pfSense Gold Subscription

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Topics - chieftech

Pages: [1]
1
Russian / Шлюзы DNS в General setup
« on: December 07, 2017, 01:25:49 am »
Скрины с настройками приложены.
Имеется список используемых ДНС, для всех шлюзом назначен интерфейс впнки(На скрине 2 последних поменял специально для показательности эксперимента)
Вот что происходит:

Запрашиваем домен и читаем трафик ВАН1
Code: [Select]
10:07:19.882467 IP 193.188.254.172.29222 > 4.2.2.1.53: UDP, length 43
10:07:20.006849 IP 4.2.2.1.53 > 193.188.254.172.29222: UDP, length 147
10:07:20.628340 IP 193.188.254.172.29230 > 4.2.2.1.53: UDP, length 17
10:07:20.699083 IP 4.2.2.1.53 > 193.188.254.172.29230: UDP, length 228

Запрашиваем домен и читаем трафик ВАН2
Code: [Select]
10:09:21.167190 IP 91.195.86.121.15987 > 4.2.2.2.53: UDP, length 17
10:09:21.234407 IP 4.2.2.2.53 > 91.195.86.121.15987: UDP, length 228
10:09:23.292571 IP 91.195.86.121.25968 > 4.2.2.2.53: UDP, length 52
10:09:23.292648 IP 91.195.86.121.51736 > 4.2.2.2.53: UDP, length 47
10:09:23.363842 IP 4.2.2.2.53 > 91.195.86.121.25968: UDP, length 157
10:09:23.375241 IP 4.2.2.2.53 > 91.195.86.121.51736: UDP, length 152

Запрашиваем домен и читаем трафик ВПН
Code: [Select]
10:10:44.950589 IP 10.8.0.62.27721 > 208.67.222.222.53: UDP, length 40
10:10:45.007391 IP 208.67.222.222.53 > 10.8.0.62.27721: UDP, length 104
10:10:45.007423 IP 10.8.0.62.21762 > 208.67.222.222.53: UDP, length 40
10:10:45.103612 IP 208.67.222.222.53 > 10.8.0.62.21762: UDP, length 110
10:10:46.418137 IP 10.8.0.62.2730 > 208.67.222.222.53: UDP, length 17
10:10:46.474839 IP 208.67.222.222.53 > 10.8.0.62.2730: UDP, length 228
10:10:46.477293 IP 10.8.0.62.51481 > 208.67.220.220.53: UDP, length 17
10:10:46.533889 IP 208.67.220.220.53 > 10.8.0.62.51481: UDP, length 228
10:10:46.536458 IP 10.8.0.62.61652 > 84.200.69.80.53: UDP, length 17
10:10:46.612815 IP 84.200.69.80.53 > 10.8.0.62.61652: UDP, length 228
10:10:46.615370 IP 10.8.0.62.48434 > 84.200.70.40.53: UDP, length 17
10:10:46.717472 IP 84.200.70.40.53 > 10.8.0.62.48434: UDP, length 228
10:10:46.865838 IP 10.8.0.62.61516 > 208.67.222.222.53: UDP, length 30
10:10:46.923297 IP 208.67.222.222.53 > 10.8.0.62.61516: UDP, length 46
10:10:46.923422 IP 10.8.0.62.41186 > 208.67.222.222.53: UDP, length 30
10:10:46.980225 IP 208.67.222.222.53 > 10.8.0.62.41186: UDP, length 46
10:10:46.980326 IP 10.8.0.62.54416 > 208.67.222.222.53: UDP, length 30
10:10:47.037652 IP 208.67.222.222.53 > 10.8.0.62.54416: UDP, length 101
10:10:47.037710 IP 10.8.0.62.54903 > 208.67.222.222.53: UDP, length 40
10:10:47.061515 IP 10.8.0.62.65089 > 208.67.222.222.53: UDP, length 33
10:10:47.061522 IP 10.8.0.62.65089 > 208.67.220.220.53: UDP, length 33
10:10:47.061526 IP 10.8.0.62.65089 > 84.200.69.80.53: UDP, length 33
10:10:47.061531 IP 10.8.0.62.65089 > 84.200.70.40.53: UDP, length 33
10:10:47.185943 IP 84.200.70.40.53 > 10.8.0.62.65089: UDP, length 124
10:10:47.241095 IP 208.67.222.222.53 > 10.8.0.62.54903: UDP, length 109
10:10:47.241236 IP 10.8.0.62.62554 > 208.67.222.222.53: UDP, length 30
10:10:47.280007 IP 84.200.69.80.53 > 10.8.0.62.65089: UDP, length 124
10:10:47.315817 IP 208.67.220.220.53 > 10.8.0.62.65089: UDP, length 49
10:10:47.315834 IP 208.67.222.222.53 > 10.8.0.62.62554: UDP, length 101
10:10:47.315882 IP 10.8.0.62.64046 > 208.67.222.222.53: UDP, length 40
10:10:47.432633 IP 208.67.222.222.53 > 10.8.0.62.65089: UDP, length 49
10:10:47.495605 IP 208.67.222.222.53 > 10.8.0.62.64046: UDP, length 109

Вроде нормально всё.

А теперь добавляю еще два серсвера DNS: 8.8.8.8 и 8.8.4.4 шлюзы для обоих ставлю впн!

Запрашиваем домен и читаем трафик ВАН1
Code: [Select]
10:13:34.624627 IP 8.8.8.8.53 > 193.188.254.172.25543: UDP, length 92
10:13:35.214207 IP 193.188.254.172.59652 > 4.2.2.1.53: UDP, length 32
10:13:35.214221 IP 193.188.254.172.59652 > 8.8.8.8.53: UDP, length 32     ------  ????????
10:13:35.257484 IP 8.8.8.8.53 > 193.188.254.172.59652: UDP, length 48
10:13:35.292531 IP 4.2.2.1.53 > 193.188.254.172.59652: UDP, length 48
10:13:36.456134 IP 193.188.254.172.41055 > 4.2.2.1.53: UDP, length 17
10:13:36.530273 IP 4.2.2.1.53 > 193.188.254.172.41055: UDP, length 228
10:13:36.621305 IP 193.188.254.172.52273 > 8.8.8.8.53: UDP, length 17     ------  ????????
10:13:36.650383 IP 8.8.8.8.53 > 193.188.254.172.52273: UDP, length 228

Тоже и на втором ВАН

Что я делаю не так?

И второй вопрос. По какому алгоритму возвращается айпи для клиента с таким количеством днс? Если один или несколько ДНС ответят с неверным айпи(я имею ввиду подмену айпи страницей блокировки роскомнадзора) то какой айпи возвратится клиенту?

2
Russian / GW грыппы для 3x WAN
« on: December 04, 2017, 03:02:01 am »
Всем хорошего настроения.

Прошу помощи в разъяснении работы тех самых групп в разделе     System - Routing - Gateway Groups
Я уже давно использую функцию балансировки и Фаиловера, но вопросы возникли когда стало необходимо настроить это всё для 3х WAN.

Для стандартных 2х WAN надо 3 правила. 1 для LB и 2 для FO - и тут у меня вопросы:
Из доков пфсенса я не совсем понял логики. С лоадбалансером всё понятно, а вот что происходит при падении одного gw я непонял.

По моей (не обязательно правильной) логике нужно создать одно правила в котором указать системе последовательность перескока по шлюзам при падении. Но путём эксперимента выяснил что так не работает. Ну тут ладно создал два правила и проблема решена.

А вот как крутить tier если WANов 3? получается нужно создать группы на каждый случай жизни?
То есть: 3 Wan - 6 групп+1 для LB? Или как?

Где вообще об этом можно почитать более подробно?

3
Russian / Default шлюзы
« on: November 21, 2017, 02:51:07 pm »
Всем доброго времени.

2.4.1-RELEASE (amd64)
built on Sun Oct 22 17:26:33 CDT 2017
FreeBSD 11.1-RELEASE-p2

Два провайдера - два шлюза для этих интерфейсов.

Еще один интерфейс OVPN на некий сервер. Айпи интерфейсу прилетает по DHCP при подключении. Следовательно и для этого интерфейса есть шлюз.

Loadbalancing настроен.

Gateway switching включен.

Иногда шлюз интерфейса впнки становится Default и в маршрутах его айпи это подтверждает.

Есть ли возможность исключить этот шлюз из Gateway Swiching'а?

4
Russian / Как переписать скрипт
« on: June 11, 2017, 10:51:56 am »
Здравствуйте уважаемые форумчане.
Помогите спортировать скрипт. Сразу прошу не гнобить ибо я не программист.

Есть простой код который отлично отрабатывает в ubuntu на bash

Code: [Select]
#!/bin/bash
str1=`ping -q -c 5 10.1.1.254`
str2="0%"
if [[ $str1 != *$str2*  ]]
then
        echo "loss"
else
        echo "norm"
fi

Который не отрабатывается в sh

#!/bin/bash на #!/bin/sh я менял, и не только.

Пробовал самыми разными вариантами вплоть до строк
ping -c 5 10.1.1.254 &> /dev/null && echo "norm" || echo "loss"
но дело в самом синтаксисе сравнения

Почему-то возвращается всегда одинаковое значение.
Пингается хост или нет, всё равно sh говорит что переменные не совпадают.

Подскажите как написать правильно. Запускается скрипт из cron'a

5
Russian / Перенаправление http
« on: June 01, 2016, 03:44:49 pm »
Здравствуйте многоуважаемые технари.

Помогите решить задачу.

Исходные данные:
- Имеется порядка 6 залов в которых публика сидит и смотрит на компьютерах спортивную информацию, всевозможные линии с коэффициентами, результаты матчей и онлайн трансляции.
- В каждом таком зале шлюз реализован средствами pfsense 2.2.6 и прозрачным прокси с установленным на всех машинах сертификатом.
- Клиенты постоянно используют некоторые вебсайты букмейкерских контор, назовём их example1.com и example2.com. Но в условиях Российского законодательства публичные ставки в этих букмейкерских конторах запрещены и влекут за собой штрафы. По этой причине все url типа example1.com/account или account.example2.com блокируются в squidguard proxy.
- Еще бл%:;кий Роскомнадзор постоянно блокирует домены этих букмейкерских контор, причем делает это с заурядной частотой. И по этой причине приходится постоянно переписывать URlы.
- В каждом зале проведено 2 интернет провайдера с настроенным лоадбалансингом. На каждом провайдере реальный IP адресс.
- Немного на счет трафика. Из каждого зала ведется дублирование видеонаблюдения ~20 мегабит на удаленный видеосервер.
- Имеется 2 удаленных сервера один в Германии, другой в Украине для всяких маломальских нужд.

Задача:
Мелькнула мысль перенаправить http трафик со всех залов на удаленный сервер для обхода этих дебильных и глупых блокировок и облегчить себе в конце концов жизнь.

Но вот проблемы которые я для себя вижу:
Реализовать это openvpn тунелем на удаленный серсвер, но как перенаправить трафик только по конкретно интересующим доменам, а не весь трафик, ибо  совершенно не благоразумно пускать трафик с камер через другую страну, да и видеотрансляции с вебсайтов, в основном - http трафик, и во время чемпионатов мы себе сгенерируем проблему с каналами.

Насколько реально реализовать такие пробросы средствами pfsense?

Проблема решена

Поднят опенвпн клиентом на удаленный сервер.
Создан интерфейс на это подключение опенвпн.
Трафик к сожалению не заворачивается фаерволом в нужный шлюз по инструкции товарища PbIXTOP. Может я где-то натупил...
Заворачиваем трафик с помощью статик роутов прописывая нужный ip или всю подсеть в System - Routing - Routs с указанием нужного шлюза.
И конечно не забываем за натить впн шлюз.
DNS пока не пробовал, но решение с DNS resolver(forwarder) --> Domain Overrides по совету PbIXTOP должно работать.

Pages: [1]