[FUG-BR] route to pfsense e freebsd

Fabricio Lima listas em fabriciolima.com.br
Terça Dezembro 16 11:44:12 BRST 2014 

qndo vc fala 'nao faz match' vc se refere à fila qos ne? (se sim, n precisa
responder, foi pergunta retorica)

saca o q achei nos docs:

To ensure proper delivery of local or VPN routed traffic, or other external
traffic that must obey the system routing table, rules must be crafted to
pass the traffic *without a gateway set*.

An example:

In *Firewall > Rules*, on the *LAN Tab*, create this as the *topmost* rule,
or at least above all other load balancing rules:


valide q suas regras estao sem o gateway setado, e valide a ordem.

ou inverta de como estiver ai!


este é um bom ponto a brincar, q por tentativa e erro podemos chegar na
solucao.

se sua logica de match ta certa, seu prob é o gateway definido, ou ordem
indevida. (alguma regra foi criada e ta bypassando antes do match)

[ ]'s
Fabricio Lima
When your hammer is C++, everything begins to look like a thumb.

Em 16 de dezembro de 2014 09:25, Deny Santos <deny.santos em gmail.com>
escreveu:
>
>
>
> > Em 15/12/2014, à(s) 22:54, Fabricio Lima <listas em fabriciolima.com.br>
> escreveu:
> >
> > cenario complexo e especifico pacas…
>
> Ola fabricio obrigado pelo retorno , bem complexo mesmo vou respondendo
> abaixo de cada pergunta sua para ajudar .
> >
> > hehehe foi 80% claro... talvez com mais uma lida consiga entender
> >
> > -funcionava e parou? ou vc ta implementando e nao funcionou?
>
> Ele funcionava sim , parou em algum momento que não conseguimos perceber
> entao não sabemos se foi alterado algo ou não , porem foi restaurado
> backups antigos e nada de voltar a funcionar .
>
> >
> > -o pfsense tem 3 uplinks.. 3 provedores.. em bridge?.. seria entao 6
> nics?
> > se sao 3 nics pra provedores... a bridge é com quem?
>
> Exato tenho 6 NIC 3 para os provedores entrarem na bridge e 3 saindo para
> um switch LAN/WAN onde espeto todos meus equipamentos de camada externa e o
> BSD com a rede toda da empresa.
>
> >
> > -freebsd do outro lado.. q lado? o pfsense eh seu router... o freebas é
> o q
> > de quem?
>
> pfsense é a bridge ele esta entre os routers e o switch de camada externa
> , o BSD esta ligado nesse switch de camada externa e atras do BSD todas as
> 20 redes , o BSD distribui DHCP, faz nat gateway e tudo mais .
>
>
> >
> > -o pfsense enxerga mas n faz match.. fazia em algum momento?
> > se vc alterar a logica do match resolve? algo mais idiota tipo from any
> to
> > any... so pra ver se passa a capturar.. depois vai evoluindo.. 'via rl0',
> > from x
>
> Ja refiz ele do zero coloquei apenas 2 interface de uma operadora e foi ai
> que descobri o problema .
>
> Ele só faz Match quando os ips são da mesma faixa do default gateway do
> BSD ou seja quando tenho usar o route to ele não da match e joga para a
> default.
>
> Por exemplo a rede 192.168.111.1 sai pelo ip 200.240.224.3  para isso fiz
> um nat e um route to forcando ele sair por esse ip , o ip da  wan do BSD é
> 200.240.224.2  o default gateway do bsd é o 200.240.224.1 , ai qualquer
> rede minha que tiver que sair pelo 200.240.224.x a bridge da match sem
> problemas . Ja quando tenho uma rede q tem que sair por outra companhia por
> exemplo 189.11.223.x onde apenas tenho um alias na WAN a bridge não da
> match e joga para a default , tenho a rede 192.168.120.1 que deveria sair
> por exemplo pelo ip 189.11.223.10 usando o route to , ela sai , a bridge
> captura na interface correta porem não da match .
>
> Tenho equipamentos de video conferencia ligados direto no SWITCH wan e
> estes dao match sem problemas pois não passam pelo BSD, somente o que vem
> do BSD com o route to esta dando isso .
>
> Estou achando que é algo no encapsulamento que não esta batendo não sei .
>
>
> >
> > tira bkp, e refaz as regras bem simples... pra ver se eh algum bug em sua
> > logica. faz algo bem idiota tipo ... nhee, vc entendeu. 3 regras, 2
> filas.
> >
> > desculpe encher o saco, mas se eu conseguir entender, muitos irão, e
>
> Que é isso hehe, muito obrigado pela disposição em fazer essas perguntas
> espero ter conseguido ser um pouco mais claro , como você mesmo falou o
> cenário é bem complexo , atras dessa bridge tenho video conferencia, ramais
> IP , email e outros serviços .
>
>
> > poderão te ajudar.. :]
> >
> > [ ]'s
> > Fabricio Lima
> > When your hammer is C++, everything begins to look like a thumb.
> >
> > Em 15 de dezembro de 2014 18:47, Deny Santos <deny.santos em gmail.com>
> > escreveu:
> >>
> >> Boa tarde amigos,
> >>
> >> Estou com um problema em minha estrutura de rede onde tenho 1 bridge com
> >> pfsense e 3 link de internet chegando até ela e do outro lado tenho um
> >> freebsd 9.2 fazendo meu gateway de rede firewall e outros …
> >>
> >> Tenho mais de 20 redes aqui dentro distintas onde cada uma sai por um ip
> >> valido pelo freebsd o qual é capturado na bridge e adicionado a sua
> queue
> >> correta com seu shape limites e tudo mais .
> >>
> >> No freebsd uso o pf com nat para direcionar o ip interno para o publico
> >> daquela rede e depois um route to para direcionar para a rota correta,
> na
> >> minha interface WAN tenho todos os ips das redes que necessito acessar
> >> através de alias e esta interface esta ligada em um switch de camada
> >> externa onde tenho a bridge ligada .
> >>
> >> Porem todas os ips que nao fazem parte do gateway padrão do freebsd o
> >> pfsense captura e joga para a default , ele não da o match , ja os ips
> que
> >> fazem parte da mesma faixa do gw padrão do BSD saem cada um por sua fila
> >> correta. Verificando no pfsense bridge em cada interface eu consigo ver
> os
> >> pacotes passando corretamente porem ele não consegue capturar e jogar
> para
> >> a queue correta ocasionando um congestionamento na fila default .
> >>
> >> Alguém ja passou por isso ou teria alguma luz ? Não sei se fui bem claro
> >> na duvida
> >>
> >>
> >> Obrigado amigos
> >>
> >>
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd