2 vitektm

Смотрите логи pfsense

@VLK:

Возможно ли поднять pfSense на Микротике (в данном случае RB1100AHx2)? Интересуют все варианты - как с использованием виртуализации (MetaROUTER), так и полноценная замена RouterOS.

pFsense расчитан на работу на процессоре  x86 архитектуры. чтобы он заработал на других процессорах нужно всего лишь соответствующее ядро собрать.
в принципе это вполне доступно.  но не понятна цель.

проще dd-wrt купить и поставить. есть сборки на платформу микротик.  тестовый период сутки, потом лицензию покупать надо.

@SergeyRDW:

@SergeyRDW:

@werter:

Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

в данный момент нет возможности, но скажу сразу на обоих PfSense в Firewall для LAN, WAN*, IPSec разрешено все ото всюду во все стороны.

кому интересно, с версией pfsense 2.1.5 разобрался - при переключении c WAN1 <-> WAN3 на WAN2 <-> WAN3 на машине с WAN3 не удалялась старая настройка SPD (см. Status: IPsec: SPD) и не появлялась новая,
вылечилось методом установки "Policy Generation" = "on" в секции "VPN: IPsec: Edit Phase 1", по умолчанию "Policy Generation" = "default".
Но в pfsense версии 2.2 этой опции ненашел, и проблема опять с SPD. Кто знает как релизовать мой вопрос в версии 2.2 ?

Всем , привет!
В продолжении темы. Теперь следующий вопрос:
При обрыве основного канала WAN1 <-> WAN3 происходит переключение на резервный WAN2 <-> WAN3, и все нормально работает,
а далее при переключении с резервного WAN2 <-> WAN3 на основной WAN1 <-> WAN3 соединение сначала устанавливается (секунд на 10-15), а потом "падает", хотя в логах видно что есть стабильное подключение по основному каналу, WAN1 и WAN2 объединены в группу, и в настройках указанно использовать именно эту группу.
НО при переносе конфига на другой pfsense все начинает нормально работать (переключение между обоими каналами), с единственным отличием, что на другом pfsense "убивается" не существующий интерфейс (на одну сетку мешьше), и "убиваются" "Virtual IP" созданные в "Firewall: Virtual IP Address" - "IP Alias".

подскажите что не так? :'(

Пусть себе Клиент и хочет белый ip-шник  :) Кто же против то?!  ;)

Я и написал, что лично мне не понятна цель (хостинг, свои нужны), - есть варианты решения? - есть.

@Scodezan:

@dima_k:

Если от провайдера приходит всего один кабель - так заведите его сразу на коммутатор с поддержкой VLAN'ов, и уже там направляйте на сколько хотите хостов в рамках выделенного адресного пространства. Для мониторинга-управления этого коммутатора тогда либо VLAN из локалки, либо присвоить один из "белых" адресов. Какую тут схему выбрать решайте из своих требований к безопасности.

Стоило б спросить может ли его концентратор с поддержкой VLAN, запретить серверам, допустим, подключаться к портам 25,110.

Есть задача - подбирается решение, исходя из ресурсов (людские/материальные) и сроков

@Scodezan:

@dima_k:

К тому же, можно использовать виртуальные адреса на одном физическом интерфейсе pfSense, можно использовать VLAN'ы на самом pfSense.

Да, подробнее, пожалуйста, как?

Опять же - цели. Если есть желание и возможность фильтровать трафик на одном pf все-таки без проброса белых ip - то почему бы и нет - родительский интерфейс для vlan'ов, к нему назначаем дочерние.

Если же задача в том, что именно фильтровать трафик при коммутации пакетов - тут другое решение, и pfSense тут не поможет (на сколько я знаю).

@Scodezan:

@dima_k:

Также не совсем понял как в итоге должно выглядеть.

Представьте, Вы предоставляете в аренду виртуальный хостинг. Клиент хочет белый IP, Вы ж это дело проворачиваете нелегально и желаете хоть как-то себя обезопасить. С этой целью и рассматриваете какой-то фильтр по скорости и тп

Желание обезопасить себя должно быть закреплено в договоре оказания хостинг-услуг (и это уже и будет тогда вполне легально, если Вы зарегистрированы в качестве поставщика этой услуги и платите налоги), если к Вам приходит 100Мбит, а Вы выдаете клиентам по 2 Мбита по договору, то "какой-то фильтр по скорости и тп" приходится использовать. Тот же виртуальный хостинг, допустим, с использованием гипервизоров и виртуальных машин - все это делается элементарно средствами самого гипервизора: и ограничение по скорости, и фильтрация, и предоставление хоть серого, хоть белого ip.

Все сводится к схеме: цели-средства-результат. Мне непонятны мотивы, о средствах ни слова, но нужен результат. Какой вопрос - такой ответ.

Все проверено, адресация не совпадает - уже почти 10 лет работает  :) (на pf не все эти годы, но все же)

Если в remote network стоит 0.0.0.0, то весь трафик будет заворачиваться в туннель.

Верно. Это нужно, это работает. Проблема в том, что в туннель попадает трафик, который относится к lan адресу pfsense. Что я имею в виду:

с pfsense пингуется localhost; с pfsense lan адрес и любой адрес из его же локальной сети не пингуется, собственно потому и отвались некоторые сервисы, которые находятся в локальной сети: это доменный контроллер и прокси zabbix'а (повторюсь, при отключенном ipsec это все работает и работало на прежних версиях с включенном ipsec).

Прохождение пакета в pf? Ответ, например, тут https://forum.pfsense.org/index.php?topic=73670.0

По моим результатам получается, что я спрашиваю: "кто такой localhost?" - ответ pf: "Я!"
Вопрос:"кто такой по lan ip (настроен как статика на порту em0)" - ответ pf: "Не Я!", и отправляет его в ipsec-тоннель, т.к. его ip попадает в пространство 0.0.0.0/0.

Да и собственно, да и если даже теоретически представить, что такой же ip есть в удаленной сети, то это не должно влиять, т.к. pf обязан понять что это адрес принадлежит также и ему. По ссылке выше есть схема, где есть блок условия "to me?", и он выше таблицы маршрутизации, и я совершенно согласен. что это правильно.

Я это все к чему - я не понимаю в чем может быть причина, когда я задал локальному интерфейсу ip, допустим, 10.0.0.1, а pf мой запрос по этому адресу (даже не только с компа локальной сети, но и через web (Diagnostics-Ping или Diagnostics-Command Promt), и из терминала) уходит в тоннель.

Уважаемый werter, я настроен позитивно - ни капли негатива если что  :) попытался объяснить, что все по максимуму постарался проверить, а ехать переустанавливать неблизко, резервного канала и второго белого ip нет. Хочется выслушать идеи, если есть.

Что в таком случае можно проверить? Как я понимаю нужно смотреть на уровне ядра т.к. не проходит проверка принадлежности ip адреса к списку адресов, которые присвоены интерфейсам на pfsense.

@dvserg:

Поднять туннель VPN между офисами.

@zga029:

Здравствуйте, подскажите пожалуйста, как настроить-объединить два офиса?

Офис №1
pfsense 2.2
pppoe
wan 111.111.111.111
OPT1 10.0.5.1/24 (выдал провайдер для объединения двух сетей)
lan 192.168.20.0/24

Офис №2
pfsense 2.2
pppoe
wan 222.222.222.222
OPT1 10.0.5.2/24 (выдал провайдер для объединения двух сетей)
lan 192.168.2.0/24

провайдер один и тот же
OPT интерфейсы с двух сторон пингуются.

провадейр сказал укажи что за 10.0.5.1/24 есть сеть 192.168.20.0/24 и наоборот, тогда скорость будет до 100 мб/с

Как правильно реализовать? IPsec туннель или есть какой нибудь другой вариант?

Да, поднять любой VPN.

Причем проверить, что будет лучше\стабильнее\быстрее - туннель между OPT или между WAN.

Как вариант, провайдер уже настроил маршрутизацию для сети 192.168.20.0/24 за 10.0.5.1/24. Что, кстати,то про сеть за 10.0.5.2/24? Узнайте детали у него, возможно будет обойтись сменой адресации для локальных сетей, заданной провайдером и добавлением на pfSense маршрутов без поднятия VPN.

Спасибо друзья. Извиняюсь за глупый вопрос. выставил правило ICMP  и Оп-п-па!…

Подскажите следующее если тема жива, пробую настроить по данному скрипту но ничего не получается, проблема в том что у меня DNCP и DNS сервера на контролере домена отдельно на машине и в /etc/hosts у меня только локальные имена pfsense.

https://forum.pfsense.org/index.php?topic=86635

@gudy:

Спасибо всем за помощь, все задачу решил, все работает. Моя была ошибка в том, что я заморочился на маршрутизации и совсем забыл про правила фаервола, думал, что если все разрешу будет работать. В общем всем спасибо, пока разобрался, все работает как надо. В правилах разрешил только то что можно, остальное все закрыл. Следующей задачей, хочу завести еще одного провайдера и настроить балансировку с приоритетом трафика, но это тема следующего топика.

Можно было просто не разрешать. Явно запрещать при просто схеме не нужно.

Вам надо, чтобы Вин7 выходила через пф в интернет ? Или чтобы ваша реальная машина выходила через пф в интернет ?

Если первое, то пробуйте:

pfsense :
1. WAN пф - это NAT на вашу реальную сетевую
2. LAN пф -  Виртуальный адаптер хоста (Host-only)
В fw на LAN pfsense - разрешено всё всем и по всем протоколам. Скрин этого правила покажите здесь
И отключите блокирование "серых" сетей на WAN в pf.

Вин7:
LAN - внутренняя сеть, т.е. доступная др. вирт. машинам и хосту. В кач-ве шлюза - ip-адрес LAN pfsense. В кач-ве DNS - ip-адрес LAN pfsense\ google DNS.

LAN pf и LAN Вин7 находятся, ес-но,  в одном адресном пространстве.

@ABBaz:

@werter:

OpenVPN

"Не хочу использовать сторонний софт… нужно чтобы работало из коробки в окнах"
"Еще раз. Не ищите себе приключений и лишних забот. Я уверен, что у ваших пол-лей намного больше ненужного стороннего ПО, чем OpenVPN."
Но все- таки из коробки проще.
До этого я пользовался SHREW SOFT VPN CLIENT но с 2.2 это не удается

Считайте, что OpenVPN - это "из-коробки" ::)

Господа… отбой.

для мульти WAN только dynamic dns., FQDN в общем DNS не работает.

Как я понял: клиент по FQDN получает несколько IP,  и видать каждый раз разные (DNS имеет свойство обновляться). dynamic dns возвращает только 1 IP, но при падении канала обновляет на необходимый (на данный момент активный), потом racoon рестартится и получает нужный.

на данный момент канал поднят уже как мин 20-30 )

Проблема решилась определением жесткого диска на "Контроллер 1 IDE" после дисковода, а вот на нулевом почему то не хочет… вот такой вот баг.

@venom177:

Задал интерфейсам OPT и WAN адреса гейтов для этих сетей(62.140.253.126/30 и 213.79.116.147/29)

Странно почему, OPT и WAN, а не LAN и OPT, впрочем ладно.

Таблицу маршрутизации смотрим Diagnostics\Routing. Что до отключения fw, не знаю как в pf, но zentyal после этого перестаёт выполнять выполнять функции роутера.

А вообще, по мне фигнёй маетесь, если Вам надо локально потестить возможности железок, Вы можете WAN портам дать адреса из одной подсети, соединив через хаб. Остальное можно порешать после…

@Vlad71:

Еще момент такой, сеть на wan-порту (частная не интернет) 20.xxx.xxx.xxx а LAN 192.168.1.1

Тогда отключать надо вlock bogon networks. Есть ещё маршрутизаторы/провайдеры на пути(схема подключения состоит из одной прямой линии)? Возможно ли изменение схемы, адресации?

@werter:

Я что-то пропустил или у ТС есть гипервизор ?

Будет. :-)

Еще в этой же конфигурации (через прокси) обратил внимание на то, что после обрыва соединения туннель не восстанавливается, приходится перезапускать службу. После RTFM добавил в файл конфига```
keepalive 10 180

Действительно, забыл dns, вот, что значит свежий взгляд! Спасибо.