Вопросы новичка по pfsense
-
@johnfelix
По-умолчанию, на pfsense закрыты подключения извне. Если в правилах firewall вы ничего не разрешали во вкладке WAN, то никто подключаться не будет -
@dave-opc Вот именно что есть разрешения и нет запретов, Сервер достался от предыдущего админа, и все было сделано на скорую руку, только разобрался с OpenVPN и привел в порядок squid. Разрешение в каком виде может открыть доступ?
-
@johnfelix
Откройте Firewall - Rules - WAN и там будет видно какие разрешения есть, на какие порты, с каких IP адресов. Если они не нужны, закрывайте. Если используются для подключения к каким-то внутренним ресурсам, надо смотреть, что и куда разрешено.
Разрешения можно прописать здесь, либо в разделе Firewall - NAT - Port Forward -
@dave-opc Спасибо пересмотрю
-
Имею два офиса соединенных pfsense 2.6.0 (OpenVpn P-to-P - шара кей)
Попробуйте поднять между пф-ми ipsec vti. Скорость в туннеле будет гораздо выше,чем с овпн. Только поднимайте на сертификатах, иначе hw aes не заработает (предварительно вкл. aes engine на обоих пф)
Важно. Рекомендации по выбору алгоритмов шифрования https://docs.netgate.com/pfsense/en/latest/vpn/performance.html -
Добрый вечер всем! как решить проблему: Имею PF (2.6.0) WAN и Lan (22 mask) . На LAN включен dhcp (50 адресов). Все ПК (300+) имеют выход в инет - кто-то по статике, кто-то по dhcp (включая сотовые) и PF их видит по dhsp Leasses. Есть 4 штуки роутера - каждый со статическим адресом, привязанным к PF, и каждый со своим dhcp. Если отключить dhcp на lan интерфейсе PF -вся сеть WiFi рушится. Вопрос: Почему глохнет WiFi, если на ноуты и сотовые инет раздают роутеры, и ноуты говорят сеть подключена, без доступа к интернет (как и сотовые)? Нужно ли добавить Vlan интерфейс для Wifi ?
-
@reno-0
А WiFi точка доступа в какой сети? -
@dave-opc На PF нет точки доступа, а так все роутеры на 2 подсети (маска 22 у меня)
-
Добрый.
@reno-0каждый со статическим адресом, привязанным к PF
Адрес они от пф получают по связке МАС +ip (static lease)?
-
@reno-0
Я вроде совсем другое спросил. В какой сети находится WiFi? он за pfSense, или за другими роутерами? -
@dave-opc WiFi за роутерами
-
@reno-0 Роутеры получают статику от PF по связке MAC+IP
-
Роутеры получают статику от PF по связке MAC+IP
Если отключить dhcp на lan интерфейсе PF -вся сеть WiFi рушитсяЛ- логика)
-
@werter Логика в том, что при включенном Dhcp на PF - он начинает присваивать адреса сам, не смотря на то, что роутеры тоже настроены на dhcp - они имеют только внутренний статический адрес.
-
@reno-0
У вас роутеры подключены ЛАНом к пф - пф и выдает адреса клиентам. Если успевает) -
это понятно - решить проблему установкой Vlan интерфейсом для WiFi ?
-
@reno-0 Может надо роутеры WiFi переключить в режим access point чтобы он не работал как NAT а клиенты шли в сеть за адресами?
-
@reno-0
Вам что от роутеров надо? Чтобы они адреса сами выдавали? Тогда в порт ВАН на них суйте кабель от пф.
Если надо от пф получать адреса ви-фи клиентам, то задать им статич. ip из сети пф и кабель в ЛАН + откл. dhcp на них.
Это же азы( -
Реализовано так,: кабель от PF в Wan порт роутера. Роутеры настроены на выдачу по dhcp. Но PF выдает сам адреса по dhcp. Необходимо нам отключить dhcp на Lan интерфейсе PF и чтобы роутеры раздавали сами. Но при отключении dhcp на PF - рушится вся сеть wifi
-
@reno-0 Наоборот. Если сделать так как вы описали то будет рушится сеть. А нужно чтобы PF работал как сервер DHCP, а роутеры лучше всего переключить в "прозрачный" режим или в крайнем случае настроить их внутренний DHCP на статические адреса не пересекающиеся с тем что PF раздаёт. Естественно проще с прозрачным вариантом.
-
ок, спс. Только надо реально отключить dhcp на PF и перевести его в ARP (MAC+IP). остается ковырять роутеры.
-
@reno-0 У меня в сети PF не работает как сервер DHCP и есть много точек беспроводных. Для сервера DHCP настроен отдельный сервер, он же и DNS заодно. Главный принцип в том, чтобы не нарушать ранговости и не уводить сервер DHCP за NAT... тоесть мой DHCP сервер смотрит прямо в локалку и отвечает на запросы клиентов. Беспроводные точки не в режиме роутера - они НЕ разделяют сеть, все кто подключен к WiFi с точки зрения сети не отличаются от тех кто на проводе и в итоге им адрес назначает наш сетевой сервер DHCP. Если же взять и воткнуть роутер, а сеть подать на WAN вход то клиенты роутера получат адрес и пойдут в сеть через NAT как во внешнюю, в итоге естественно нифига такое не будет работать нормально.
Успехов!
-
@luha спасибо
-
@reno-0
На ВАН у роутеров статический ip пропишите из ЛАН пф. У вас там сейчас динамика.
Ес-но, что при выкл. дхцп на пф роутеры не получают ip на свой ВАН и их ви-фи клиенты не могут выйти с Сеть.Учиться, учиться и еще раз учиться https://linkmeup.ru/blog/1188/
-
@werter В том то и дело, что у роутеров на Wan статика из PF-lan. Думаю сменить диапазон dhcp на PF c 0 подсети на 3.
-
@reno-0
Рисуйте схему с адресами. Может у вас сети пересекаются? -
@werter Вопрос решился сменой диапазона dhcp PF (192.168.0.200-250 на 3 подсеть). Только не догнал пока - как такое может быть. Скорее всего пересекались диапазоны - но все равно не должно такого быть. Спасибо всем !
-
сменой диапазона dhcp PF (192.168.0.200-250 на 3 подсеть).
Миллион раз здесь обсуждалось, что НЕЛЬЗЯ пользовать в продакшене 192.168.0|1. Что что это самый часто используемый диапазон на "мыльницах". При таком раскладе ОБЯЗАТЕЛЬНО нарветесь на пересекающиеся сети (
Видимо, образование добито окончательно. Кач-во "специалистов" достигло уровня 0 и началось движение к отрицательным значениям. -
Добрый день, подскажите куда копать, был один WAN и интернет был через прокси, добавили еще один WAN2, настроены на мультиWAN. Вот pfsence пингует шлюзы и кто быстее отвечает ставит его по умолчанию. Пришлось запретить один сайт через ACL группы, но есть люди которым он нужен. и вот смысл в чем на одном шлюзе работает этот сайт, но не работают например сайты администраций области и выдает "Система вернула: (54) Connection reset by peer", на другой когда переходишь руками работает работают сайты, но не работает этот сайт браузер просто крутит, пинги во всех случаях проходят, куда капнуть чтобы они могли без ручного управления работали?
-
Добрый.
@johnfelixбыл один WAN и интернет был через прокси
Что за прокси? Зачем прокси?
Вот pfsence пингует шлюзы и кто быстее отвечает ставит его по умолчанию.
Нет. У ВАН-интерфейсов есть tier (вес). Чем меньше цифра на tier, тем приоритетнее линк.
Если tier одинаков, то это - балансировка. -
@werter said in Вопросы новичка по pfsense:
Добрый.
@johnfelixбыл один WAN и интернет был через прокси
Что за прокси? Зачем прокси?
На Pfsevce стоит Squid -
@johnfelix
Загуглите по squid+multiwan+pfsense
Вкратце, надо вешать службу squid на Localhost + немного подправить конфиг squid.
Все делается прямо в вебке. -
Прошу помощи или подскажите направление, совсем новичок в теме pfsense. Досталась по наследству на работе система 2.4.4_3. Все работает, потихоньку проброс портов добавляю при надобности, то есть не дура полная. Два входящих WAN интерфейса, разные провайдеры, настроен MultiWAN. Внезапно возникла необходимость разграничить доступ к интернету компьютерам внутренней сети, то есть чтобы некоторые компьютеры выходили в интернет через одного провайдера, а другие через второго. Возможно ли так настроить pfsense? Экспериментировала и с статическими маршрутами, и с правилами фаерволла - пока безрезультатно, или на экспериментальной машине пропадает доступ вообще, или остается основной интерфейс. Куда правильно обратить свой взор для решения этой задачи? Заранее благодарю.
-
@konfffetka said in Вопросы новичка по pfsense:
кспериментировала и с статическими маршрутами, и с правилами фаерволла - пока безрезультатно, или на экспериментальной машине пропадает доступ вообще, или остается основной интерфейс. Куда правильно обратить свой взор для решения этой задачи? Заранее благодарю.
Все проще. Никаких маршрутов.
Firewall-Aliases-IP
Создаете алиас с нужными IP.Firewall-Rules-LAN
Выше правила Default allow LAN to any rule
Создаете правило
Source - ваш алиас, созданный выше.
Там же в правиле ниже - Advanced Options - Gateway .
Выбираете Gateway нужного провайдера. -
@pigbrother said in Вопросы новичка по pfsense:
Там же в правиле ниже - Advanced Options - Gateway .
Выбираете Gateway нужного провайдера.Правило создавала, а сюда не заходила. Вроде и гуглила, а ничего толком не нашла.
Спасибо огромное! Все заработало -
@konfffetka По ходу на форуме каждый пятый вопрос про это, но разработчиков ни капельки такое не смущает, никаких выводов не сделано и ничегошеньки никто менять не собирается.
Понятно все задолбались уже отвечать, но раз взялись... тем не менее всегда забывают уточнить что "костыль" с жёсткой привязкой Gateway-я провоцирует другие новые чудесные и супер-интуитивно-понятные "фичи", выражающиеся в том что пропадает возможность использовать часть функционала. Например все ваши правила балансировок и что там ещё вы себе захотите - автоматом идёт лесом т.к. Gateway жёстко определён для адреса подсети. Лажа
-
@luha said in Вопросы новичка по pfsense:
Например все ваши правила балансировок
Для балансировки конкретных IP тоже можно создать группу шлюзов
-
@pigbrother Для конкретных IP. А для других конкретных IP прибиваем гатвей гвоздями и бай-бай Firewall / NAT / Port Forward