Пробросить белый ip. Нужен совет.
-
Уточню ситуацию: есть комп с pfSense, подключенный к провайдеру, он раздает Интернет арендаторам и владельцам всего этого "хозяйства", все было нормально, у арендаторов были адреса: 192.168.0.xxx, два арендатора добавились, и они требуют "реальные IP-адреса", "разведка доложила", что у одного из них обмен данными с сервером в Киеве, а у второго "контрразведка" облаяла мою "разведку" и ничего не сказала. Вот сижу и смотрю на все это глазами мышки, которая какает! А сделать им эти чертовы адреса надо, а опыта нет. Вот такая ситуёвина.
-
Для того чтобы дать даже одному арендатору реальный адрес прямо на его машину, вам нужно иметь минимум 4 реальных IP от провайдера.
1 - сеть
2 - шлюз (ваш pfsense)
3 - машина арендатора
5 - широковещательныйитого 8 белых IP на 2-х арендаторов
плюсом либо 2 отдельных кабеля от pfsense до арендаторов, либо vlan'ы
это если они не согласны ни на что кроме реального IP прямо на их машинах
если согласны на серые адреса, можно поставить все 3 ваших IP на WAN и натить 1:1 на арендаторов два из них.Вообще вам нужно их грамотно послать. Идите к своему начальству и объясняйте, что такие требования удовлетворить нет технической возможности (денег попросите на адреса и оборудование - подействует)
а арендаторы пусть идут к провайдеру за отдельным договором и тянут себе отдельные кабеля -
О-о-о-о! Это именно то, что я искал, я догадывался, что такие адреса простым способом я не раздам! Начальство я озадачу, но, похоже, с провайдером буду разбираться сам. У меня в связи с этим 2 вопроса: 1) в случае, если я добьюсь от провайдера IP-адреса четверками, приведенный в начале ветки рецепт сработает в моем случае? 2) можете мне написать подробнее настройки VLAN для моего нынешнего случая, чтобы я мог хоть что-то предъявить уже сейчас? (извините за назойливость, но уж очень сильно меня допекли начальнички+арендаторы)
-
Для того чтобы отдать сеть арендатору VLAN'ом нужно чтобы между ним и pfsense стоял умный свитч, который VLAN'ы понимает. Либо тупой свитч, но тогда сетевая карта арендатора должна понимать VLAN (где-то в ее свойствах в диспетчере оборудования). Во втором случае возможны варианты, информация противоречивая. В теории тупой свитч должен пропускать VLAN, но, говорят, некоторые и дропают.
-
Для того чтобы отдать сеть арендатору VLAN'ом нужно чтобы между ним и pfsense стоял умный свитч, который VLAN'ы понимает. Либо тупой свитч, но тогда сетевая карта арендатора должна понимать VLAN (где-то в ее свойствах в диспетчере оборудования). Во втором случае возможны варианты, информация противоречивая. В теории тупой свитч должен пропускать VLAN, но, говорят, некоторые и дропают.
Буду исходить из того, что, что свич у меня умный (есть еще 2, может какой-то и подойдет). Какие мои дальнейшие действия? И есть ли какая методика проверки свича на "интеллект" :)?
-
Просто модель свитча озвучте.
-
Я сейчас в другой конторе собрал "сеть" из компа-pfSense + компа-WindowsXP, буду пытаться передать компу с Windows "реальный" IP. Очень бы хотелось получить подсказку, что и где надо прописывать, а то уже "крыша едет", вроде бы и в файерволл надо залезть, и в NAT, видимо еще куда-то, о чем я и не догадываюсь.
-
Если я правильно Вас понял, то мне нужно реализовать этот механизм, поправьте, если не так: http://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense
-
Нет, это из другой оперы что-то. Вам нужно вот что: сделать еще один интерфейс (не важно как вы этого добьетесь - вставите в pfSense еще одну сетевую карту и соедините ее отдельным кабелем с арендатором, или на существующей карте LAN сделаете VLAN и настроите свитч так, чтобы арендатор был в этом VLAN'е). Затем взять 4 IP, которые вам даст провайдер (скажем, x.x.x.32, x.x.x.33, x.x.x.34 и x.x.x.35), назначить второй из них (x.x.x.33) новому интерфейсу pfSense, третий (x.x.x.34) - компу арендатора, маска подсети и там и там: 255.255.255.252 (т.е. /30). Назначить шлюзом на компе арендатора адрес нового интерфейса pfSense (x.x.x.33) и настроить firewall (никакого NAT не надо, если есть - убрать!). Это - все!
-
Но это случай, когда на каждую клиентскую машину провайдер выдает четверку IP, с ним мне все понятно (надеюсь :-). А я сейчас хочу сделать хоть что-то с тем, что у меня есть, а именно: 3 адреса и шлюз - один на всех. Это реально или я бьюсь впустую?
Я нашел вот такой вариант: http://thin.kiev.ua/router-os/50-pfsense/455–ip-pfsense-20.html или это тоже не то? (правда и этот вариант у меня не работает) -
Я нашел вот такой вариант: http://thin.kiev.ua/router-os/50-pfsense/455–ip-pfsense-20.html или это тоже не то? (правда и этот вариант у меня не работает)
Данная статья называется - Несколько ip адресов на одном интерфейсе в Pfsense 2.0
Вы конечно можете попробовать присвоить WAN интерфейсу три дополнительных IP и сделать портфорвард всех портов на локальный
IP ваших арендаторов. Возможно что-то и получится похожее на белый IP. -
Собственно, я нечто подобное и имел в виду, но… пока ничего не работает, то ли мозгов не хватает, то ли это принципиально нереализуемо (это меня и бесит, что не знаю "Правильным путем идет товарищ...", то есть я, или нет, и опять пытаюсь создать из г... пулю!?)
-
Собственно, я нечто подобное и имел в виду, но… пока ничего не работает, то ли мозгов не хватает, то ли это принципиально нереализуемо
Реализуемо http://thin.kiev.ua/router-os/50-pfsense/608-portforvard-nat.html
Пробуйте.
-
Спасибо, буду пробовать, если получится - хоть что-то смогу предъявить.
-
Ага! Собрал модель из двух компов pfSense + WIndows XP и… сработало! Завтра проверю на реальном "железе". Большое человеческое "угу" всем откликнувшимся на мой стон. Вот только не знаю, как убедиться, что комп с Windows XP "откликается" на тот адрес, который я задал, как alias IP в pfSense, можно как-то простым способом это посмотреть?
-
Ага! Собрал модель из двух компов pfSense + WIndows XP и… сработало! Завтра проверю на реальном "железе". Большое человеческое "угу" всем откликнувшимся на мой стон. Вот только не знаю, как убедиться, что комп с Windows XP "откликается" на тот адрес, который я задал, как alias IP в pfSense, можно как-то простым способом это посмотреть?
Откл. (временно) встроенный брэндмауэр или др. аналогичное ПО в системе, разрешите (временно) удаленный доступ на нем (RDP). Затем извне телнет на 3389. Если пройдет - все ок, нет -значит что-то не так. Это первое , что пришло в голову. Ну и пинг проверьте.
-
Вот только не знаю, как убедиться, что комп с Windows XP "откликается" на тот адрес, который я задал, как alias IP в pfSense, можно как-то простым способом это посмотреть?
Если все порты открыты - пинг на белый айпи. Если локальную машину отключить - пинги пропадут. Еще можно пуск - выполнить-
\ белый-ip - Enter -
2 almo2006
Ну теперь готовьтесь ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости. -
2 almo2006
Ну теперь готовьтесь ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.У человека арендаторы. Пробросит айпишник и предупредит. А там пусть сами парятся с безопасностью. Я бы в такой ситуации, делал физически отделенную локальную сеть - для таких смелых (недопонимающих) Дабы не навредить своей сетке. :-)
А в доке про пробросу IP, имеется предупреждение на этот счёт.
-
2 almo2006
Ну теперь готовьтесь ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.У человека арендаторы. Пробросит айпишник и предупредит. А там пусть сами парятся с безопасностью. Я бы в такой ситуации, делал физически отделенную локальную сеть - для таких смелых (недопонимающих) Дабы не навредить своей сетке. :-)
А в доке про пробросу IP, имеется предупреждение на этот счёт.
Тогда уж отдельная сетевая + VLAN. И как недорогой вариант - dir-100 в кач-ве L2-свитча с этим справится.
