LINUX.ORG.RU
ФорумAdmin

PfSense SQUID MultiWAN + WanFailover

 , , ,


0

1

Здравствуйте, коллеги!

Нужно настроить хитрый MultiWAN. Прошу помочь советом.

Исторически сложилось что фирма ведет свою деятельность с помощью 3 юридических лиц. В связи с тем что налоговая начинает проверять контрагентов, которые пользуются одним ip адресом, для разных банк-клиентов, у налоговой есть повод лишний раз придти с проверкой ( https://www.audit-it.ru/news/account/907433.html ) .

В связи со всем выше перечисленным, чтобы поводов у налоговой лишний раз не было, передо мной поставлена задача, чтобы бухгалтер ООО «Фирма 1», пользовались WAN1 , ООО «Фирма 2» - WAN2, ООО «Фирма 3» - WAN3.

Сейчас шлюз поднят на ubuntu 16.04 , установлено squid, ligthsquid , с авторизацией в AD, блокировкой всяких там одноклассников и т.п. Установлен OPENVPN сервер (админ, бухгалтер + 2 человека из дома работают) . Внутренняя подсеть 192.168.0.0/24.

В фирме есть небольшой (20 человек) call центр на Asterisk, несколько транков входящих, исходящих, Шлюз GoIP-4.

Задач стоит несколько:

1. Уйти от подсети 192.168.0.0/24 , из-за OpenVPN , из совпадения диапазонов с домашними роутерами (исправить схемотехническую ошибку). 2. Уйти от шлюза на ubuntu на pfsense, конфигурация бэкапится одним файлом, если сгорит сервер (диск ), на новом железе просто xml конфиг развернуть. 3. Уйти от домена corp.local к домену corp.адреса_сайта.ru 4. Сделать так чтобы бухгалтер ООО «Фирма 1», пользовались WAN1 , ООО «Фирма 2» - WAN2, ООО «Фирма 3» - WAN3 (Главная задача).

При переходе нужно:

1. Чтобы в новом домене был доступ строго через прокси: SQUID + ligthsquid + SQUIDGuard . Никаких там NAT . 2. Работал WAN failover ООО «Фирма 1» , по умолчанию WAN1, потом WAN2, затем WAN3 ООО «Фирма 2» , по умолчанию WAN2, затем WAN1, затем WAN3 ООО «Фирма 3» , по умолчанию WAN3, затем WAN2, затем WAN1. 3. Фирма продолжала работу!!!

Еще Astersik при переключении провайдеров не сразу регистрируется...

Кто-нибудь решал подобную задачу?

Непонятно, в чем сложность. Ты что-то сделал или ждешь что тут сделают за тебя?

У тебя есть задача - её и решай, нахера все в кучу свалил, какие-то переименования доменов, миграция туда-сюда, смена сетей...

и вот это

ЧТОБЫВСЁРАБОТАЛО!!!11111адинадин

Такое, знаешь, делают за деньги.

Подсказывать тебе что-то имело бы смысл, если бы ты своими ленивыми руками хоть что-то дельное сделал, чтобы свою задачу решить.

Вы что это, и конфеты за меня есть будете? Ага! (с) двое из ларца

zgen ★★★★★ ()
Последнее исправление: zgen (всего исправлений: 1)
Ответ на: комментарий от zgen

Непонятно, в чем сложность.

Сложность заставить SQUID одновременно для разных групп пользователей (Группы AD) использовать разные ip адреса. Сообщения с форумов противоречивые. То что заставить можно это я понимаю, SQUID + iproute + скрипты. Но как это сделать в рамках pfsense , не влезая в файловую систему, вот это вопрос. Костыли прикручивать не очень хочется.

нахера все в кучу свалил

Проблем несколько, проблемы оставлены мне по наследству, все остальные проблемы, мной решались несколько раз на других фирмах. Т.е. хочу все решить одним махом. А по одной проблеме посоветоваться хочу.

Подсказывать тебе что-то имело бы смысл, если бы ты своими ленивыми руками хоть что-то дельное сделал, чтобы свою задачу решить.

Откуда столько злости коллега? Почему Вы решили что ленивыми ?

lext55 ()
Ответ на: комментарий от lext55

Сложность заставить SQUID одновременно для разных групп пользователей (Группы AD) использовать разные ip адреса.

А еще сложность заставить правильно переключать SQUID ip адреса, в тот момент когда отработал WAN-Failover на pfsense.

Т.е. обычной ситуации

Бухгалтер ООО «Фирма 1» - SQUID - tcp_outgoing_address WAN1
Бухгалтер ООО «Фирма 2» - SQUID - tcp_outgoing_address WAN2
Бухгалтер ООО «Фирма 3» - SQUID - tcp_outgoing_address WAN3

При отрабатывании WAN-Failover на pfsense - нужно чтобы в SQUID также менялся  tcp_outgoing_address  А как-это сделать ?

Видел решение с tcp_outgoing_address 127.0.0.1 , при переключении провайдеров squid продолжает работать, Но оно мне не подходит.

Т.е. В момент отваливания основного канала было например так:

Бухгалтер ООО «Фирма 1» - SQUID - tcp_outgoing_address WAN2
Бухгалтер ООО «Фирма 2» - SQUID - tcp_outgoing_address WAN3
Бухгалтер ООО «Фирма 3» - SQUID - tcp_outgoing_address WAN3

lext55 ()
Ответ на: комментарий от lext55

Сложность заставить SQUID одновременно для разных групп пользователей

Вдумчиво читаете
http://www.squid-cache.org/Doc/config/tcp_outgoing_address/

Проблем несколько

Выдели главную, реши, приступай к следующей. Когда просят совета у других не говорят «Дай закурить, а еще дай денег, а еще у меня машина сломалась».

Откуда столько злости коллега? Почему Вы решили что ленивыми ?

Потому что ровно дырка от бублика написана про то, что было сделано для

чтобы бухгалтер ООО «Фирма 1», пользовались WAN1 , ООО «Фирма 2» - WAN2, ООО «Фирма 3» - WAN3.

И что, при этом, не получилось.

Выглядит так, что сраный запрос в гугле вы сделать были не в состоянии. Отсюда столько злости - «ей, холопы, у меня тут проблема - решите!»

zgen ★★★★★ ()
Ответ на: комментарий от lext55

А еще сложность заставить правильно переключать SQUID ip адреса, в тот момент когда отработал WAN-Failover на pfsense.

ты хоть что-то сделай сначала, потом улучшай. От простого к сложному, неужели так сложно это осознать?

zgen ★★★★★ ()
Ответ на: комментарий от lext55

Учти, что у tcp_outgoing_address есть одни недостаток - оно не может использовать «медленные» ACL, которые решили бы эту проблему просто и элегантно.

А быстрые acl-ли только статические :(

Так что либо хак сквида, либо костыли с переконфигурированием сквида при смене состояния каналов.

vel ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.