Interligar 2 redes, squid e outros problemas
-
Bom, inicialmente tinha colocado esse post num topico sobre ligar 2 redes, mas como apareceram outros problemas que não estavam ligados aquele topico, fiz um separado com todos eles juntos.
–> Problema 1:Tenho 2 redes lógicas e 2 links internet distintos.
A rede A com faixa de ip 192.168.1.x masc 255.255.255.0
Nessa Rede tem algumas maquinas, servidores web e samba ( arquivos)
É a rede principal, conectada a um link de internet de alta velocidade com ip real ( via radio).
O pfsense esta instalado em uma maquina com 2 placas de rede ( rede interna e internet),rodando squid.A rede B com faixa de ip 192.168.2.x masc 255.255.255.0
É a rede publica, conectada a um link de média velocidade
O pfsense esta instalado em uma maquina com 2 placas de rede ( rede interna e internet),tbm rodando squid.As duas placas de rede interna estao ligadas ao mesmo switch interno, pois as redes A e B estão na mesma rede física.
Os problemas:
-
As 2 redes tem que ter controle por mac, ou seja, somente as maquinas cadastradas em cada rede teriam acesso a rede (exemplo, maquina da rede B nao pode navegar pelo proxy da A, mesmo que mude o ip para o daquela rede).
Captive Portal seria uma solução ? -
A rede publica B precisa acessar o servidor web e samba da rede A
Vpn Ipsec seria a solução entre lans?
Sugestões são bem vindas .... Smiley
--> Problema 2:
Configurei em ambas as maquinas o squid e squidguard, mas se a pessoa nao marca a opcao de usar proxy no navegador ela passa sem problemas pelo pryx da rede. Gostaria que funcionasse apenas se o navegador tiver configurado proxy e porta.
Obs: O squid nao esta marcado para proxy transparante.--> Problema 3:
O link de INTERNET com ip real da rede A, esta conectado a uma rede via radio, onde existem diversas outras empresas.
Nesta rede existe um roteador wireles com ip 192.168.2.254, que é o mesmo ip da rede interna do meu roteador da minha rede B.
Problema que ao digitar esse ip da minha rede interna A, ta caindo nesse roteador wireless que ta la atras da interface de rede da internet. -
-
Bom, tentei fazer a dos pfsenses pelo ipsec, usando como base esse tutorial:
http://www.pfsense.org/mirror.php?section=tutorials/mobile_ipsec/
Fiz tal qual estava la, e nada ….. No status do serviçdo do ipsec aparece como sem nenhuma conexao. -
Problema 2
faça o seguinte em firewall rules lan, adicione uma regra para bloquear a saída para a porta 80, coloque source 127.0.0.1 e marque not, essa regra vai inverter a sua, logo apenas o pfsense poderá navegar.Problema 3 mude a faixa da sua rede, ou verifica com a prestadora de serviço de internet a possível mudança da faixa deles, ou melhor do mikrotik rsrs…
Quanto ao 1 isso envolve hardware talvez, tens que ver um switch bom, não sei como é a sua rede, mas pelo simples fato de ser apenas 1 switch vai ser complicado, pq não separa a rede mesmo... aliás, daria pra fazer isso ae com apenas uma máquina, virtualizando... só posso te dizer isso caso lembre de algo lhe comunico...
-
Olá Rafael, obrigaod pela ajuda.
Vou ver a solução 2 e testar.
Quanto ao problema 3:
Tanto a Rede A quanto a B estao ligadas no mesmo Link de Internet via radio, A rede A ta com ip real 200.100.10.x e a Rede B 200.100.10.y, O ip X ´nao tem limitação alguma e o Y ta limitado a 800 kb ( o link total da internet tem 3Mb), tudo feito a nivel de provedor.
Temos contratado um link de 3Mb e 8 Ips reais, Nossa mascara de rede pra esse link é uma 28 (255.255.240). E
Esse link de internet chega ate nos por uma rede de radios, todos em modo bridge ate o provedor.
Nessa rede existem outras redes de clientes deles, alguns com outros ips validos, a maioria dentro de uma subrede do provedor ( por ex 10.10.x.x).
Dividi a rede em A e B ( antes eram todas as maquinas numa unica rede), exclusivamente pelo controle de banda. Pois tenho aprox 40 maquinas ( de um total de aprox 120) que usam serviços on-line em tempo integral e precisam de uma banda garantida, o que nao conseguia fazer com todos os computadores na mesma rede, ou usando o mesmo protey/firewall.
O problema é que nessas 40 maquinas da rede A esta o servidor de arquivo SAMBA, que a rede B tambem precisa acessar. ( o acesso ao servidor web consegui resolver).
E surgiu outro problema: Compartilhamento de impressoras: que so funcionam entre maquinas que estao na mesma rede, e tem salas que tem 2 maquinas na rede B e 1 uma na A, dae ela nao imprimi na impressora da B. Dae tenho que ou colocar todas na rede A ou todas na B. -
Outra questão: ???
Pra facilitar, não seria possível colocar todas as maquinas na mesma rede ( ex 192.168.6.x) e a nivel de squid ( ou outro)fazer o controle de banda das maquinas? Baseado em macs adress? Tenho toda a lista de endereços da rede A e B.
A minha preocupação basica é:
Essas 40 maquinas que usam serviços on-line diversos precisam ter uma prioridade de banda sobre as demais. -
bom controle de banda é na 2, na 1.2.3 o máximo é uma priorização por serviço, complicado…
-
Se implementar um único proxy com squid e squidguard ( para controle de sites), com autenticação por usuarios (usuario e senhas individuais). Não é possível fazer algum controle de velocidade de download individual a nível do squid?
-
Bom, devido a alguns problemas tive que reunir as 2 redes numa unica .
O proxy consegui fazer com que nao navegue se nao estiver com proxy e porta configurados no cliente.Uso o lightsquid pra ver os relatorios de acesso. è possivel fazel alguma mudança na configuracao para que ele exiba alem do ip o nome da maquina ( ainda nao estou usando proxy autenticado)?
Algo como uma lista com ips - nome pra ajudar na hogra de ler os logs -
…
Uso o lightsquid pra ver os relatorios de acesso. è possivel fazel alguma mudança na configuracao para que ele exiba alem do ip o nome da maquina ( ainda nao estou usando proxy autenticado)?
Algo como uma lista com ips - nome pra ajudar na hogra de ler os logsTem sim. Você vai precisar editar dois arquivos:
/usr/local/etc/lightsquid/realname.cfg
/usr/local/etc/lightsquid/realname.cfg.distBasta inserir e associar, nos arquivos acima citados, o IP com o nome do host ou usuário, conforme sua preferência.
Exemplo:192.168.1.110 nome_máquina1
192.168.1.112 nome_máquina2
192.168.1.114 …
192.168.1._n nome_máquina_n
