Настройка LAN, VLAN, поднятие PPTP VPN клиента на WAN.
-
*** Welcome to pfSense 1.2.3-RC1-pfSense on wszverek ***
OPT1(WANP)* -> vr0 -> 10.1.5.251(DHCP)
LAN* -> rl0 -> 10.186.192.1
WAN -> vlan0 -> 91.210.108.254(PPTP)pfSense console setup
0) Logout (SSH only)
1) Assign Interfaces
2) Set LAN IP address
3) Reset webConfigurator password
4) Reset to factory defaults
5) Reboot system
6) Halt system
7) Ping host
8) Shell
9) PFtop
10) Filter Logs
11) Restart webConfigurator
12) pfSense PHP shell
13) Upgrade from console
14) Disable Secure Shell (sshd)Enter an option: 8
ping google.com.ua
ping: cannot resolve google.com.ua: No address associated with name
ifconfig
vr0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=2808 <vlan_mtu,wol_ucast,wol_magic>ether 00:1b:38:54:96:97
inet6 fe80::21b:11ff:fec3:6b9d%vr0 prefixlen 64 scopeid 0x1
inet 10.1.5.251 netmask 0xffffff00 broadcast 10.1.5.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=8 <vlan_mtu>ether 00:50:fc:7a:04:39
inet 10.186.192.1 netmask 0xffffff00 broadcast 10.186.192.255
inet6 fe80::250:fcff:fe7a:439%rl0 prefixlen 64 scopeid 0x2
media: Ethernet autoselect (100baseTX)
status: active
plip0: flags=108810 <pointopoint,simplex,multicast,needsgiant>metric 0 mtu 1500
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
enc0: flags=0<> metric 0 mtu 1536
pflog0: flags=100 <promisc>metric 0 mtu 33204
pfsync0: flags=41 <up,running>metric 0 mtu 1460
pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
vlan0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
ether 00:1b:38:54:96:97
inet6 fe80::21b:11ff:fec3:6b9d%vlan0 prefixlen 64 scopeid 0x8
inet 0.0.0.0 netmask 0xfffffffe broadcast 0.0.0.1
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vlan: 1 parent interface: vr0
ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1500
inet 91.210.108.254 –> 91.210.108.2 netmask 0xffffffff
inet6 fe80::21b:38ff:fe54:9697%ng0 prefixlen 64 scopeid 0x9</up,pointopoint,running,noarp,simplex,multicast></full-duplex></up,broadcast,running,simplex,multicast></up,running></promisc></up,loopback,running,multicast></pointopoint,simplex,multicast,needsgiant></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu,wol_ucast,wol_magic></up,broadcast,running,simplex,multicast> -
Никогда не проверяйте пингуя по имени! вдруг у вас ДНС не правильно прописаны, или не доступны в данный момент
ping 77.88.21.8
ping 213.180.204.8Интерфейсы у вас поднялись нормально
-
с самого пфсенса по ИП пингуються интернетовские ресурсы, знач проблема в ДНСе. (для локалки провайдера один ДНС для инета другой) с машины которая стоит после пфсенса провадеровские ресурсы доступны как по имени так и по ИП интернет ресурсы вовсе не доступны ни в каком виде.
При этом правила
WAN (PPTP)
pas gre * * * * *
pas tcp * * * 1723 *
pas tcp * * * * *
block * * * * * *WANP (он же локалка прова)
LAN (он же сетка моя)
NAT (стоит в мануал режиме)
10...0/8 * * * * *
-
Да, для того что б ходить на локальные ресурсы прова в Дженерал сетап ДНС указал локалки 10.1.0.11. если не указать то по имени не пускает до прова. ДНС тот что получаю при поднятом PPTP не могу прописать в Дженерал сетап поскольку как и ипиха он меняэтся в зависимости с какой области выдан и надо ли вообще прописывать.
Просьба большая можна скрины правил как правильно создать правила для троих интерфейсов и НАТА, звездочки везде это не выход :) Заранее спасибо.
-
ничего не понял про какие-то ресурсы прова, про какие-то динамические ДНС сервера
прописываешь ДНС в настройка:
208.67.222.222
208.67.220.220
и радуешься жизниа по поводу правил фаервола, на ване разреши http, https, mail, pptp, dns, ну и что там тебе еще нужно
-
WAN (PPTP)
pas gre * * * * *
pass ICMP *******
pas tcp * * * 1723 *
> pas tcp * * * * *
Pass tcp/udp ********
block * * * * * * -
ничего не понял про какие-то ресурсы прова, про какие-то динамические ДНС сервера
прописываешь ДНС в настройка:
208.67.222.222
208.67.220.220
и радуешься жизниа по поводу правил фаервола, на ване разреши http, https, mail, pptp, dns, ну и что там тебе еще нужно
По поводу ДНСов есть свои 10.1.0.11 для локалки провайдера и 195.95.171.2, и пфсенс получает их на автомате, что видно с скрина conectppp.jpg в предыдущем посте (ISP DNS Server обе ипихи есть) но по имени тость yandex.ru с самого пфсенса не пингуеться, тока по ИП узла. С машины которая стоит после ПФСЕНСА могу пропинговать только до шлюза сами интернет ресурсы не доступны. В чом проблема не очень понятно. Вродь маршута нехватает.
С теми ДНС ами что и Вы указали тоже самое
ping google.com.ua
ping: cannot resolve google.com.ua: No address associated with name
бред какой то, ведь в resolve есть запись о днс сервер
Господа, прошу помощи
-
ну что за бред проверять dns командой ping епрст?
host или nslookup покажите
-
-
-
-
host ya.ru 208.67.222.222
что говорит?
потом покажи
traceroute 208.67.222.222
-
host ya.ru 208.67.222.222
;; connection timed out; no servers could be reached
host 208.67.222.222
222.222.67.208.in-addr.arpa has no PTR record
traceroute 208.67.222.222
traceroute to 208.67.222.222 (208.67.222.222), 64 hops max, 40 byte packets
1 * * *
2 спрятано.спрятано.com (10.1.0.10) 1.085 ms 1.045 ms 0.913 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 *^Cждать до упора пока не закончет ложить трасу нестал, результат тот же перед етим другой узел до упора трасировал
-
какой-то странный интернет, yandex значит пингуется, а opendns нет… хм..
а пропингуйте: 212.6.0.126, 4.4.4.2, 93.188.80.4 -
извиняюсь за то что ввел в заблуждение по поводу пингов интернетовских ресурсов.
с вебморды действительно пингуються по ип интернетовские адреса, но при этом я же выбираю интерфейс сам через какой послать, если же пинговать через Shell например: ping 208.67.222.222, то результат будет отрицательный.(принцып поторому получаю инетернет думаю стоить напомнить думаю это важно
есть локальная сеть провайдера
втыкаю в сетевуху
получаю ИП локальный при этом имею только доступ до городской сети и локальных ресурсов прова фтп, веб страница поддержки
что бы выйти в интернет нужно создать подключение ВПН ППТП 10.1.0.10)если в пфсенсе в шеле я выполню команду HOST 10.1.0.10 то получу в ответ имя. То есть днс локальной сети работает так как надо
пример трасировки маршута с поднятым впном виндова машина
C:\tracert 74.125.77.104
Трассировка маршрута к ew-in-f104.google.com [74.125.77.104]
с максимальным числом прыжков 30:1 <1 мс <1 мс <1 мс скрыто.скрыто.com [91.210.108.2]
2 1 ms <1 мс <1 мс vpn.скрыто.com [91.210.108.1]
3 1 ms 2 ms 4 ms 195.66.65.62
4 4 ms 5 ms 8 ms скрыто [80.93.113.69]
5 49 ms 13 ms 6 ms скрыто [80.93.125.46]
6 47 ms 48 ms 47 ms 72.14.239.14
7 62 ms 69 ms 72 ms 72.14.232.102
8 47 ms 54 ms 47 ms 209.85.248.182
9 50 ms 48 ms 51 ms 64.233.175.246
10 51 ms 51 ms 50 ms 72.14.239.199
11 58 ms 55 ms 63 ms 209.85.255.110
12 51 ms 50 ms 52 ms ew-in-f104.google.com [74.125.77.104]Трассировка завершена.
скрин маршутов выше, в предыдущих постах. и что такое в машутах за link#8 и т.д?
-
Задолбался уже разгадывать ваши загадки
то пингуется, то не пингуется, то пингуется, но оказывается с вебморды, а с шела не пингуется…причем тут впн с виндовой машины? впн до провайдера или до pfsense?
Ссори, я не телепат, реально уже надоело
P.S. принцип подключения не у вас один такой, ничего в этом извращенного нет, как показалось на первый взгляд.. просто объяснять не умеете
Объясняю как делается на пальцах при таком раскладе, больше объяснять не хочу
допустим вы получили по dhcp: 10.3.70.16/24 шлюз 10.3.70.1
У провайдера есть две подсети для "локальных ресурсов" (провайдерских, внутренних): 192.168.0.0/16 и 10.0.0.0/8
чтобы попасть в "интернет" (мир) вам нужно поднять ВПН, но тогда вы не сможете увидеть внутренние ресурсыДобавляются просто два статических маршрута:
в pfsense это делается System -> Static routes
Interface ставите "wan", Destination network: 192.168.0.0/16, Gateway: 10.3.70.1все, пользуетесь
P.S. на будущее, команда/программа ping умеет выбирать интерфейс с которого производить пинг
например так:ping -S 192.168.1.100 ya.ru
-
Добавил два маршута для локалки и ППТП сесии теперь и интернет работает так как положено и одноврименно локалка доступна провайдера с его ресурсами.
zar0ku1 еще раз прошу извинения за свои карявые объяснения и большое человеческое Спасибо за выделенное время и traceroute в нужном направлении. -
Так все получилось?
-
я же говорю все работает и интернет и локалка одновременно (тоесть при включеном pptp локалка не упала и доступна, понял в чем грабли) все на столько просто :). А главное стабильно работает, матеро себя ведет и это на таком барахле. (Осталось повесить ящик на стенку и куда то прицепить скрипт который при интерфейсе активном выдавал звук на системный динамик где вместо динамика весит светодиод. Ляпота ….......
-
В прошлом году пытался настроить через веб-интерфейс, но не удалось, пришлось править filter.inc Надеюсь, сейчас нашли красивое решение.
Провайдер предоставляет локальную сеть (у меня настроена на xl0), кучу пиринговых ресурсов, которые сразу доступны через шлюз по умолчанию.
Интернет подключается через VPN соединение PPTP. Чтобы пиринговые ресурсы оставались при этом доступны, приходится добавлять маршруты отдельным скриптом, а также правило NAT для локалки (в filter.inc добавить строчку):$natrules .= "\n# Outbound NAT rules\n"; /* Добавил своё правило для ната в локалку */ $natrules .= "nat on xl0 from 192.168.6.0/24 to any -> 10.70.251.93/32\n";
Но это хак, а хочется, чтобы оба интерфейса (xl1 и ng0) можно было выбирать в веб-интерфейсе. К сожалению, я ничего не понимаю в php, чтобы исправить веб-интерфейс под себя. Для знающего человека это должно быть просто.
Вот кусочек из файла rules.debug для размышления:
# System Aliases loopback = "{ lo0 }" lan = "{ xl1 }" ng0 = "{ xl0 ng0 }" wan = "{ xl0 ng0 }" enc0 = "{ enc0 }"
Зачем создавать столько дублирующихся алясов?