Настройка LAN, VLAN, поднятие PPTP VPN клиента на WAN.
-
Да, для того что б ходить на локальные ресурсы прова в Дженерал сетап ДНС указал локалки 10.1.0.11. если не указать то по имени не пускает до прова. ДНС тот что получаю при поднятом PPTP не могу прописать в Дженерал сетап поскольку как и ипиха он меняэтся в зависимости с какой области выдан и надо ли вообще прописывать.
Просьба большая можна скрины правил как правильно создать правила для троих интерфейсов и НАТА, звездочки везде это не выход :) Заранее спасибо.
-
ничего не понял про какие-то ресурсы прова, про какие-то динамические ДНС сервера
прописываешь ДНС в настройка:
208.67.222.222
208.67.220.220
и радуешься жизниа по поводу правил фаервола, на ване разреши http, https, mail, pptp, dns, ну и что там тебе еще нужно
-
WAN (PPTP)
pas gre * * * * *
pass ICMP *******
pas tcp * * * 1723 *
> pas tcp * * * * *
Pass tcp/udp ********
block * * * * * * -
ничего не понял про какие-то ресурсы прова, про какие-то динамические ДНС сервера
прописываешь ДНС в настройка:
208.67.222.222
208.67.220.220
и радуешься жизниа по поводу правил фаервола, на ване разреши http, https, mail, pptp, dns, ну и что там тебе еще нужно
По поводу ДНСов есть свои 10.1.0.11 для локалки провайдера и 195.95.171.2, и пфсенс получает их на автомате, что видно с скрина conectppp.jpg в предыдущем посте (ISP DNS Server обе ипихи есть) но по имени тость yandex.ru с самого пфсенса не пингуеться, тока по ИП узла. С машины которая стоит после ПФСЕНСА могу пропинговать только до шлюза сами интернет ресурсы не доступны. В чом проблема не очень понятно. Вродь маршута нехватает.
С теми ДНС ами что и Вы указали тоже самое
ping google.com.ua
ping: cannot resolve google.com.ua: No address associated with name
бред какой то, ведь в resolve есть запись о днс сервер
Господа, прошу помощи
-
ну что за бред проверять dns командой ping епрст?
host или nslookup покажите
-
-
-
-
host ya.ru 208.67.222.222что говорит?
потом покажи
traceroute 208.67.222.222 -
host ya.ru 208.67.222.222
;; connection timed out; no servers could be reached
host 208.67.222.222
222.222.67.208.in-addr.arpa has no PTR record
traceroute 208.67.222.222
traceroute to 208.67.222.222 (208.67.222.222), 64 hops max, 40 byte packets
1 * * *
2 спрятано.спрятано.com (10.1.0.10) 1.085 ms 1.045 ms 0.913 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 *^Cждать до упора пока не закончет ложить трасу нестал, результат тот же перед етим другой узел до упора трасировал
-
какой-то странный интернет, yandex значит пингуется, а opendns нет… хм..
а пропингуйте: 212.6.0.126, 4.4.4.2, 93.188.80.4 -
извиняюсь за то что ввел в заблуждение по поводу пингов интернетовских ресурсов.
с вебморды действительно пингуються по ип интернетовские адреса, но при этом я же выбираю интерфейс сам через какой послать, если же пинговать через Shell например: ping 208.67.222.222, то результат будет отрицательный.(принцып поторому получаю инетернет думаю стоить напомнить думаю это важно
есть локальная сеть провайдера
втыкаю в сетевуху
получаю ИП локальный при этом имею только доступ до городской сети и локальных ресурсов прова фтп, веб страница поддержки
что бы выйти в интернет нужно создать подключение ВПН ППТП 10.1.0.10)если в пфсенсе в шеле я выполню команду HOST 10.1.0.10 то получу в ответ имя. То есть днс локальной сети работает так как надо
пример трасировки маршута с поднятым впном виндова машина
C:\tracert 74.125.77.104
Трассировка маршрута к ew-in-f104.google.com [74.125.77.104]
с максимальным числом прыжков 30:1 <1 мс <1 мс <1 мс скрыто.скрыто.com [91.210.108.2]
2 1 ms <1 мс <1 мс vpn.скрыто.com [91.210.108.1]
3 1 ms 2 ms 4 ms 195.66.65.62
4 4 ms 5 ms 8 ms скрыто [80.93.113.69]
5 49 ms 13 ms 6 ms скрыто [80.93.125.46]
6 47 ms 48 ms 47 ms 72.14.239.14
7 62 ms 69 ms 72 ms 72.14.232.102
8 47 ms 54 ms 47 ms 209.85.248.182
9 50 ms 48 ms 51 ms 64.233.175.246
10 51 ms 51 ms 50 ms 72.14.239.199
11 58 ms 55 ms 63 ms 209.85.255.110
12 51 ms 50 ms 52 ms ew-in-f104.google.com [74.125.77.104]Трассировка завершена.
скрин маршутов выше, в предыдущих постах. и что такое в машутах за link#8 и т.д?
-
Задолбался уже разгадывать ваши загадки
то пингуется, то не пингуется, то пингуется, но оказывается с вебморды, а с шела не пингуется…причем тут впн с виндовой машины? впн до провайдера или до pfsense?
Ссори, я не телепат, реально уже надоело
P.S. принцип подключения не у вас один такой, ничего в этом извращенного нет, как показалось на первый взгляд.. просто объяснять не умеете
Объясняю как делается на пальцах при таком раскладе, больше объяснять не хочу
допустим вы получили по dhcp: 10.3.70.16/24 шлюз 10.3.70.1
У провайдера есть две подсети для "локальных ресурсов" (провайдерских, внутренних): 192.168.0.0/16 и 10.0.0.0/8
чтобы попасть в "интернет" (мир) вам нужно поднять ВПН, но тогда вы не сможете увидеть внутренние ресурсыДобавляются просто два статических маршрута:
в pfsense это делается System -> Static routes
Interface ставите "wan", Destination network: 192.168.0.0/16, Gateway: 10.3.70.1все, пользуетесь
P.S. на будущее, команда/программа ping умеет выбирать интерфейс с которого производить пинг
например так:ping -S 192.168.1.100 ya.ru -
Добавил два маршута для локалки и ППТП сесии теперь и интернет работает так как положено и одноврименно локалка доступна провайдера с его ресурсами.
zar0ku1 еще раз прошу извинения за свои карявые объяснения и большое человеческое Спасибо за выделенное время и traceroute в нужном направлении. -
Так все получилось?
-
я же говорю все работает и интернет и локалка одновременно (тоесть при включеном pptp локалка не упала и доступна, понял в чем грабли) все на столько просто :). А главное стабильно работает, матеро себя ведет и это на таком барахле. (Осталось повесить ящик на стенку и куда то прицепить скрипт который при интерфейсе активном выдавал звук на системный динамик где вместо динамика весит светодиод. Ляпота ….......
-
В прошлом году пытался настроить через веб-интерфейс, но не удалось, пришлось править filter.inc Надеюсь, сейчас нашли красивое решение.
Провайдер предоставляет локальную сеть (у меня настроена на xl0), кучу пиринговых ресурсов, которые сразу доступны через шлюз по умолчанию.
Интернет подключается через VPN соединение PPTP. Чтобы пиринговые ресурсы оставались при этом доступны, приходится добавлять маршруты отдельным скриптом, а также правило NAT для локалки (в filter.inc добавить строчку):$natrules .= "\n# Outbound NAT rules\n"; /* Добавил своё правило для ната в локалку */ $natrules .= "nat on xl0 from 192.168.6.0/24 to any -> 10.70.251.93/32\n";Но это хак, а хочется, чтобы оба интерфейса (xl1 и ng0) можно было выбирать в веб-интерфейсе. К сожалению, я ничего не понимаю в php, чтобы исправить веб-интерфейс под себя. Для знающего человека это должно быть просто.
Вот кусочек из файла rules.debug для размышления:
# System Aliases loopback = "{ lo0 }" lan = "{ xl1 }" ng0 = "{ xl0 ng0 }" wan = "{ xl0 ng0 }" enc0 = "{ enc0 }"Зачем создавать столько дублирующихся алясов?
-
Зачем создавать столько дублирующихся алясов?
Это логически разные алиасы, и в разные моменты времени они могут не совпадать.
-
Зачем создавать столько дублирующихся алясов?
Это логически разные алиасы, и в разные моменты времени они могут не совпадать.
Можно ведь сделать свой аляс для провайдерской локалки применительно к случаю с pptp, чтобы он был доступен из веб-интерфейса и можно было применять для него правила NAT по portmapping. Кто-нибудь делал такое?
-
Алиасы не знают ничего про интерфейсы. Алиас - это некоторое имя, которое воспринимается фильтрами либо как набор IP/IP-сетей, либо как набор портов (зависит от типа алиаса). Другими словами, чтобы не писать десять правил на 10 IP, можно написать одно правило с алиасом, который содержит в себе эти десять IP. Ещё один прекрасный момент в алиасах, если ты используешь его в разных правилах и тебе нужно добавить подесть или IP в алиас, тебе не нужно лазить по всем правилам и менять, просто добавляешь или удаляешь из алиаса и всё.