Chcesz mieć status łącza LAN które samo w sobie jest bramą. Adres który PF ma sprawdzać musi odpowiadać na pingi. W przeciwnym razie nie będzie to działać.
Powiedz mi w jakim celu chcesz mieć dodaną inną bramę dla LAN. Nie widzę w tym sensu.
VPN _>OpenVPN->Servers->Edit ->Tunnel Settings -> Redirect IPv4 Gateway. Jak ta opcja jest zaznaczona to cały ruch klienta jest przekierowany na tunel z netem włącznie.
Jak nie jest wybrane to w polu IPv4 Local network(s) trzeba wpisać do jakich sieci i jakich zakresów ma mieć dostęp klient np 10.0.0.1/24
Teraz pytanie czy komputery które nie odpowiadają to ich bramą jest właśnie pfsense czy może jakiś inny router. No i teraz jak jest skonfogurowany Firewall kompoutera w sieci.
Swój problem opisałeś dość pobieżnie skrótowo. By odpowiedzieć właściwie musiałbyś rozwinąć swoją myśl.
Komputer w sieci lokalnej nie dostanie adresu publicznego, ale pod takim adresem będzie widoczny dla innych.
Do tego co potrzebujesz wystarczy przekierować porty na wewnętrzny adres.
Możesz też zastosować nat 1:1 ale tu wszystko to co trafi na adres publiczny zostanie przekierowane na komputer w sieci wewnętrznej.
OK, sytuacja opanowana. Dwie sprawy:
1. MBUF, wiki pfsense:
https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards
Akurat moja karta to bce :-)
2. Uczniom najwidoczniej się nudzi na zajęciach, bo co jakiś czas puszczają flooda do sieci. Wypięcie kabla załatwia problem :-)
Dzisiaj śmiga jak powinien. Opcja wymiany sprzetu do rozważenia, jak nam światłowód podłączą.
Dzięki za wskazówki :-)
Hej,
na kartach jest ok. Zmieniliśmy konfiguracje na Squid i wygląda to znacznie lepiej. Na kartach jest czysto a faktycznie popatrze jeszcze na dyski w czasie godzin pracy.
No to masz przyczynę. Ściągaj operatora aż do skutku.
Dobry kabel działa bez błędnie na odległość ponad 100m. Czasem wystarczy licha wtyczka albo źle zrobiona i będzie sypać błędami.
Używam tego rozwiązania od ok 4-5 lat. I na chwilę obecną nie zamieniłbym na inny produkt. Tym bardziej iż miesięcznie router mi przerzuca po sieci ok 1TB danych między vlan-ami. Gotowe rozwiązanie jest zdecydowanie za drogie.
Bezpieczeństwo także jest na wysokim poziomie.
Byś widział jakie jest obciążenie każdego z vlanów doinstaluj paczkę: Status_Traffic_Totals
A żeby zobaczyć który IP aktualnie ciagnie za dużo to zobaczysz w: Status -> Traffic Graph (tu już sobie definiujesz który vlan chcesz oglądać)
Byś miał pełną kontrolę postaw sobie proxy (squid+squidGuard) to będziesz wiedział co kto i ile czego ściąga. I w razie co zablokujesz komunikację z konkretnymi domenami.
Poza tym w limiterze możesz zrobić tak że dany vlan może mieć do dyspozycji 10Mb/s i więcej nie pójdzie bez znaczenia ile jest hostów. A możesz też ustawić że ten limit będzie przypisane dla każdego adresu co w efekcie wysyci łącze.
Wszystko zależy co wybierzesz przy konfiguracji limitera w polu "mask":
none: limit przypisane ogólnie bez znaczenia na ilość hostów. (2 klientów ściąga duży plik= wysycenie łącza)
source addresses: ustawiony limit działa na każdego hosta z osobna (10 klientów ściąga duży plik = suma poobierania dla wszystkich nie przekroczy wartości zdefiniowanej)
destination addresses: np dla strony internetowej. Nie pójdzie więcej niż.
witam
bardzo dziękuję - jest tak jak mówisz, jeśli ktoś używa Squidguard-a to tam ustawia się komunikat dla np kategorii
jesli zablokuje cos w samym Squid to wlasnie - nie wiem skąd pochodzi komunikat zablokowanej strony
Jak w takim wypadku zrobić to elegancko?
Chciałbym wydzielić odrębną sieć dla gości, wyciąłem ją na vlanach, wchodzi w odrębny interface OPT2 w pfsense.
Ruch pomiędzy sieciami lokalnymi jest blokowany.
Jednak jeśli bym chciał dostać się do jakiejś usługi w sieci LAN to mam jakąś możliwość ruchu przez WAN?
W metroethernet dostajesz pule adresów ip. Co chcesz osiągnąć: routing dla sieci wewnętrznej, przypisać adresy ip zewnętrzne dla komputerów w sieci? Wszystko opisane w dokumentacji.
https://doc.pfsense.org/index.php/L2TP/IPsec
Czy SERVER ADDRESS i REMOTE ADDRESS RANGE nie powinny być w tym samym zakresie? N.p. 10.10.9.2 i 10.10.9.128
A czy z komputera łączysz się po IP czy po URL do serwera?
Port do którego wpięty jest pfsense winien mieć status "trunk" i mieć przypisane vlany jakieś oczekujesz. 1 jako nietagowany i tagowany 100.
Następnie drugi komputer wpinasz w port nietagowane 100 albo tagowane jeśli karta sieciowa w komputerze wspiera ten standard.
Karta sieciowa w pfsense też musi wspierać ten standard (IEEE 802.1Q) bez tego nie będzie to działać.
Wszystko zależy od dostawcy. Osobiście mam w pracy 2x DSL od orange na każdym po 8 adresów IP. Każdy z nich jest podłączony obsługiwany przez pfsense. Połączenia od PFsense do modemu/routera operatora to tylko 1 kabel sieciowy. Więcej nie ma potrzeby kłaść.
Jak dobrze ogarniasz VLany i masz odpowiedni switch to po 1 kablu LAN możesz do pfsense puścić np kilkanaście sieci każda w osobnym VLanie.
ok, wydaje się, że sobie poradziłem z pierwszym adresem po przeczytaniu dwóch książek i tutoriala https://forum.pfsense.org/index.php?topic=13507.0
Oto w razie czego jak działałem:
1. dodałem na wirtualizatorze dodatkowy interfejs z adresem Mac wygenerowaneym dla FailOver IP w panelu dostawcy (OVH)
2. dodałem nowy interfejs w pfsense: Interfaces–>(assign) --> u mnie było to OPT1.
ipv4 configuration type: Static IPv4
ipv6 configuration type: none
mac address: na wygenerowany w pkt 1.
ipv4 address: adres publiczny przypisany do MAC-a z pkt 1. maska /32
IPv4 Upstream Gateway: None
3. dodałem VirtualIP:
Type: Proxy ARP
Interface: WAN
Address type: Single address
Address(es): publiczny adres IP przypisany ten z pkt 1. z maską /32
Description: jakiś opis - dowolny
4. Firewall –> NAT --> 1:1
Interface: OPT1 –> nazwa interfejsu z pkt 2
External subnet IP: Publiczny adres przypisany do interfejsu OPT1
Internal IP: Single host: Ip serwera w sieci wewnętrznej na który ma być kierowany ruch z publicznego IP
5. Firewall –> Rules --> OPT1 (lub inny patrz pkt 2.)
Tutaj dodałem ogólną regułę do testów połączenia, ale została zmieniona jak okazało się, że wszystko działa.
Action: Pass
Interface: OPT1
Source: any
Destination: Single host or alias - IP serwera w sieci wewnętrznej do którego być kierowany ruch
Destination Port Range: From: any, To: any
Jak pisałem wcześniej lepiej ustawić ściśle porty, na których będą udostępnione usługi, gdyż pełne udostępnienie jest mało bezpieczne. Niemniej na chwilę do testu działania jak najbardziej ok.
6. Zapisz, Zastosuj zmiany i powinno działać.
Btw. Odpowiedź na pytanie czy NAT 1:1 i port Forwarding mogą działać razem - TAK mogą.
Generalnie większych problemów nie ma z serwerami HP. Nie słyszałem o fabrycznych defektach G6, a o G5 i owszem.
Co do HT to możesz włączyć, ale zanim cokolwiek to poobserwuj jak sobie radzi na tych fizycznych 8 rdzeniach.
Też miałem z tym problem jak dział router w trybie Loadbalancing. Chodzi o to że logując się na stornę banku by byc uwierzytelniony musi być kpl danych: Login-hasło-adresIP.
A przy LB adres będzie się zmieniał co jakiś czas. Raz zapytanie z WAN1 a raz z WAN2. Wiec nastąpi zerwanie sesji.
Możesz podzielić komputery przy pomocy aliasów i reguł w firewall które adresy z LAN mają korzystać z konkretnego WAN-u.
Dodatkowo przeźroczyste proxy także sprawia często problemy. Z tego co pamiętam pomaga dodać adres problematycznej domeny do pola: "Do Not Cache" w zakładce "Local cache". Aktualnie z proxy nie korzystam.
Samo to się nic nie dzieje. Musiałeś tą regułę dodać lub ktoś ją dodał. Hasło admina zmieniłeś?
Zrób screena reguł WAN-u jak i z NAT (jak widać adres publiczny to go ukryj na screenie).
Odpowiem sam sobie… Kombinowałem z różnymi ustawieniami i działa. Chyba największe znaczenie miało dodanie regułki w firewalu przepuszczającej ruch z wirtualnego IP. Ktoś powie, że oczywiście jednak miałem nadzieję, że mając od ptaszkowaną opcję: "Disable Auto-added VPN rules" wszystko co trzeba doda się samo.
