Настройка pfSense 2.0, Построение софтроутера за 7 минут Опции

[Decker]

В данном мануале кратко описывается настройка программного решения pfSense (межсетевой экран на FreeBSD с удобным web-интерфейсом для конфигурирования) для организации одновременного доступа к интернет и /local Домолинк Калужского региона. Собственно мануал описывает построение софтроутера, для работы нам потребуется сам дистрибутив pfSense 2.0, а также отдельный компьютер с двумя сетевыми картами из которого собственно мы и будем делать шлюз.

Итак, допустим мы имеем ПК с двумя сетевыми картами, к одной из них подключен модем, настроенный в режиме моста (Bridge) или вставлен домолинковский FTTB шнурок, другая же подключена к локальной сети. Собственно в этом мануале мы расскажем, как сделать из этого ПК полноценный шлюз для /local и и интернет. Первое что мы сделаем это установим образ pfSense на HDD. После того как шлюз загрузится с HDD нам будет предложено настроить сетевые карты, предположим что интерфейс le0 у нас подключен к модему (FTTB), а le1 к домашней / офисной локальной сети. Выполним соответствующие настройки:
 1.png ( 4,31 килобайт ) Кол-во скачиваний: 864

На вопрос Do you want to set up VLANs first? Отвечаем 'N' ... VLAN'ы мы пока не хотим настраивать. Далее указываем имя WAN интерфейса, т.е. сетевой карточки, подключенной к модему или FTTB, у нас это le0, на следующем шаге указываем LAN интерфейс - это le1, и нажимаем Enter, так как больше у нас интерфейсов не будет:
 2.png ( 3,77 килобайт ) Кол-во скачиваний: 610

Подтверждаем выбранные параметры и на следующий вопрос отвечаем 'Y':
 3.png ( 1,59 килобайт ) Кол-во скачиваний: 421

После чего система конфигурирует интерфейсы указанным нами образом и выходит в меню:
 4.png ( 7,06 килобайт ) Кол-во скачиваний: 647

Собственно на картинке видно, что у нас WAN интерфейс получил адрес 192.168.1.4 по DHCP от модема, а LAN интерфейсу по-умолчанию был присвоен адрес 192.168.1.1, собственно меня такая картина немного не устраивает, поэтому с помощью пункта меню (2) я немного перенастрою параметры интерфейсов, переделал я все это чтобы стало вот так:
 5.png ( 1,84 килобайт ) Кол-во скачиваний: 772

При этом на LAN интерфейсе для удобства можно включить DHCP сервер. Итого получаем, что WAN интерфейс у нас имеет статический IP 192.168.1.100 (при этом подразумевается что он у нас подключен к модему, который настроен в режиме моста и имеет IP 192.168.1.1), а LAN интерфейс у нас имеет статический IP 192.168.109.100. Теперь открываем браузер и заходим в Web-морду для конфигурирования по ссылке http://192.168.109.100 , где вводим логин и пароль - admin / pfsense. И сразу же у нас запускается мастер настройки нашего шлюза. Собственно настраиваем все так, как на скринах (если вы нечаянно пропустили мастер, то он доступен из меню System -> Setup Wizard):
 6.png ( 16 килобайт ) Кол-во скачиваний: 965
 7.png ( 32,83 килобайт ) Кол-во скачиваний: 1079

Не забываем поменять пароль администратора по-умолчанию:
 8.png ( 10,45 килобайт ) Кол-во скачиваний: 607

Далее заходим в меню Interfaces -> WAN и проверяем сохранились ли у вас параметры имени пользователя и пароля для PPPoE соединения, потому что у меня в первый раз после работы мастера они почему-то не сохранились. Если нет, вбиваем их еще раз и нажимаем кнопку Save. В результате в меню Status -> Interfaces вы должны увидеть какую-то такую картину:
 9.png ( 53,96 килобайт ) Кол-во скачиваний: 1090

Т.е. здесь видно, что интерфейс поднялся и соединение с интернет у нас работает. Теперь займемся настройкой /local. Добавляем новый интерфейс в меню Interfaces -> Assign (кнопка [+]), по-умолчанию он имеет имя OPT1 и привязан к сетевой карте le0 (т.е. к WAN), помимо всего этого интерфейс выключен. Поэтому входим в меню Interfaces -> OPT1 (он там уже появился) и настраиваем его параметры, точно также как и для интернет, т.е. указываем тип интерфейса PPPoE, вводим имя пользователя и пароль для /local, выставляем MTU в 1492 и сохраняем результаты. В конечном итоге в таблице интерфейсов у нас должно получиться следующее:
Interfaces: Assign network ports
 10.png ( 13,08 килобайт ) Кол-во скачиваний: 1148

А в подменю PPPs вот такое:
Interfaces: PPPs
 11.png ( 16,93 килобайт ) Кол-во скачиваний: 824

Заходим в меню System -> Routing и на интерфейсе WAN ставим галочку Default Gateway. Для этого нажимаем на кнопку обведенную на скрине:
 12.png ( 22,4 килобайт ) Кол-во скачиваний: 1113

На вкладке Routes там же, прописываем статический маршрут для подсети 10.152.0.0/16 через интерфейс OPT1:
 13.png ( 15,09 килобайт ) Кол-во скачиваний: 748

Ну и собственно как бы все ... ) Теперь прописав на ПК подключенном к локальной сети IP - 192.168.109.1, маску 255.255.255.0, и основной шлюз 192.168.109.100 (или получив их по DHCP, если вы включали DHCP Server на шлюзе для интерфейса LAN) вы получите доступ и к интернет и к /local.

p.s. Мануал писался очень быстро, в основном наверное для товарища Tzar с forum.local, поэтому возможны какие-то ошибки или неточности. Тем более что тестил я все это под VMWare в рабочем окружении, поэтому работу DHCP сервера и DNS Forward'а и еще какие-то моменты я не проверял. Но в общем и целом все работает правильно, по-крайней мере tracert -d 62.148.128.1 и tracert -d 10.152.203.3 через шлюз показали что пакеты в интернет уходят именно через интерфейс WAN, а все что предназначено для /local через OPT1. Собственно до этого я pfSense никогда не крутил ) Так что все что здесь описано сделано "на коленке" за 7 минут ) Ногами больно попрошу не пинать )
p.p.s. Собственно последние snapshot'ы pfSense можно взять здесь - http://snapshots.pfsense.org/ , официальный сайт - http://www.pfsense.org/ ...

[Decker]

Книга pfSense - The Definitive Guide в формате PDF.

Немного информации в виде заметок о Load Balancing (собственно то, что хотел настроить я):

• Что-то как-то не айс ... объясню ситуацию ... имеется две учетки PPPoE для интернета, положим user1-dml и user2-dml (обе отвязанные от порта). Хочется сделать себе шлюз для торрентов с попеременным выбором маршрута, то через одно соединение, то через другое. При этом даже не важно на pfSense оно будет или еще на чем-нибудь, главное чтобы из под VMWare работало нормально. Ну так вот, пробовал в pfSense сделать два интерфейса и на каждый повесить по PPPoE соединению (тут нужно наверное принять во внимание что Default Gateway у обоих соединений, который получится после установки PPPoE соединения будет один и тот же, а именно 10.50.x.x). Поднимаются вроде оба, но (!), в первом случае в статусе интерфейсов в web-морде видно, что интерфейс получает IP адрес, во втором случае - статус интерфейса Up, но вместо IP адреса фиг )) Т.е. интерфейс-то вроде поднят, но IP и прочие параметры указаны как 0.0.0.0. Ладно, решил пойти другим путем, WAN1 сконфигурировали как DHCP (PPPoE соединение user1-dml в модеме), WAN2 сконфигурировали как PPPoE через ту же сетевую карту, что и DHCP (т.е. в модеме получилось PPPoE user1-dml и bridge), картина та же, т.е. pfSense почему-то не поднимает PPPoE. Почему? Для меня загадка ... Может потому что и DHCP и PPPoE через один и тот же интерфейс le0 идут? А может быть вовсе не поэтому. Такая же конфигурация с двумя интерфейсами только с учетками user1-dml и user1-dml/local работает замечательно ... вообщем как решить проблему - пока не придумал. Может поставлю Ubuntu какую-нибудь и настрою этот multipath routing ручками ... пока еще не решил )
• Так ... ну собственно настроил ) Во-первых, можно настроить все это на pfSense 1.2.3 по мануалу в этой ссылке, главное не забыть Firewall Rules отредактировать, чтобы траффик перенаправлялся в Load Balancer. На 2.0 делается немного по-другому, там как-то Load Balancer изменили, вообщем через него не сделать, зато можно сделать через Gateway Groups. Делаем группу с именем WAN1WAN2, и Gateway'ями WAN и OPT1 с приоритетами Tier1 каждый, и в правилах Firewall'а для LAN направляем траффик в этот Gateway Group. Всё. И в том, и в другом случае получаем суммирование скоростей в торренте, вообщем-то как и хотелось ) Да, забыл оговориться, все это поднималось под VMWare и чтобы заработало на 1.2.3 пришлось сделать 3 сетевухи. Одна как бы LAN, две другие как бы в модем.
• И кстати ... не поднимаются два PPPoE на интернет непосредственно из pfSense (!), даже с разных сетевых карт. Т.е. имеем учетки user1-dml, user2-dml, делаем два интерфейса, связываем их с PPPoE и ничего. Одно поднимается, второе вроде как тоже написано Up, но фактически IP адрес оно не получает. Наверное это связано с тем, что оба соединения получают от провайдера один и тот же шлюз, а может и нет. Вообщем нельзя в pfSense 2.0 поднять два PPPoE с интернетом, насколько я понял. Обидно.
• Зато можно одно PPPoE соединение поднять в модеме, а другое из pfSense ... и вот тогда уже можно настроить балансировку, вообщем-то так, как и получилось у меня.

[Decker]

Задал вопрос на русскоязычном форуме pfSense ... http://forum.pfsense.org/index.php/topic,28245.0.html :

Доброе время суток всем! Вопрос в следующем - может ли pfSense 2.0 поднять два PPPoE соединения с интернет через один xDSL модем? Объясню ситуацию, имеем одного провайдера с безлимитным тарифом (5 Mbps) и несколько учетных записей (учетные записи не привязаны к порту и теоретически их можно использовать одновременно), хочется простого агрегации двух каналов по 5 Mbps, дабы в сумме (например, при закачках с торрента) получить 10 Mbps. Этакий шлюз под торрентокачалку. Начитался тут про multipath routing, но сделать такое средствами модема не удалось (кому интересно вот - http://ddixlab.ru/forum/viewtopic.php?t=1691). Теперь самое интересное. Долго мучился с pfSense 2.0, потом забил и решил поставить 1.2.3. Естественно там нельзя создавать несколько PPPoE соединений, однако ограничение легко обойти, если одно из PPPoE соединений поднять в самом модеме. Тогда делаем несколько WAN интерфейсов, один - DHCP, другой PPPoE. В модеме у нас соответственно настроено одно PPPoE соединение и бридж. Настраиваем в pfSense Load Balancing и все замечательно, скорости каналов суммируются. Решил все-таки докрутить версию 2.0 ... настроил все по такой же схеме (WAN1 = DHCP, WAN2 = PPPoE, DHCP - как вы поняли получается от модема в котором уже поднято одно PPPoE соединение). Как настроить Load Balancing в 2.0 не разобрался, однако получилось объединить Gateway'и в группу с приоритетами Tier1 на каждый WAN и прописав в правилах Firewall'а эту группу в качестве Gateway'я для LAN получили желаемое.

А теперь главный вопрос ... который я собственно и не понял. Допустим модем у нас настроен просто мостом. Есть две учетные записи для PPPoE - user1/pass1 и user2/pass2. Делаем в pfSense 2.0 два интерфейса и привязываем их к PPPoE, т.е. WAN1(PPPoE1) и WAN2(PPPoE2). Первое соединение поднимается и получает IP адрес, а второе, судя по статусу поднимается, но IP адрес не получает (т.е. ни адреса, ни шлюза, ничего, только статус Up). Может быть потому что у обоих соединений один и тот же Gateway у провайдера? Т.е. если бы поднялись оба соединения, то получилось бы примерно следующее:

PPPoE1: Login: User1, IP: 212.106.36.129, Gateway: 10.50.254.197 (IP и Gateway выдаются провайдером)
PPPoE2: Login: User1, IP: 212.106.63.89, Gateway: 10.50.254.197

Т.е. в PPPoE1 и PPPoE2 разные динамические IP, но один и тот же шлюз, получаемый автоматом при поднятии соединения. Но как показал эксперимент, второе соедиение почему-то не поднимается.

Вопрос ... почему? Можно ли в pfSense 2.0 поднять два PPPoE указанным образом и если да, то как?

Может кто и ответит ))

[Tzar]

Ты просто потрясаешь воображение. за 7 минут на коленке)))

Блин))

Ну спасибо, уже круто помог и сэкономил кучу времени!

В принципе единственное чего можно добавить-проброс портов для торрентов-ДЦ.

Ну и лично мне нужен шейпер, но тут уж сам:)

Спасибо!!!!!!

[Decker]

Вообщем что понял я (касательно моей проблемы с поднятием нескольких PPPoE на pfSense с одним и тем же шлюзом):

Рассказываю ... вообщем интерфейсы выглядят вот так (это в статусе):
 2pppoe.png ( 56,49 килобайт ) Кол-во скачиваний: 421

ifconfig выглядит вот так (сорри что скрином, а не текстом, ssh не успел настроить, все это под VMWare крутится):
 ifconfig.png ( 6,06 килобайт ) Кол-во скачиваний: 220

Самое интересное, что для второго интерфейса MTU 1492 прописан и в параметрах самого интерфейса и в параметрах PPP.

Ну и теперь самое интересное - ppp.log:

Код

Sep 13 03:24:32    ppp: [opt1] IPCP: rec'd Configure Request #2 (Ack-Sent)
Sep 13 03:24:32    ppp: [opt1] IPADDR 10.50.254.197
Sep 13 03:24:32    ppp: [opt1] 10.50.254.197 is OK
Sep 13 03:24:32    ppp: [opt1] IPCP: SendConfigAck #2
Sep 13 03:24:32    ppp: [opt1] IPADDR 10.50.254.197
Sep 13 03:24:32    ppp: [opt1] IPCP: SendConfigReq #2
Sep 13 03:24:32    ppp: [opt1] IPADDR 0.0.0.0
Sep 13 03:24:32    ppp: [opt1] COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
Sep 13 03:24:32    ppp: [opt1] IPCP: rec'd Configure Reject #2 (Ack-Sent)
Sep 13 03:24:32    ppp: [opt1] COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
Sep 13 03:24:32    ppp: [opt1] IPCP: SendConfigReq #3
Sep 13 03:24:32    ppp: [opt1] IPADDR 0.0.0.0
Sep 13 03:24:32    ppp: [opt1] IPCP: rec'd Configure Nak #3 (Ack-Sent)
Sep 13 03:24:32    ppp: [opt1] IPADDR 212.106.34.109
Sep 13 03:24:32    ppp: [opt1] 212.106.34.109 is OK
Sep 13 03:24:32    ppp: [opt1] IPCP: SendConfigReq #4
Sep 13 03:24:32    ppp: [opt1] IPADDR 212.106.34.109
Sep 13 03:24:32    ppp: [opt1] IPCP: rec'd Configure Ack #4 (Ack-Sent)
Sep 13 03:24:32    ppp: [opt1] IPADDR 212.106.34.109
Sep 13 03:24:32    ppp: [opt1] IPCP: state change Ack-Sent --> Opened
Sep 13 03:24:32    ppp: [opt1] IPCP: LayerUp
Sep 13 03:24:32    ppp: [opt1] 212.106.34.109 -> 10.50.254.197
Sep 13 03:24:32    ppp: [opt1] IFACE: Adding IPv4 address to pppoe1 failed: File exists
Sep 13 03:24:32    ppp: [opt1] IFACE: IfaceChangeAddr() error, closing IPCP
Sep 13 03:24:32    ppp: [opt1] IPCP: parameter negotiation failed
Sep 13 03:24:32    ppp: [opt1] IPCP: state change Opened --> Stopping
Sep 13 03:24:32    ppp: [opt1] IPCP: SendTerminateReq #5
Sep 13 03:24:32    ppp: [opt1] IPCP: LayerDown
Sep 13 03:24:32    ppp: [opt1] IPCP: rec'd Terminate Ack #5 (Stopping)
Sep 13 03:24:32    ppp: [opt1] IPCP: state change Stopping --> Stopped
Sep 13 03:24:32    ppp: [opt1] IPCP: LayerFinish
Sep 13 03:24:32    ppp: [opt1] Bundle: No NCPs left. Closing links...
Sep 13 03:24:32    ppp: [opt1] Bundle: closing link "opt1_link0"...
Sep 13 03:24:32    ppp: [opt1_link0] Link: CLOSE event
Sep 13 03:24:32    ppp: [opt1_link0] LCP: Close event
Sep 13 03:24:32    ppp: [opt1_link0] LCP: state change Opened --> Closing
Sep 13 03:24:32    ppp: [opt1_link0] Link: Leave bundle "opt1"
Sep 13 03:24:32    ppp: [opt1] Bundle: Status update: up 0 links, total bandwidth 9600 bps
Sep 13 03:24:32    ppp: [opt1] IPCP: Close event
Sep 13 03:24:32    ppp: [opt1] IPCP: state change Stopped --> Closed
Sep 13 03:24:32    ppp: [opt1] IPCP: Down event
Sep 13 03:24:32    ppp: [opt1] IPCP: state change Closed --> Initial
Sep 13 03:24:32    ppp: [opt1_link0] LCP: SendTerminateReq #2
Sep 13 03:24:32    ppp: [opt1_link0] LCP: LayerDown
Sep 13 03:24:32    ppp: [opt1_link0] LCP: rec'd Terminate Ack #2 (Closing)
Sep 13 03:24:32    ppp: [opt1_link0] LCP: state change Closing --> Closed
Sep 13 03:24:32    ppp: [opt1_link0] LCP: LayerFinish
Sep 13 03:24:32    ppp: [opt1_link0] Link: DOWN event
Sep 13 03:24:32    ppp: [opt1_link0] LCP: Down event
Sep 13 03:24:32    ppp: [opt1_link0] LCP: state change Closed --> Initial

Т.е. насколько я понял он получает IP, но не может создать какой-то файл:

Код

Sep 13 03:24:32    ppp: [opt1] 212.106.34.109 -> 10.50.254.197
Sep 13 03:24:32    ppp: [opt1] IFACE: Adding IPv4 address to pppoe1 failed: File exists

Может быть потому что имя файла зависит от шлюза (10.50.254.197) ... этот же шлюз и в первом поднятом PPPoE соединении.

p.s. Вот у человека примерно аналогичная проблема ... http://unix.derkeiler.com/Mailing-Lists/Fr...2/msg01386.html ... "I have two ADSL connection to my provider. For both connections I have same gateway. How to establish two ADSL connections with same gateway?". Один в один ситуация.

p.p.s. Я так понимаю что второе соединение не поднимается, т.к. маршрут до 10.50.254.197 уже есть в таблице маршрутизации, после поднятия первого. Шлюзы-то у обоих соединений одинаковые и выдаются провайдером. А вот как это побороть ... ?

p.p.p.s. И еще ... вот в этой теме http://forum.pfsense.org/index.php/topic,21412.0.html , в последнем посте человек пишет "PPPOE sessions with 2.0 bring nothing really when they on the same Gateway. So you will still have to use hardware or virtual routers.
If you want to use PPPOE sessions on the same gateway. You should get ClearOS. They support this." ... т.е. якобы несколько PPPoE сессий с одинаковым шлюзом не поддерживаются pfSense, а вот в ClearOS очень даже. Это действительно так или для pfSense все же можно придумать какое-нибудь решение?

---

Качаю ClearOS ... )) http://www.clearos.ru/ )

[Decker]

ClearOS - это комплексное решение для организации сетевого сервера-шлюза в организациях малого и среднего бизнеса. Все
функции в одном дистрибутиве и бесплатно
. Все что вам нужно - компьютер с двумя сетевыми картами. Низкие начальные системные требования - Pentium III и
512 мегабайт оперативной памяти. Загрузите, установите, получайте обновления безопасности в течении 18 месяцев. Управляйте сервером удаленно через удобный веб-интерфейс.

Сетевые службы:

• Подключение к нескольким провайдерам сети "Интернет" (MultiWAN)
• Службы для подключения удаленных рабочих мест и организации распределенных сетей (VPN - PPTP, IPsec, OpenVPN)
• Поддержка "демилитаризованной" зоны и различных режимов трансляции сетевых адресов (DMZ and 1-to-1 NAT)
• Межсетевой экран работающий на сеансовом уровне (Stateful Firewall)
• Локальные службы DNS и DHCP (Local DHCP and DNS Servers)

Службы каталогов:

• Служба LDAP для управления пользователями и группами (Integrated LDAP for User and Group Management)
• Управление сертификатами безопасности пользователей (User Security Certificate Manager)

Службы шлюза:

• Защита от вирусов, фишинга и шпионского программного обеспечения (Antimalware - Antivirus, Antiphishing, Antispyware)
• Комплексная защита от спама (Antispam)
• Управление полосой пропускания и ограничение скорости (Bandwidth Management)
• Предотвращение, обнаружение и защита от сетевых вторжений и атак (Intrusion Protection, Intrusion Prevention, Intrusion
  Detection)
• Фильтрация протоколов с обнаружением соединений с пиринговыми сетями (Protocol Filtering including Peer-to-Peer Detection)
• Фильтрация контента какдля групп, так и для отдельных пользователей (Content Filter)
• Служба кеширования контента загружаемого из сети "Интернет" (Web Proxy)
• Регламентирование доступа к сети "Интернет" (Access Control)

Серверные службы:

• Поддержка сетей Windows с возможностью роли первичного контроллера домена (Windows Networking with PDC Support)
• Службы общего доступа к файлам и принтерам (File and Print Services)
• Организация файлового доступа с использованием различных протоколов (Flexshares)
• Почтовый сервер поддерживающий POP и IMAP c web-клиентом (Mail Server - POP, IMAP, SMTP, Webmail, Retrieval)
• Комплексная фильтрация почты с защитой от спама и вирусов (Mail Filtering - Antispam, Antimalware, Greylisting, Quarantine)
• Служба создания почтового архива (Mail Archiving)
• Сервер баз данных MySQL (Database with MySQL)
• Web-сервер с поддержкой PHP и модулем статистики Awstats (Web Server with PHP Support)

[Decker]

http://forum.pfsense.org/index.php/topic,28256.0.html - Multiple PPPoE with the same gateway

[Tzar]

Привет, не сочти за наглость, но у меня большая просьба!

Можешь помочь парой скриншотов в внесении настроек шейпера, я НИХРЕНА не могу понять, аж обидно:(

Вот что насоветовали англичане:
http://forum.pfsense.org/index.php/topic,28310.0.html

А я в общем как лиса у кувшина с узким горлышком:)

[Decker]

На этой неделе у меня точно времени не будет с шейперами играться, да и потом обещать ничего не берусь ... очень много работы просто в последнее время, поэтому приоритет отдается именно ей, а все что "для интереса" откладывается на потом. Если возьмусь покрутить - обязательно отпишу, но обещать не буду. Kamizeka на форуме в теме про софтроутеры правильно сказал, там немного теории нужно почитать "В любом случае придется изучить что такое class-based shaping, маркировка пакетов и L7-фильтр. Ну и основы TCP/IP и роутинга, про это вообще молчу. Для тонкой настройки (HSFC позволяет добиться неплохих результатов) придется еще поэкспериментировать, причем скорее всего самому, т.к. если ситуация изменится или что-нибудь глюканет, надо будет знать что и где ковырять." ... Про class-based shaping и L7-фильтр нужно по-хорошему почитать и мне, так как на практике я с этим дела практически не имел.

[Tzar]

На этой неделе у меня точно времени не будет с шейперами играться, да и потом обещать ничего не берусь ... очень много работы просто в последнее время, поэтому приоритет отдается именно ей, а все что "для интереса" откладывается на потом. Если возьмусь покрутить - обязательно отпишу, но обещать не буду. Kamizeka на форуме в теме про софтроутеры правильно сказал, там немного теории нужно почитать "В любом случае придется изучить что такое class-based shaping, маркировка пакетов и L7-фильтр. Ну и основы TCP/IP и роутинга, про это вообще молчу. Для тонкой настройки (HSFC позволяет добиться неплохих результатов) придется еще поэкспериментировать, причем скорее всего самому, т.к. если ситуация изменится или что-нибудь глюканет, надо будет знать что и где ковырять." ... Про class-based shaping и L7-фильтр нужно по-хорошему почитать и мне, так как на практике я с этим дела практически не имел.

Ну ладно, буду надеяться, но и сам начну ковырять потихоньку:)

Как думаешь, Где можно на русском найти об этом, и можно ли?

[kisa]

Ну англичане ничего нового не насоветовали. Говорится там о том, что в принципе несколько сессий поднять можно, так же линукс прохавает для дефолтных маршрута, но (хз как в этом линуксошайтанкоробке) даже если ты включишь маскарадинг на всех внешних интерфейсах, желаемого результата ты не получишь. В принципе не получишь. Балансировка аплинков возможна только в единственном случае - если бы у тебя был доступ на брасы центр телекома. То есть мультилинк нужно строить с обоих концов, построить его только с 1 стороны невозможно.

Рассмотрим твой случай поподробнее. У тебя есть 2 интернет учётки. Соответственно ты можешь поднять 2 сессии. По логике оба этих интерйеса - шлюзы по умолчанию для твоей внутренней сетки. НО! В любом случае маршрут по-умолчанию может быть только 1 (по-крайней мере активный). Либо у 1 интерфейса метрика будет отличаться, либо даже с одинаковой метрикой весь траф полетит только в 1 интерфейс. Это при одинаковых маршрутах. Но можно сделать костыли:
1. На основании адреса источника (например, торрент-качалка ходит через одно подключение, домашний комп для сёрфинга и онлайн игр - через другое)
2. На основании адреса назначения (например, на хосты с адресами 0.0.0.0 - 127.255.255.255 ходим через первое подключение, 128.0.0.0-255.255.255.255 - через второе).
3. Комбинированный.

Где-то в интернетах я видел "типа решения", которые как-то чудным образом раскидывают пакеты поочерёдно во все интерфейсы, подключенным чуть ли не к разным провайдерам =) Не верь - это гон, такое возможно только при балансинге "per-packet", который в свою очередь строится на обоих концах.

[Decker]

kisa, ты грамотно все описываешь, но немного неправ ) Так или иначе с помощью данной шайтан-коробки мне все же удалось добиться желаемого (правда одну из pppoe сессий поднимал не pfsense, а хардварный роутер - но это уже частности), в итоге получилось два интерфейса и попеременный выбор маршрута, либо через wan1, либо через wan2. Как ты понимаешь - для торрент-качалки это самое оно, когда часть пакетов направляется через первый интерфейс, часть через второй, соответственно ответы приходят также либо на wan1, либо на wan2, в зависимости от того с какого интерфейса отправлялся запрос. В результате получаем желаемое - а именно суммирование входящих скоростей в торренте. При наличии двух 5 Mbps учеток средняя скорость скачивания популярной раздачи с http://rutracker.org/ у меня достигала ~1.1-1.2 Mb/sec. Изначально я хотел сделать это в самом модеме, но к сожалению, там либо кастрированный ip route, либо ядро собрано не с теми опциями, потому что сделать:

Код

ip route replace default scope global nexthop dev ppp0 nexthop dev ppp1

в нем не получается. Ну а на pfSense все вообщем-то взлетело и получился некий аналог Equal Cost Multipath Routing (в pfSense 2.0 все это можно сделать через Gateway Groups, хотя вообщем-то где-то на этом форуме, а может быть даже и в этой теме я писал о том что у меня в конечном итоге все получилось и немного даже описывал как именно).

p.s. А ... ну вообщем-то вот:

Так ... ну собственно настроил ) Во-первых, можно настроить все это на pfSense 1.2.3 по мануалу в этой ссылке, главное не забыть Firewall Rules отредактировать, чтобы траффик перенаправлялся в Load Balancer. На 2.0 делается немного по-другому, там как-то Load Balancer изменили, вообщем через него не сделать, зато можно сделать через Gateway Groups. Делаем группу с именем WAN1WAN2, и Gateway'ями WAN и OPT1 с приоритетами Tier1 каждый, и в правилах Firewall'а для LAN направляем траффик в этот Gateway Group. Всё. И в том, и в другом случае получаем суммирование скоростей в торренте, вообщем-то как и хотелось ) Да, забыл оговориться, все это поднималось под VMWare и чтобы заработало на 1.2.3 пришлось сделать 3 сетевухи. Одна как бы LAN, две другие как бы в модем.

Так что вовсе не обязательно для оранизации шлюза под торрентокачалку на обеих сторонах все выстраивать, достаточно попеременно раскидывать пакеты по интерфейсам и все будет "зер гуд".

[kisa]

А, я тебя понял... То есть у тебя сессия устанавливается на том интерфейсе, на который быстрее пришёл ответ. При большом числе сессий - ну да, какая-никакая, но балансировка. Тем более что чем ближе к загрузке на 100% каналов, более загруженный канал начинает получать ответ медленнее. Ну да, тоже верно.
Надо попробовать реализовать на cisco...

[Tzar]

Привет!
У меня косяк, забыл пароль к сабжу.
Воспользовавшись методикой поменял пароль root, но что с ним делать даольше-ума не приложу, в вебморду не входит блин))