Netgate SG-1000 microFirewall

Author Topic: Разные WAN-шлюзы для разных IP из ОДНОЙ LAN  (Read 41 times)

0 Members and 1 Guest are viewing this topic.

Offline timlok

  • Newbie
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Здравствуйте! Прошу помощи в понимании ситуации.
Есть два провайдера интернета, в локальной сети нет VLAN, но есть несколько виртуальных IP (192.168.9.254, 192.168.191.254, 192.168.193.254, 192.168.195.254, 192.168.197.254). Хочу, чтобы для разных клиентских ip из одной локальной сети был выход в инет через разные WAN-шлюзы разных провайдеров.
В приведённом примере, вся сеть 192.168.197.0/24 (net_workst) ходит на шлюз GW_WAN (WAN). Но 192.168.197.251 из этой же локальной сети ходит на шлюз GW_WAN2 (WAN2_KTI). Всё работает и почти всё хорошо. Смущает то, что судя по логам пакеты от 192.168.197.251 пытаются попасть в другую локальную сеть, которая реально существует (192.168.199.0/24) через WAN-интерфейс. Хотя они туда не смогут попасть, конечно же. Скорее всего, это нормально, т.к. попадают под правило №2 на LAN-интерфейсе (поместил правило почти в самый верх, чтобы наверняка срабатывало). Если я отключаю правило №2 на LAN-интерфейсе, то все пакеты между подсетями блокируются или не блокируются в соответствии с правилами и всё хорошо.
« Last Edit: April 17, 2018, 03:53:10 am by timlok »

Offline timlok

  • Newbie
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Пока писал, придумал очевидное решение (с высоты моих знаний :D ). Изменил правило №2 в соответствии с логикой "разрешить всё на GW_WAN2, кроме сетей ЛВС и богон". Судя по логам, всё чудно. )))