Пробросить белый ip. Нужен совет.
-
Опишу ситуацию:
wan - pppoe. внешнему интерфейсу присваивается адрес xxx.xxx.xxx.231, шлюз ххх.ххх.ххх.1.
lan - static 10.90.90.1/24
pfSense 2.0.1
Провайдером предоставлен пул внешних адресов: xxx.xxx.yyy.112/29.Требуется предоставить внутри сети хотя бы один белый адрес. (для какого-то тунеля)
Пробовал NAT 1:1 - не то.
Имеет ли смысл устанавливать третью сетевую? и как ее сконфигурить.
Как бы вы подошли к решению?
Или может я не то средство выбрал. -
Внутри сети кому?
-
другому роутеру (вроде cisco). Он сам и все что за ним не моей власти.
Это принципиально? -
Создать Virtual IP: xxx.xxx.yyy.113/29, интерфейс: LAN, тип: IP Alias
циске дать адрес: xxx.xxx.yyy.114/29 -
Спасибо за подсказку.
на самом деле указанное я уже пробовал сегодня, только мне помешали настроенные правила NATа попавшие на этот адрес.Удалил все правила, сделал роут на xxx.xxx.yyy.114/29 на внутренний интерфейс и узел стал доступен снаружи. :)
Подскажите еще, плз, как быть с Outbound?
Когда ковырялся с 1:1 - все получалось, а сейчас как не кручу, но все обращения наружу с xxx.xxx.yyy.114/29 показывают xxx.xxx.xxx.231.
Хотя даже само правило выглядит как-то нелепо:
на wan источник - xxx.xxx.yyy.114 представляться как - xxx.xxx.yyy.114 -
@RED:
сделал роут на xxx.xxx.yyy.114/29 на внутренний интерфейс и узел стал доступен снаружи. :)
Если под "роут" вы имеете ввиду статический маршрут, то все должно работать и без него. У вас классическая схема "сеть за сетью", pfsense после создания Alias IP на LAN интерфейсе сама знает, что xxx.xxx.yyy.112/29 находится на LAN.
Подскажите еще, плз, как быть с Outbound?
Когда ковырялся с 1:1 - все получалось, а сейчас как не кручу, но все обращения наружу с xxx.xxx.yyy.114/29 показывают xxx.xxx.xxx.231.
Хотя даже само правило выглядит как-то нелепо:
на wan источник - xxx.xxx.yyy.114 представляться как - xxx.xxx.yyy.114В NAT outbound не должно быть ничего касающегося xxx.xxx.yyy.112/29 (все удалить), ковыряйте правила брандмауэра на интерфейсе LAN. По аналогии с LAN subnet, нужно сделать правило пускающее сеть xxx.xxx.yyy.112/29 по любому протоколу на любой порт куда угодно.
-
Спасибо большое!
Кто бы мог подумать, что требуемое делается в 3 движения.
При чем все это я уже делал, но мешало мне, то что я уже пытался наворотить через NAT и routing.
Спасибо еще раз. -
Создать Virtual IP: xxx.xxx.yyy.113/29, интерфейс: LAN, тип: IP Alias
циске дать адрес: xxx.xxx.yyy.114/29Столкнулся с аналогичной проблемой "пробросить белый IP", сделал как выше указано, но провайдер выдал диапазон адресов xxx.xxx.xxx.32 xxx.xxx.xxx.33 xxx.xxx.xxx.34 маска 255.255.255.0 шлюз xxx.xxx.xxx.254 нужно пробросить адреса на компы с Windows XP. Что-то я сделал не так (новичок я, однако…) и когда пытаюсь прописать адрес xxx.xxx.xxx.32 на компе с Windows, получаю ответ: такой адрес уже есть в сети. Буду очень признателен если напишете мне строки, аналогичные вышеприведенным для моей ситуации.
-
2almo2006
Мало информации. Нет никакой уверенности, что у вас тот же случай, что и у RED. Поэтому все, что дал вам провайдер напишите сюда. Что за адрес у вас на WAN? xxx.xxx.xxx.32 xxx.xxx.xxx.33 xxx.xxx.xxx.34 - "серые" адреса? -
2almo2006
Мало информации. Нет никакой уверенности, что у вас тот же случай, что и у RED. Поэтому все, что дал вам провайдер напишите сюда. Что за адрес у вас на WAN? xxx.xxx.xxx.32 xxx.xxx.xxx.33 xxx.xxx.xxx.34 - "серые" адреса?В том то и дело, провайдер выдал эти 3 адреса, шлюз и 2 DNS, могу их привести полностью, но не хотелось бы, может в личку? Провайдер: г. Харьков, Триолан - может это прояснит ситуацию?
-
адрес на WAN xxx.xxx.xxx.34, провайдер указал его, как основной, ну я и подсунул его pfSense, как адрес WAN
-
Продолжайте, адреса все-таки "белые" или "серые"? (я просто не могу понять вашу фразу: "когда пытаюсь прописать адрес xxx.xxx.xxx.32 на компе с Windows, получаю ответ: такой адрес уже есть в сети"… этот "комп с Windows" за pfSense находился, или напрямую к кабелю провайдера подключали?).
Вообще, зачем вам пробрасывать белые ip в локальную сеть? Объясните цель, что вам это должно дать по-вашему?
Судя по всему, провайдер выдал вам "плоскую" подсеть, решение и тут есть, но все же надо бы сначала понять суть задачи. -
Провайдер утверждает, что адреса "белые": 37.xxx.yyy.234 - основной и два дополнительных: 37.xxx.yyy.232 и 37.xxx.yyy.233. Эти два последних адреса мне нужно прописать на компах с Windows XP (они "за pfSense"), это компы арендатором, и зачем им это нужно, они мне не говорят, я предлагал пробросить порт: "Нет, нам нужен IP адрес!" - вот такой вот был диалог на днях.
-
Уточню ситуацию: есть комп с pfSense, подключенный к провайдеру, он раздает Интернет арендаторам и владельцам всего этого "хозяйства", все было нормально, у арендаторов были адреса: 192.168.0.xxx, два арендатора добавились, и они требуют "реальные IP-адреса", "разведка доложила", что у одного из них обмен данными с сервером в Киеве, а у второго "контрразведка" облаяла мою "разведку" и ничего не сказала. Вот сижу и смотрю на все это глазами мышки, которая какает! А сделать им эти чертовы адреса надо, а опыта нет. Вот такая ситуёвина.
-
Для того чтобы дать даже одному арендатору реальный адрес прямо на его машину, вам нужно иметь минимум 4 реальных IP от провайдера.
1 - сеть
2 - шлюз (ваш pfsense)
3 - машина арендатора
5 - широковещательныйитого 8 белых IP на 2-х арендаторов
плюсом либо 2 отдельных кабеля от pfsense до арендаторов, либо vlan'ы
это если они не согласны ни на что кроме реального IP прямо на их машинах
если согласны на серые адреса, можно поставить все 3 ваших IP на WAN и натить 1:1 на арендаторов два из них.Вообще вам нужно их грамотно послать. Идите к своему начальству и объясняйте, что такие требования удовлетворить нет технической возможности (денег попросите на адреса и оборудование - подействует)
а арендаторы пусть идут к провайдеру за отдельным договором и тянут себе отдельные кабеля -
О-о-о-о! Это именно то, что я искал, я догадывался, что такие адреса простым способом я не раздам! Начальство я озадачу, но, похоже, с провайдером буду разбираться сам. У меня в связи с этим 2 вопроса: 1) в случае, если я добьюсь от провайдера IP-адреса четверками, приведенный в начале ветки рецепт сработает в моем случае? 2) можете мне написать подробнее настройки VLAN для моего нынешнего случая, чтобы я мог хоть что-то предъявить уже сейчас? (извините за назойливость, но уж очень сильно меня допекли начальнички+арендаторы)
-
Для того чтобы отдать сеть арендатору VLAN'ом нужно чтобы между ним и pfsense стоял умный свитч, который VLAN'ы понимает. Либо тупой свитч, но тогда сетевая карта арендатора должна понимать VLAN (где-то в ее свойствах в диспетчере оборудования). Во втором случае возможны варианты, информация противоречивая. В теории тупой свитч должен пропускать VLAN, но, говорят, некоторые и дропают.
-
Для того чтобы отдать сеть арендатору VLAN'ом нужно чтобы между ним и pfsense стоял умный свитч, который VLAN'ы понимает. Либо тупой свитч, но тогда сетевая карта арендатора должна понимать VLAN (где-то в ее свойствах в диспетчере оборудования). Во втором случае возможны варианты, информация противоречивая. В теории тупой свитч должен пропускать VLAN, но, говорят, некоторые и дропают.
Буду исходить из того, что, что свич у меня умный (есть еще 2, может какой-то и подойдет). Какие мои дальнейшие действия? И есть ли какая методика проверки свича на "интеллект" :)?
-
Просто модель свитча озвучте.
-
Я сейчас в другой конторе собрал "сеть" из компа-pfSense + компа-WindowsXP, буду пытаться передать компу с Windows "реальный" IP. Очень бы хотелось получить подсказку, что и где надо прописывать, а то уже "крыша едет", вроде бы и в файерволл надо залезть, и в NAT, видимо еще куда-то, о чем я и не догадываюсь.