Duas subnets na mesma interface lan
-
Também sem querer polemizar, vou dizer dos conceitos que aprendi sobre VLAN:
Fora o gargalo numa única porta do switch ainda tem a questão do trunking e tempestade de broadcast (spanning tree). Pode até ser possível, mas não acredito que a rede, para os clientes dessa VLAN, fique disponível por mais do que alguns minutos. O loop de broadcast vai destruir tudo, pelo menos no conceito que aprendi.
Além disso, no próprio livro oficial do pfSense, na pag.175 cap.10.1, consta como requerimento básico Switch e NIC que suportem o protocolo 802.1Q. -
johnnybe++
-
Ate hoje nao entendo pq o pfsense eh complicado com lance do virtual ip
Não é complicado, só não vem com tudo configurado.
Você precisa conferir tudo(nat, regras, aliases, etc) e parar de usar os aliases "lan address, lan subnet, etc etc etc".
Já disse isso a um tempo atrás e repito hoje, Pfsense é firewall para administradores de redes, não para usuários.
Por exemplo: O UTM mencionado, com os módulos gratuitos, na configuração de proxy diz: quer ou não quer usar proxy enquanto o pfsense tem uma infinidade de telas e opções para habilitar o mesmo serviço.
-
Já disse isso a um tempo atrás e repito hoje, Pfsense é firewall para administradores de redes, não para usuários.
Discordo.. para mim firewall para administradores de rede é um freebsd/openbsd feito na mão.. pfsense
é uma UTM como qualquer outra.. o que muda é forma de usar.. tem UTM que é líder de mercado que
existe o mesmo conceito.. -
Migrei meus freebsd para pfSense para ter mais recursos de configuração e facilidade de backup.
O que precisava ter no pfsense que não exista, portei/migrei.
Pelos relatos que vejo aqui no fórum, a quantidade de recursos que o pfSense tem impressiona e assusta um leigo.
Uso por ser uma ferramenta completa e fácil de usar e personalizar.
Mas opinião e gosto é que nem * cada um tem o seu e não se discute. ;)
-
Siga o conselho do marcelloc (VLAN) e evite "Virtual IP" pra redes diferentes numa mesma interface.
Então tá. O virtual IP funcionou pra dar acesso à internet, mas foi necessário desabilitar o "Automatic outbound NAT rule generation" e criar a regra de NAT Outbound na mão. Ficou ruim e mais todo mundo falando pra não fazer então é melhor não fazer :)
Mas não tenho prática nenhuma com VLAN, apenas algum conhecimento superficial teórico. Criei uma interface nova no pfsense com uma VLAN de tag 10 sobre a mesma interface da LAN. NAT automático, regras de firewall, tudo parece mais bonito assim e sem mistérios até aqui.
-
interface LAN: bge0, 192.168.0.252/24
-
interface LAN10: VLAN 10 on bge0, 10.0.0.5/24
Daqui pra frente começa o mistério e (minha) ignorância, e pra poder pedir ajuda acho melhor explicar a motivação.
Em minha rede, meu DHCP atribui ips da rede 192.168.0.0/24 para mac addresses conhecidos e 10.0.0.0/24 para desconhecidos, visitantes. Então não sei de qual porta do switch terei o cliente de qual rede.
Adicionei a VLAN tag 10 na porta do switch (Dell PowerConnect 2824), tagged, onde se conecta a bge0. Parece tudo certo, minha máquina (Ubuntu, 192.168.0.x) pinga 10.0.0.5, mas outra máquina na rede, com ip 10.0.0.8 não. Terei que adicionar a vlan a todas as portas do switch? Em meu caso são alguns switches e nem todos gerenciáveis… o que está faltando, onde estou errando, o que devo fazer?
Obviamente aqui alguém vai falar de captive portal, é o próximo passo, mas antes de qualquer forma preciso resolver isto, certo?
-
-
Como você não sabe que porta é de qual rede, não use VLANs.
Use somente uma faixa de IP na rede toda, reservando metade da faixa para clientes cadastrados e a outra para visitantes.
192.168.0.0/23 pode resolver. Do 0.1 ao 0.255 clientes, e do 1.0 a 1.254 visitantes.
-
Como você não sabe que porta é de qual rede, não use VLANs.
Use somente uma faixa de IP na rede toda, reservando metade da faixa para clientes cadastrados e a outra para visitantes.
192.168.0.0/23 pode resolver. Do 0.1 ao 0.255 clientes, e do 1.0 a 1.254 visitantes.Não dá, não cabe. VLAN untagged não seria uma solução?
-
-
Não dá, não cabe.
Não cabe onde????
As máquinas de minha rede não cabem em um /25, preciso de /24 e prevejo um futuro não muito distante em que precisarei de um /23, /22….. ou seja, não dá pra separar metade da rede pra visitantes, minha rede não cabe em /25.
-
não é de largar de mão? :o
-
As máquinas de minha rede não cabem em um /25, preciso de /24 e prevejo um futuro não muito distante em que precisarei de um /23, /22….. ou seja, não dá pra separar metade da rede pra visitantes, minha rede não cabe em /25.
Desculpe a pergunta mas…. onde você estudou/estuda redes????
Tenho redes corporativas segmentadas com vários /22 sem qualquer problema de broadcast.
Se você definir sua rede com um /22 e no dhcp reservar a faixa de ips com a quantidade que você quiser (mantendo a mascara e respeitando o limite de 1000 ips da faixa), vai funcionar...
