pfSense Gold Subscription

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - chieftech

Pages: [1] 2
1
Russian / Re: Шлюзы DNS в General setup
« on: December 09, 2017, 02:17:47 pm »
Quote
Доброго.
И вам всего самого лучшего.

Quote
В кач-ве ДНС на машинах лок. адрес пф ?
Да

А как тогда понимать то что на скрине?

2
Russian / Re: Шлюзы DNS в General setup
« on: December 09, 2017, 12:32:14 pm »
Вы мне предлагаете способ обойти проблему. А мне хотелось бы узнать как её можно решить и возможно ли это. И почему эта проблема возникает только с гугл днс?

3
Russian / Re: Шлюзы DNS в General setup
« on: December 07, 2017, 11:55:48 am »
Quote
Опенвпн-серверы (не клиенты) вам подконтрольны?
Вам нужно весь трафик через впн-завернуть ? Или только к опред. хостам в инете ?

Полное ТЗ в студию.

VPN Сервер наш. Да подконтролен.
Весь трафик в впн заворачивать не требуется.
Завернуть нужно трафик на некоторые Домены. Как правило для того чтобы пройти ssl сертификацию между хостом и доменом, дальше не важно что куда пойдет.

Нужные домены прописаны в Alies. Соответствующий Alies прописан в статик маршрутах для интерфейса ВПН. Правило в fw на этот Alies тоже создано с gw впн.
В общем-то все работает как полагается за исключением некоторых случаев где провайдер агресивно подменяет DNS запросы и навязывает свои маршруты на гугловские DNSы
Хотелось бы чтобы маршрутизация приходила в себя в случае падения и последующего восстановления ВПН соединения.

4
Russian / Re: Шлюзы DNS в General setup
« on: December 07, 2017, 08:43:59 am »
А сейчас законектился на пф в другом городе где используем провайдер агрессивно коверкающий днс ответы.
Там в списке ДНС вообще нет 8.8.8.8 и 8.8.4.4 а маршруты на них всеравно прописаны в таблице.
Как от них избавлятся? =(

5
Russian / Re: Шлюзы DNS в General setup
« on: December 07, 2017, 08:21:08 am »
Ладно давайте по порядку...

Quote
Правила fw на ЛАН покажите.
На первом скрине


Quote
https://www.infotechwerx.com/blog/Prevent-Any-Traffic-VPN-Hosts-Egressing-WAN
https://forum.pfsense.org/index.php?topic=105810.0
По первой ссылки прочел, даже что-то понял. Но не понял как это связать с моей проблемой.
По второй ссылке с моим английским это на долго. Буду курить инфу.

Quote
И здесь https://nguvu.org/pfsense/pfsense-baseline-setup/ оч. много.
А вот эта ссылка дала пищу для размышлений на середине статьи, а именно галка System > Advanced > Miscellaneous  - Skip rules when gateway is down

Я пошел с маршрутизацию и выяснил вот что
Скрин 2 - Так настроены ДНС шлюзы
Скрин 3 - Так выглядит таблица маршрутизации когда все шлюзы подняты включая впн. Всё как надо работает и ходит
Скрин 4 - Так начинает выглядеть таблица если положить руками впн подключение.

Если с выключеной впн запросить домен то все запросы по всем указаным 8 ДНСам идут в default шлюз, что собственно логично ибо маршруты в впнку невозможны.
По идее при восстановлении впнки таблица маршрутов должна возобновиться как на Скрине 3, но получаем Скрин 5.

Если зайти в раздел System > Advanced > Miscellaneous и нажать aply - получаем здоровую таблицу как на Скрине 3

6
Russian / Re: GW грыппы для 3x WAN
« on: December 07, 2017, 05:47:19 am »
Quote
Это можно подробнее?

В настройках клиента OpenVPN нужно указать интерфейсом подключения группу Loadbalancing'а, иначе не переконекчивается при падении Default шлюза. Уточняю сразу что в моем случае gateway switching не используется.

7
Russian / Шлюзы DNS в General setup
« on: December 07, 2017, 01:25:49 am »
Скрины с настройками приложены.
Имеется список используемых ДНС, для всех шлюзом назначен интерфейс впнки(На скрине 2 последних поменял специально для показательности эксперимента)
Вот что происходит:

Запрашиваем домен и читаем трафик ВАН1
Code: [Select]
10:07:19.882467 IP 193.188.254.172.29222 > 4.2.2.1.53: UDP, length 43
10:07:20.006849 IP 4.2.2.1.53 > 193.188.254.172.29222: UDP, length 147
10:07:20.628340 IP 193.188.254.172.29230 > 4.2.2.1.53: UDP, length 17
10:07:20.699083 IP 4.2.2.1.53 > 193.188.254.172.29230: UDP, length 228

Запрашиваем домен и читаем трафик ВАН2
Code: [Select]
10:09:21.167190 IP 91.195.86.121.15987 > 4.2.2.2.53: UDP, length 17
10:09:21.234407 IP 4.2.2.2.53 > 91.195.86.121.15987: UDP, length 228
10:09:23.292571 IP 91.195.86.121.25968 > 4.2.2.2.53: UDP, length 52
10:09:23.292648 IP 91.195.86.121.51736 > 4.2.2.2.53: UDP, length 47
10:09:23.363842 IP 4.2.2.2.53 > 91.195.86.121.25968: UDP, length 157
10:09:23.375241 IP 4.2.2.2.53 > 91.195.86.121.51736: UDP, length 152

Запрашиваем домен и читаем трафик ВПН
Code: [Select]
10:10:44.950589 IP 10.8.0.62.27721 > 208.67.222.222.53: UDP, length 40
10:10:45.007391 IP 208.67.222.222.53 > 10.8.0.62.27721: UDP, length 104
10:10:45.007423 IP 10.8.0.62.21762 > 208.67.222.222.53: UDP, length 40
10:10:45.103612 IP 208.67.222.222.53 > 10.8.0.62.21762: UDP, length 110
10:10:46.418137 IP 10.8.0.62.2730 > 208.67.222.222.53: UDP, length 17
10:10:46.474839 IP 208.67.222.222.53 > 10.8.0.62.2730: UDP, length 228
10:10:46.477293 IP 10.8.0.62.51481 > 208.67.220.220.53: UDP, length 17
10:10:46.533889 IP 208.67.220.220.53 > 10.8.0.62.51481: UDP, length 228
10:10:46.536458 IP 10.8.0.62.61652 > 84.200.69.80.53: UDP, length 17
10:10:46.612815 IP 84.200.69.80.53 > 10.8.0.62.61652: UDP, length 228
10:10:46.615370 IP 10.8.0.62.48434 > 84.200.70.40.53: UDP, length 17
10:10:46.717472 IP 84.200.70.40.53 > 10.8.0.62.48434: UDP, length 228
10:10:46.865838 IP 10.8.0.62.61516 > 208.67.222.222.53: UDP, length 30
10:10:46.923297 IP 208.67.222.222.53 > 10.8.0.62.61516: UDP, length 46
10:10:46.923422 IP 10.8.0.62.41186 > 208.67.222.222.53: UDP, length 30
10:10:46.980225 IP 208.67.222.222.53 > 10.8.0.62.41186: UDP, length 46
10:10:46.980326 IP 10.8.0.62.54416 > 208.67.222.222.53: UDP, length 30
10:10:47.037652 IP 208.67.222.222.53 > 10.8.0.62.54416: UDP, length 101
10:10:47.037710 IP 10.8.0.62.54903 > 208.67.222.222.53: UDP, length 40
10:10:47.061515 IP 10.8.0.62.65089 > 208.67.222.222.53: UDP, length 33
10:10:47.061522 IP 10.8.0.62.65089 > 208.67.220.220.53: UDP, length 33
10:10:47.061526 IP 10.8.0.62.65089 > 84.200.69.80.53: UDP, length 33
10:10:47.061531 IP 10.8.0.62.65089 > 84.200.70.40.53: UDP, length 33
10:10:47.185943 IP 84.200.70.40.53 > 10.8.0.62.65089: UDP, length 124
10:10:47.241095 IP 208.67.222.222.53 > 10.8.0.62.54903: UDP, length 109
10:10:47.241236 IP 10.8.0.62.62554 > 208.67.222.222.53: UDP, length 30
10:10:47.280007 IP 84.200.69.80.53 > 10.8.0.62.65089: UDP, length 124
10:10:47.315817 IP 208.67.220.220.53 > 10.8.0.62.65089: UDP, length 49
10:10:47.315834 IP 208.67.222.222.53 > 10.8.0.62.62554: UDP, length 101
10:10:47.315882 IP 10.8.0.62.64046 > 208.67.222.222.53: UDP, length 40
10:10:47.432633 IP 208.67.222.222.53 > 10.8.0.62.65089: UDP, length 49
10:10:47.495605 IP 208.67.222.222.53 > 10.8.0.62.64046: UDP, length 109

Вроде нормально всё.

А теперь добавляю еще два серсвера DNS: 8.8.8.8 и 8.8.4.4 шлюзы для обоих ставлю впн!

Запрашиваем домен и читаем трафик ВАН1
Code: [Select]
10:13:34.624627 IP 8.8.8.8.53 > 193.188.254.172.25543: UDP, length 92
10:13:35.214207 IP 193.188.254.172.59652 > 4.2.2.1.53: UDP, length 32
10:13:35.214221 IP 193.188.254.172.59652 > 8.8.8.8.53: UDP, length 32     ------  ????????
10:13:35.257484 IP 8.8.8.8.53 > 193.188.254.172.59652: UDP, length 48
10:13:35.292531 IP 4.2.2.1.53 > 193.188.254.172.59652: UDP, length 48
10:13:36.456134 IP 193.188.254.172.41055 > 4.2.2.1.53: UDP, length 17
10:13:36.530273 IP 4.2.2.1.53 > 193.188.254.172.41055: UDP, length 228
10:13:36.621305 IP 193.188.254.172.52273 > 8.8.8.8.53: UDP, length 17     ------  ????????
10:13:36.650383 IP 8.8.8.8.53 > 193.188.254.172.52273: UDP, length 228

Тоже и на втором ВАН

Что я делаю не так?

И второй вопрос. По какому алгоритму возвращается айпи для клиента с таким количеством днс? Если один или несколько ДНС ответят с неверным айпи(я имею ввиду подмену айпи страницей блокировки роскомнадзора) то какой айпи возвратится клиенту?

8
Russian / Re: GW грыппы для 3x WAN
« on: December 07, 2017, 12:55:29 am »
Царь доволен. ;D

Всё действительно работает только на одной группе LB.

Работает без галочка Use sticky connections, да и с ней тоже работает. Правда без нее балансит множественные подключения с одного хоста сразу на все 3 шлюза, а с ней только в один.

В правиласх FW естестественно правило на эту группу

В настройках впн нужно выбрать группу LB как интерфейс для подключения. Переконекчивается в случае падения почти мгновенно, вырубал ваны в любых последовательностях.

Спасибо тебе милй человек.

9
Russian / Re: GW грыппы для 3x WAN
« on: December 05, 2017, 02:39:28 pm »
Quote
Создайте из ваших 3-ех ВАНов LB-группу и используйте ее в правилах fw на ЛАН. Только галку на Stiсkly connections поставить + Reset states сделайте.

Да да, я вник. Немогу пока добраться до места, по удалёнке не хочу эксперементировать от греха подальше. По результатам отпишусь

10
Russian / Re: GW грыппы для 3x WAN
« on: December 04, 2017, 09:53:02 am »
Quote
Покажите скрином что вы мониторите.
Такое впечатление что вы мне не доверяете...
И не удивляйтесь "Как такое возможно", я живу в очень насыщенном событиями месте куда приходит только один магистральный линк и нет конкуренции.

11
Russian / Re: GW грыппы для 3x WAN
« on: December 04, 2017, 03:30:55 am »
Доброго.
Quote
Для стандартных 2х WAN надо 3 правила. 1 для LB и 2 для FO - и тут у меня вопросы:
Хм. А разве для FO из 2-х ВАНов не хватит установленной галки на Allow def gateway swithching ? Зачем явно создавать еще  и правила, что при падении WAN2 нужно переходить на WAN1 и наоборот ? Такие правила при FO создаются явно, если у WAN-интерфейсов есть еще и важность\приоритет - Tier.

По-хорошему, я бы вообще FO не использовал. Оставил бы только LB - оно и так работает как FO + балансировка. Нужно потестить.

Видите ли в моём случае есть еще интерфейс для впн, у которого тоже свой шлюз, и бывало так что падали айпи адреса по которым мониторились WANы, и система с помощью gwswitch назначила ВПН как основной шлюз, что в свою очередь сломало маршрутизацию.

12
Russian / GW грыппы для 3x WAN
« on: December 04, 2017, 03:02:01 am »
Всем хорошего настроения.

Прошу помощи в разъяснении работы тех самых групп в разделе     System - Routing - Gateway Groups
Я уже давно использую функцию балансировки и Фаиловера, но вопросы возникли когда стало необходимо настроить это всё для 3х WAN.

Для стандартных 2х WAN надо 3 правила. 1 для LB и 2 для FO - и тут у меня вопросы:
Из доков пфсенса я не совсем понял логики. С лоадбалансером всё понятно, а вот что происходит при падении одного gw я непонял.

По моей (не обязательно правильной) логике нужно создать одно правила в котором указать системе последовательность перескока по шлюзам при падении. Но путём эксперимента выяснил что так не работает. Ну тут ладно создал два правила и проблема решена.

А вот как крутить tier если WANов 3? получается нужно создать группы на каждый случай жизни?
То есть: 3 Wan - 6 групп+1 для LB? Или как?

Где вообще об этом можно почитать более подробно?

13
Russian / Re: Default шлюзы
« on: November 22, 2017, 01:07:09 pm »
Таким образом, IMHO, если даже провайдер VPN и "заворачивает" весь трафик в свой туннель, но мы:
1. не назначаем его шлюз как 0/0 (default gw) как принудительно, так и через allow default gateway switching
2. не включаем его в GW Group
трафик по нему вообще не пойдет ни при каких условиях, пока мы не не позволим этого отдельным правилом.

Ну да, у меня в fw на LAN настроены четкие правила только на группы loadbalancing и Failover.

Всегда думал что gw switching неотъемлемая часть failover групп.

Спасибо огромное за разъяснение.

14
Russian / Re: Default шлюзы
« on: November 22, 2017, 08:51:59 am »
Quote
Галка Allow default gw switching установлена

А если ее снять?

Pfsense назначает его default как единственный рабочий.

Как раз при снятой галке Allow default gw switching это происходить не будет.
А будет ли корректно работать WAN Failover группы и loadbalancing?

Quote
По идее, чтобы задействовать Policy based routing, нужно указать в правиле на LAN, откуда, куда и через какой шлюз будут уходить пакеты. А без назначения OVPN интерфейсом этот шлюз для выбора будет отсутствовать.
Именно! Тоже относится и к настройке статик роутов.

15
Russian / Re: Default шлюзы
« on: November 22, 2017, 01:56:23 am »
Доброго.
Галка на Allow default gw switching у вас на пф установлена ? Впн интерфейс объявлен явно?

В настр. vpn-сервера на той стороне может быть установлено использование впн-подключения для заворачивания всего трафика в туннель. Надо бы проверить.

Скрины правил fw на LAN,VPN, настроек шлюзов. А также покажите таблицу марш-ции на вашем пф.

Объясню. Впнка поднята для того чтобы заворачивать через статик роуты некоторый трафик в неё с некоторых и на некоторые хосты.

Галка Allow default gw switching установлена. Интерфейс объявлен в Interface Assignments.

В настройках впн сервера на той стороне выключено принудительное заворачивание трафика с клиента.

В правилах fw на интерфейсе впн все разрешено, на интерфейсе ovpn тоже все разрешено. Так же настроен Outbound NAT, создано правило для этого интерфейса, чтобы трафик уходил в тунель с ip интерфейса, а не ip из подсетей.

Да в общем-то всё работает как надо, до того момента когда отваливаются оба ip мониторинга шлюзов провайдеров, которые кстати 8.8.8.8 и 8.8.4.4(Да с недавних пор пинг на них переодически пропадал и это не связано с падением провайдера), а так как шлюз впнки мониторится по своему внутреннему ip, он остается поднятым в апингере, и Pfsense назначает его default как единственный рабочий.

Pages: [1] 2