pfsense 與 cisco 3640
 

各位好，這個問題已經困擾我好幾天了

如圖，目前的網路環境是想透過一台執行pfsense的電腦做多ADSL的負載平衡。
內部網路則是透過3640做NAT之後，轉成172.16.228.XX /26 的IP給pfsense。
但目前的問題是，10.100.55.0中的電腦無法對外連線，

ping 172.16.228.253 有回應
ping 172.16.228.254 無回應
ping 168.95.1.1 無回應

然而我在中間多接了一台PC之後，使用 172.16.228.231/26 的IP
則一切正常，PING、網頁瀏覽都正常

我自己推測了一下，可能是pfsense並沒有把封包傳回去給3640
( pfsense的介面中有看到由3640 NAT出來的icmp封包 )

請問各位網兄，有處理過類似的經驗嗎

:confused:

3640還是只適合當router,用3640跑NAT只是自找麻煩(CPU不夠快,RAM不夠多,config又麻煩:stupefy: ),既然有機器可以跑pfsense,直接在pfsense上面跑NAT會是比較合理的做法:think:....BTW,除非是FTTx拉不出來或是有redundant的考量,拉一堆ADSL跑load balance也是不太實際的搞法就是了:ase:ase....

您好，其實目前已經拉了1條100M+3條8的ADSL，目前是在評估這個方案可行的話，會再多租線路來用

其實之前pfsense是直接接收6503過來的多個網段，但還是發生一樣的情況，封包來了但是回不去

在6503上做NAT的話，因為部分網段的流量比較高，會拖到6503原本正常的速度
所以才會想讓這些高流量的網段經由pfsense的機器NAT出去

設定的部分弄了很就還是搞不出來 :(

NAT用pfsense配合不算太古老的機器跑不動的話就更不用指望3640之類跑得動了(router內的CPU/RAM和普通PC的差異可能是以十倍計的,您不也試過6503了嗎:stupefy: ),至於為啥pfsense會跑不動就要在那台機器上看了,照您的描述比較可能是session太多,RAM被吃完了,這年頭加RAM是沒什麼,只是真的吃那麼多RAM的話還是跑X86-64版本比較實在,至少不會有kernel space只到2GB的狀況:p:p....

因為我目前不是pfsense跑不動

而是設定值的問題 :stupefy:
我比較想知道，為什麼我的封包會回不去 :confused:

鵝已經n年沒摸Cisco的router了(在鵝管router的年代基本上也不會考慮拿router當NAT),所以對3640跑NAT的config恐怕也是愛莫能助,不過您要不要把config貼上來參考參考啊:ase:ase....

網兄您好 :ase

因為目前小弟處理的部分是pfsense的設定問題，

3640的設定部分是沒問題的(有拿舊有設備測試過)

pfsense ping 3640 有回應嗎?

您好 這部分是有的

先在pfsense上面跑tcpdump 吧...

然後再從10的網段去ping pfsense , 把結果貼上來再說吧!!

我從事network device truoble shooting很久了 , 我直覺反應是3640應該沒有把NAT設定好

結果pfsense收到從10的網段來的packet , 但pfsense不知道怎麼回傳給10的網段
所以封包有去到pfsense ,但是reply 送不回去 , 這是我的猜測...

如果不想動3640 的config 來證明這一點,那可以在pfsense 上多加一段static route
(抱歉,FreeBSD我不知道怎麼下command , 樓主google一下應該很容易找到)
再從10的網段去ping pfsense , 看看會不會通!!

如果會通,那就代表3640的nat沒設好 !! 如果還是不通,看看3640有沒有設定ACL 於interface
說不定就是ACL在搞鬼!!