Nat и pfSense-1.2.3-RELEASE-LiveCD-Installer.iso
-
- понял, squid у вас не прозрачный
- покажите```
pfctl -sn | grep nat
понял, squid у вас не прозрачный - поидее если он будет прозрачный то должно работать - но это не выход…
pfctl -sn | grep nat
nat-anchor "pftpx/" all
nat-anchor "natearly/" all
nat-anchor "natrules/*" all
nat on vr0 inet from 169.254.0.0/16 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin
nat on ng0 inet from 169.254.0.0/16 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin
nat on vr0 inet from 169.254.0.0/16 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin
nat on ng0 inet from 169.254.0.0/16 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin
nat on vr0 inet from 169.254.0.0/16 to any -> (ng0) port 1024:65535 round-robin
nat on ng0 inet from 169.254.0.0/16 to any -> (ng0) port 1024:65535 round-robinпоискав по форуму наткнулся на мысль что pfsense как то не так обрабатывает ng0 ...
зы freebsd (точнее pfsense) поставил первый раз в жизни, до этого имел дело с debian, поэтому не знаю куда чего ткнуть!
-
Во первых - второе правило в Lan не нужно, т.к. первое все из локальной сети разрешает
Вот вторых - на клиентских компьютерах какой стоит шлюз по умолчанию? т.е. если у них стоит не IP 169.254.0.30, то без сквида инет не будет работать.И правда, а зачем была выбрана сеть 169.х.х.х?
-
Âî ïåðâûõ - âòîðîå ïðàâèëî â Lan íå íóæíî, ò.ê. ïåðâîå âñå èç ëîêàëüíîé ñåòè ðàçðåøàåò
Âîò âòîðûõ - íà êëèåíòñêèõ êîìïüþòåðàõ êàêîé ñòîèò øëþç ïî óìîë÷àíèþ? ò.å. åñëè ó íèõ ñòîèò íå IP 169.254.0.30, òî áåç ñêâèäà èíåò íå áóäåò ðàáîòàòü.È ïðàâëà, à çà÷åì áûëà âûáðàíà ñåòü 169.õ.õ.õ?
что-то с кодировкой
-
@olv:
что-то с кодировкой
с кодировкой проблем нет
цитирую:
Во первых - второе правило в Lan не нужно, т.к. первое все из локальной сети разрешает
Вот вторых - на клиентских компьютерах какой стоит шлюз по умолчанию? т.е. если у них стоит не IP 169.254.0.30, то без сквида инет не будет работать.И правда, а зачем была выбрана сеть 169.х.х.х?
-
Во первых - второе правило в Lan не нужно, т.к. первое все из локальной сети разрешает
это я для уверенности сделал …
Вот вторых - на клиентских компьютерах какой стоит шлюз по умолчанию? т.е. если у них стоит не IP 169.254.0.30, то без сквида инет не будет работать.
да шлюз 169,254,0,30
И правда, а зачем была выбрана сеть 169.х.х.х?
это так исторически сложилось …
поставил pfSense-2.0-ALPHA-20091221-2130 таже ситуация, только еще + днс форвард толи не работает толи не подхватывает днс от пппое
также попробовал на двух версиях менять конфиг ван с пппое на dhcp (пппое модем подымал) - никак не помогло ... -
лень было искать, но все же нашел
в ядре freebsd стоит запрет на форвард для автоконфигурентной сети, меняйте айпишки и все будет ок ;)
не забывайте почитывать иногда RFCRFC 3927 (http://tools.ietf.org/html/rfc3927) пункт 2.6.2
/* RFC 3927 2.7: Do not forward datagrams for 169.254.0.0/16\. */ if (IN_LINKLOCAL(ntohl(ip->ip_dst.s_addr))) { ipstat.ips_cantforward++; m_freem(m); return; }Вы имеете право для своих подсетей использоваться только Private-Use Networks (RFC1918) к коим относится:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16читать тут:
инглиш http://www.faqs.org/rfcs/rfc1918.html
рашн http://rfc2.ru/1918.rfc -
Вы имеете право для своих подсетей использоваться только Private-Use Networks (RFC1918) к коим относится:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16спасибо
Вы оказались правы …
сеть досталась в наследство ... так что пока даже не знаю как подступиться к разрешению этого вопроса -
@olv:
спасибо
Вы оказались правы …
сеть досталась в наследство ... так что пока даже не знаю как подступиться к разрешению этого вопросасколько машин?
-
@olv:
спасибо
Вы оказались правы …
сеть досталась в наследство ... так что пока даже не знаю как подступиться к разрешению этого вопросасколько машин?
около 100 …
но если бы все просто касалось только смены ip адрес уже бы давно было все сделано,
немало софта привязано к ip адресам ... и тд и тпа можно вообще как нибудь вменяемо обойти это ограничение ...
что в понятии pfsense значит Firewall: Virtual IP Addresses ? -
Вот тоже немного про APIPA
http://wiki.compowiki.info/ChtoTakoeAPIPAСледует иметь в виду, что компьютер с адресом, полученным от этой службы, не может связываться с компьютерами в другой подсети или выйти в Интернет. Поэтому ОС Windows XP выводит сообщение на иконке соединения в трее
Состояние: Подключение ограничено или отсутствует. -
@olv:
около 100 …
но если бы все просто касалось только смены ip адрес уже бы давно было все сделано,
немало софта привязано к ip адресам ... и тд и тпа можно вообще как нибудь вменяемо обойти это ограничение ...
что в понятии pfsense значит Firewall: Virtual IP Addresses ?чего-то я не понял, а как это работало до pfsense? что служило шлюзом?
-
@olv:
около 100 …
но если бы все просто касалось только смены ip адрес уже бы давно было все сделано,
немало софта привязано к ip адресам ... и тд и тпа можно вообще как нибудь вменяемо обойти это ограничение ...
что в понятии pfsense значит Firewall: Virtual IP Addresses ?чего-то я не понял, а как это работало до pfsense? что служило шлюзом?
и счас служит debian …
основная цель моего изучения pfSense является load balancing из коробки ...
и что бы люди (в случае моего отсутствия) могли без меня разобраться хотя бы примерно (при помощи webGUI) что и где неработаетвсе таки - можно ли как то интерфейсу lan назначить второй ip адрес?
-
@olv:
все таки - можно ли как то интерфейсу lan назначить второй ip адрес?
да можно, можно.. толку-то? NAT работает с адресами компов в LAN.. все-равно не пустит..
-
-
vlan не трогай.. - это дугое, юзай virtual ip
-
Столько обсуждали и никто не проголосовал -)
-
тут попался один документ http://doc.pfsense.org/multiple-subnets-one-interface-pfsense.pdf в котором говорится что средствами гуи подобное можно будет сделать только в 1.3 … а так нужно ручками редактировать конфиг ...
-
@olv:
тут попался один документ http://doc.pfsense.org/multiple-subnets-one-interface-pfsense.pdf в котором говорится что средствами гуи подобное можно будет сделать только в 1.3 … а так нужно ручками редактировать конфиг ...
1.3 переименован в 2.0, пробуйте снапшоты
-
спасибо всем за помощь, топик можно считать закрытым
-