Завернуть трафик? Как?
-
-
Вот одна схема такая
Офис > [pfsense bridge] > [cisco] > –--- >[GK головная компания]
Структуру сети менять нельзя, циской и каналами рулят из головы, но при этом контроля доступа в инет никакого, за исключением фильтрации (порно/развлекухи). На pfSense стоит сквид/гард + некоторые правила для контроля любителей пошариться на чужих компах. По сути из ГК не видно как трафик идет, + при падении pfSense простой перетык кабеля восстанавливает сеть в секунд, не считая отключения инета.
-
Возможно off-topic, но всё же интересно - а где ты реально используешь бриджи, в каких сценариях?
Позволь я скажу. У меня и многих моих знакомых pfsense чаще всего используется дома, а на работе в основном Кошки - с ними спать спокойнее. ;D Люди, которым понадобился pfsense дома по определению не просто юзеры - им мало того, что дают "коробки", и у них не один комп дома, включая буки.
В этой ситуации бридж между LAN и WiFi очевиден, т.к. возня с двумя локальными подсетями в данной ситуации бессмысленна, имхо.
На данный момент в pfsense+сквид+хавп эта проблема до конца не решена. Извращениями можно кое-чего добиться, но не всего. -
Возможно off-topic, но всё же интересно - а где ты реально используешь бриджи, в каких сценариях?
Позволь я скажу. У меня и многих моих знакомых pfsense чаще всего используется дома, а на работе в основном Кошки - с ними спать спокойнее. ;D Люди, которым понадобился pfsense дома по определению не просто юзеры - им мало того, что дают "коробки", и у них не один комп дома, включая буки.
В этой ситуации бридж между LAN и WiFi очевиден, т.к. возня с двумя локальными подсетями в данной ситуации бессмысленна, имхо.
На данный момент в pfsense+сквид+хавп эта проблема до конца не решена. Извращениями можно кое-чего добиться, но не всего.Не будем трогать тему на счёт спокойного сна с кошками, но вот про "бридж между LAN и WiFi" - как это у тебя на железном уровне реализовано? Например, приходит ко мне провайдер кабелем CAT5…. продолжи пожалуйста.
-
Не будем трогать тему на счёт спокойного сна с кошками, но вот про "бридж между LAN и WiFi" - как это у тебя на железном уровне реализовано? Например, приходит ко мне провайдер кабелем CAT5…. продолжи пожалуйста.
Пришёл и вторкнулся в eth порт роутера, в нашем случае пфсенса (WAN). Ещё один CAT5 вышел из роутера (назовём LAN) и попал в свитч, там размножился, часть попала на малоподвижные компы, телефонные базы и т.п., а один на WiFi access point. К нему цепляются всякие буки, наладонники, иногда телевизоры. Всё живёт в одной подсети, проблем с внутренней маршрутизацией и раздачей DHCP роутером, а так же широковещанием нет.
Учитывая, что пфсенс лёгким движением руки превращается в WiFi AP, возникает законное желание убрать железный AP, сохранив топологию.
Я прекрасно понимаю, что всё прекрасно можно настроить и без бриджа между wifi картой и LAN, но в данном случае мы ничего не выигрываем, а скорее наоборот. Способа логически объединить 2 и более eth под Фрёй, кроме как бридж я не знаю. -
Не будем трогать тему на счёт спокойного сна с кошками, но вот про "бридж между LAN и WiFi" - как это у тебя на железном уровне реализовано? Например, приходит ко мне провайдер кабелем CAT5…. продолжи пожалуйста.
Пришёл и вторкнулся в eth порт роутера, в нашем случае пфсенса (WAN). Ещё один CAT5 вышел из роутера (назовём LAN) и попал в свитч, там размножился, часть попала на малоподвижные компы, телефонные базы и т.п., а один на WiFi access point. К нему цепляются всякие буки, наладонники, иногда телевизоры. Всё живёт в одной подсети, проблем с внутренней маршрутизацией и раздачей DHCP роутером, а так же широковещанием нет.
Учитывая, что пфсенс лёгким движением руки превращается в WiFi AP, возникает законное желание убрать железный AP, сохранив топологию.
Я прекрасно понимаю, что всё прекрасно можно настроить и без бриджа между wifi картой и LAN, но в данном случае мы ничего не выигрываем, а скорее наоборот. Способа логически объединить 2 и более eth под Фрёй, кроме как бридж я не знаю.Т.е. у тебя другая схема, чем у dvserg. Бридж между LAN и OPT1, а WAN отдельно в сторонке стоит. Ясно, спасибо.
-
Т.е. у тебя другая схема, чем у dvserg. Бридж между LAN и OPT1, а WAN отдельно в сторонке стоит. Ясно, спасибо.
Да, смысл бриджа у меня в другом, чем у dvserg, но эта схема очень востребована, для замены железных комбайнов 1WAN,4LAN+WiFi.
У меня, правда, есть одно усложняющее обстоятельство - отдельный PPTP тоннель до работы (кошаки), т.е. логически 2 WAN.
А с прозрачными бриджами (на проход) бились на работе, в частности в ESafe так сделано для прозрачной фильтрации и кеширования трафика (там Линух). Если б пфсенс так научили - был бы несомненный плюс. -
Простите, не поясните, что значит слово "кошаки" в данном контексте?
-
Простите, не поясните, что значит слово "кошаки" в данном контексте?
оборудование марки киско =)) (прим. cisco)
-
-
-
Пытался создать правила в Port Forward, чтоб все запросы по 80 порту заворачивались на проксю 3128, не получилось. Может он и заворачивает, но при попытке открыть в веб странице что-нибудь , пишет
Ошибка . Запрошенный URL не может быть доставлен. Прокся работает без транспарент режима. Подскажите что я неправильно делаю? -
Пытался создать правила в Port Forward, чтоб все запросы по 80 порту заворачивались на проксю 3128, не получилось. Может он и заворачивает, но при попытке открыть в веб странице что-нибудь , пишет
Ошибка . Запрошенный URL не может быть доставлен. Прокся работает без транспарент режима. Подскажите что я неправильно делаю?Чем не устраивает штатный прозрачный режим в сквиде?
-
Пытался создать правила в Port Forward, чтоб все запросы по 80 порту заворачивались на проксю 3128, не получилось. Может он и заворачивает, но при попытке открыть в веб странице что-нибудь , пишет
Ошибка . Запрошенный URL не может быть доставлен. Прокся работает без транспарент режима. Подскажите что я неправильно делаю?Чем не устраивает штатный прозрачный режим в сквиде?
Мне нужна аунтентификация.
-
Не испольльзуйте прозрачный прокси. Создайте wpad.
-
Не испольльзуйте прозрачный прокси. Создайте wpad.
Пытался сделать, только не работает.. если в браузере пишешь http://proxy.local/proxy.pac и wpad, то видит конфиги, а так браузер не хочет определять настройки.
Еще если ставишь управление GUI через HTTPS то и конфиги видны тоже через https .. соответственно браузер их никогда не найдет. не продуманно как -то все. ::) -
http://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid
читаем. думаем. На виндовс-станциях применяем утилиту proxycfg.
wpad.example.com - вот так должна выглядеть днс запись (для Автоматической настройки)
http://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid#Configure_DNS
веб сервер pfsense можно сконфигурировать на использование http и https. -
http://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid
читаем. думаем. На виндовс-станциях применяем утилиту proxycfg.
wpad.example.com - вот так должна выглядеть днс запись (для Автоматической настройки)
http://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid#Configure_DNS
веб сервер pfsense можно сконфигурировать на использование http и https.Зачем мне домен example.com если у меня просто локал , тут же ясно сказано, что wpad - host берет доменное имя машины "WPAD will take the domain name given to the machine, likely assigned by DHCP, and prepend "wpad." to it. If your domain is example.com, it will look for wpad.example.com." Конфиги доступны.., а настраиваться не хочет.
-
значит в вашем случае example.com = local и прописывать в DNS нужно wpad.local. Именно этот адрес ищет винда.
http://technet.microsoft.com/en-us/library/cc713344.aspx
Проверьте скачивается ли файл wpad с сервера
приведите сам текст вашего wpad.
И вот еще
http://technet.microsoft.com/ru-ru/library/ee957101.aspx