Duas subnets na mesma interface lan
-
mas criar "ip alias" no linux e freebsd puro não tem problema com esse problemas relatados.
O gustavo mencionou o Endian. realmente é fácil.
O uso de VLAN só é compatível até onde eu sei.. com switchs com suporte vlan.. -
mas criar "ip alias" no linux e freebsd puro não tem problema com esse problemas relatados.
O gustavo mencionou o Endian. realmente é fácil.No pfSense também não tem problema (a ação em si). Entretanto, evitem rotear pacotes de redes diferentes sob uma mesma NIC sem o uso de VLAN. Uma coisa é fazer a interface responder por duas ou mais redes, outra é gerenciar tabelas de estados e ARP gigantescas nestas condições.
O uso de VLAN só é compatível até onde eu sei.. com switchs com suporte vlan..
Não é uma obrigatoriedade - Mas altamente aconselhável usar switchs com suporte a VLAN.
Até porque, não consigo imaginar alguém comprando uma switch hoje em dia que não seja gerenciável e não tenha suporte a VLAN.
Mas enfim, não é meu objetivo polemizar este post… Como diria uma velha comendo sabão, "gosto não se descute"! :)
-
Não é uma obrigatoriedade - Mas altamente aconselhável usar switchs com suporte a VLAN.
longe de ser polêmica.. é apenas troca de ideia..
Juro que não não sabia que podia usar o pfsense com vlan mesmo sem o switchs ter suporte, é possível ??
claro que é recomendado comprar switchs gerenciados. porém a grande maioria de empresas, principalmente as pequenas, olha mais para o preço
do que qualidade, o que encontra encore/dlink des-1024 é muito grande, -
longe de ser polêmica.. é apenas troca de ideia..
Claro, claro… falei apenas no sentido de não estender o tópico com redundância de ideias! ;-)
Juro que não não sabia que podia usar o pfsense com vlan mesmo sem o switchs ter suporte, é possível ??
Tecnicamente é possível (embora desaconselhável). O bom é sempre usar as VLANs (tanto na ponta do server quanto da switch) "tagueadas"!
claro que é recomendado comprar switchs gerenciados. porém a grande maioria de empresas, principalmente as pequenas, olha mais para o preço
do que qualidade, o que encontra encore/dlink des-1024 é muito grande,Vixe… mas é importante insistir em não usar "pau velho" nas infras. Quando da compra de equipamentos novos, acho irracional hoje em dia comprar uma switch (para este tipo de cenário) que não tenha suporte a VLAN. A diferença de valores é ínfima (não compensa)...
Abraços!
Jack -
Também sem querer polemizar, vou dizer dos conceitos que aprendi sobre VLAN:
Fora o gargalo numa única porta do switch ainda tem a questão do trunking e tempestade de broadcast (spanning tree). Pode até ser possível, mas não acredito que a rede, para os clientes dessa VLAN, fique disponível por mais do que alguns minutos. O loop de broadcast vai destruir tudo, pelo menos no conceito que aprendi.
Além disso, no próprio livro oficial do pfSense, na pag.175 cap.10.1, consta como requerimento básico Switch e NIC que suportem o protocolo 802.1Q. -
johnnybe++
-
Ate hoje nao entendo pq o pfsense eh complicado com lance do virtual ip
Não é complicado, só não vem com tudo configurado.
Você precisa conferir tudo(nat, regras, aliases, etc) e parar de usar os aliases "lan address, lan subnet, etc etc etc".
Já disse isso a um tempo atrás e repito hoje, Pfsense é firewall para administradores de redes, não para usuários.
Por exemplo: O UTM mencionado, com os módulos gratuitos, na configuração de proxy diz: quer ou não quer usar proxy enquanto o pfsense tem uma infinidade de telas e opções para habilitar o mesmo serviço.
-
Já disse isso a um tempo atrás e repito hoje, Pfsense é firewall para administradores de redes, não para usuários.
Discordo.. para mim firewall para administradores de rede é um freebsd/openbsd feito na mão.. pfsense
é uma UTM como qualquer outra.. o que muda é forma de usar.. tem UTM que é líder de mercado que
existe o mesmo conceito.. -
Migrei meus freebsd para pfSense para ter mais recursos de configuração e facilidade de backup.
O que precisava ter no pfsense que não exista, portei/migrei.
Pelos relatos que vejo aqui no fórum, a quantidade de recursos que o pfSense tem impressiona e assusta um leigo.
Uso por ser uma ferramenta completa e fácil de usar e personalizar.
Mas opinião e gosto é que nem * cada um tem o seu e não se discute. ;)
-
Siga o conselho do marcelloc (VLAN) e evite "Virtual IP" pra redes diferentes numa mesma interface.
Então tá. O virtual IP funcionou pra dar acesso à internet, mas foi necessário desabilitar o "Automatic outbound NAT rule generation" e criar a regra de NAT Outbound na mão. Ficou ruim e mais todo mundo falando pra não fazer então é melhor não fazer :)
Mas não tenho prática nenhuma com VLAN, apenas algum conhecimento superficial teórico. Criei uma interface nova no pfsense com uma VLAN de tag 10 sobre a mesma interface da LAN. NAT automático, regras de firewall, tudo parece mais bonito assim e sem mistérios até aqui.
-
interface LAN: bge0, 192.168.0.252/24
-
interface LAN10: VLAN 10 on bge0, 10.0.0.5/24
Daqui pra frente começa o mistério e (minha) ignorância, e pra poder pedir ajuda acho melhor explicar a motivação.
Em minha rede, meu DHCP atribui ips da rede 192.168.0.0/24 para mac addresses conhecidos e 10.0.0.0/24 para desconhecidos, visitantes. Então não sei de qual porta do switch terei o cliente de qual rede.
Adicionei a VLAN tag 10 na porta do switch (Dell PowerConnect 2824), tagged, onde se conecta a bge0. Parece tudo certo, minha máquina (Ubuntu, 192.168.0.x) pinga 10.0.0.5, mas outra máquina na rede, com ip 10.0.0.8 não. Terei que adicionar a vlan a todas as portas do switch? Em meu caso são alguns switches e nem todos gerenciáveis… o que está faltando, onde estou errando, o que devo fazer?
Obviamente aqui alguém vai falar de captive portal, é o próximo passo, mas antes de qualquer forma preciso resolver isto, certo?
-
-
Como você não sabe que porta é de qual rede, não use VLANs.
Use somente uma faixa de IP na rede toda, reservando metade da faixa para clientes cadastrados e a outra para visitantes.
192.168.0.0/23 pode resolver. Do 0.1 ao 0.255 clientes, e do 1.0 a 1.254 visitantes.
-
Como você não sabe que porta é de qual rede, não use VLANs.
Use somente uma faixa de IP na rede toda, reservando metade da faixa para clientes cadastrados e a outra para visitantes.
192.168.0.0/23 pode resolver. Do 0.1 ao 0.255 clientes, e do 1.0 a 1.254 visitantes.Não dá, não cabe. VLAN untagged não seria uma solução?
-
-
Não dá, não cabe.
Não cabe onde????
As máquinas de minha rede não cabem em um /25, preciso de /24 e prevejo um futuro não muito distante em que precisarei de um /23, /22….. ou seja, não dá pra separar metade da rede pra visitantes, minha rede não cabe em /25.
-
não é de largar de mão? :o
-
As máquinas de minha rede não cabem em um /25, preciso de /24 e prevejo um futuro não muito distante em que precisarei de um /23, /22….. ou seja, não dá pra separar metade da rede pra visitantes, minha rede não cabe em /25.
Desculpe a pergunta mas…. onde você estudou/estuda redes????
Tenho redes corporativas segmentadas com vários /22 sem qualquer problema de broadcast.
Se você definir sua rede com um /22 e no dhcp reservar a faixa de ips com a quantidade que você quiser (mantendo a mascara e respeitando o limite de 1000 ips da faixa), vai funcionar...