сделать для них NAT 1:1, у них в букваре расписано, и шепить на pfsense. QoS на Cisco сделать можно, но сложнее. Также, предварительно надо убедитться, что pfsense вытянет трафик - если у вас там уже CPU хорошо утилизирован, рискуете просесть, шейпер - дорогое удовольствие.

jffulcrum

jffulcrum

Posted
Posted
3 часа назад, ufdufd сказал:

на пример сделать сетевой мост?

С мостом шейпером особо не поиграешь на отдельные IP, только на мост целиком как интерфейс. 

 

3 часа назад, ufdufd сказал:

там ходит голос

С этим бывают проблемы, да, но все же попробуйте для начала, гайд

dvb2000

dvb2000

Posted
Posted (edited)
On 1/22/2021 at 4:22 PM, ufdufd said:

Добрый день.

Сейчас схема работы следующая.

Имеется подсеть белых ip/28. Интернет канал заведен в коммутатор cisco 3570g. Далее вланами разруливается на pfsense и другие серваки с белыми ip. Имеются еще серваки, которые ходят в инет через pfsense (nat).

Требуется включить шейпер для канала интернет.

Как вариант рассматриваю убрать серваки с белыми адресами за pfsense, так чтобы эти ип адреса сохранились у этих серваков и появилась возможность включить шейпер трафика как для белых ип таки тех кто за нат.

Подскажите как лучше сделать?

Хотя с коммутатором "cisco 3570g" я не знаком, но если бы это например был cisco 3750g, то тогда это было бы тривиально. И попробую объяснить как. Интернет должен приходить на интерфейс WAN pFsense. На этом WAN интерфейсе настраивается линковачный IP адрес. Настраивается на pFsense DMZ интерфейс с адресом из этих белых ip/28. DMZ интерфейс может быть физическим или VLAN субинтерфейсом. К нему подключается порт от коммутатора. Все сервера требующие белые IP подключаются к портам коммутатора с VLAN ID соответствующим тому что подключен к DMZ интерфейсу. К интерфейсам серверов присваиваются оставшиеся IP адреса из /28 пространства. Шлюзом по умолчанию для них является IP DMZ интерфейса. На pFsense настраивается шейпер для каждого IP каждого сервера и правила Firewall. Если требуется так-же подключать клиентов без белых IP, то настраивается на pFsense дополнительный LAN суб интерфейс, с другим VLAN ID и он будет внутренним адресом NAT. Наружным настраивается например линковачный IP адрес висящий на WAN интерфейсе pFsense. Клиенты за NAT подключаются к портам коммутатора к которым присвоен VLAN ID соответствующий LAN интерфейсу.

 

 

Edited by dvb2000
Ivan_83

Ivan_83

Posted
Posted
3 часа назад, jffulcrum сказал:

С мостом шейпером особо не поиграешь на отдельные IP, только на мост целиком как интерфейс.

А почему бы не прописать pfsence шлюзом по умолчанию на ваших серверах?

ufdufd

ufdufd

Posted
  • Author
Posted
В 24.01.2021 в 00:07, Ivan_83 сказал:

А почему бы не прописать pfsence шлюзом по умолчанию на ваших серверах?

К сожалению корректно это работать думаю не будет. Шейпер будет работать только для исходящих, а входящие будут работать минуя маршрутизатор pfsense.

Ivan_83

Ivan_83

Posted
Posted

Ставим pfsence в разрыв, на одном интерфейсе делаем IP/32 - на той стороне где он подключён к провайдеру.

На другой интерфейс вешаем любой IP/маска_вашей_подсети.

Добавляем маршрут: ваша_подсеть - "любой IP"/маска_вашей_подсети.

 

Вот как то так.

Если есть правила против спуфинга - они могут помешать.

dvb2000

dvb2000

Posted
Posted
5 hours ago, ufdufd said:

К сожалению корректно это работать думаю не будет. Шейпер будет работать только для исходящих, а входящие будут работать минуя маршрутизатор pfsense.

Вроде я уже на пальцах и пошагово разъяснил что нужно сделать что-бы всё работало корректно.

 

ufdufd

ufdufd

Posted
  • Author
Posted (edited)
4 часа назад, dvb2000 сказал:

Вроде я уже на пальцах и пошагово разъяснил что нужно сделать что-бы всё работало корректно.

Я вас понял. К стати ошибся в названии коммутатора, стоит именно 3750g.

Линковочные ip адреса не хотелось бы использовать, поскольку придется много перенастраивать. Основная задача была поставить приоритет на голосовой трафик. 

Вышел из положения други способом. Все серваки с внешними адресами убрал за НАТ, за исключением голосовых. На Pfsense включил ограничение по скорости выхода в интернет.

Схема не идеальна, но в моей ситуации вполне подходит. на 3750g удалось настроить приоритезацию только на входящем трафике.

Edited by ufdufd
dvb2000

dvb2000

Posted
Posted

Именно этот 3750g ни чем не может помочь в этом случае, так как требуется шейпить L3 траффик по определённым правилам, а этот коммутатор в этом качестве не самое вменяемое решение. Если он настроен в L3 режиме, то всего лишь требуется что бы pFsense стоял перед ним и перенести с этого коммутатора маршрутизацию, чтоб ей занимался pFsense. После этого можно на pFsense настраивать любые правила шейпера на любые адреса которые стоят за ним.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.