5 Ethernetli Farklı Subnetli Sistem Kurulumu Yardım ( Resimli ) ÇÖZÜLDÜ
-
Merhaba arkadaşlar; Okulda Kısaca yapmak istediklerimi ve neler kullanılacağını anlatayım. 100 Mbit Fiber internet var Bölümler Arası fiber ağ kurulu her binada ve aynı tip gigabit switch kurulu yani donanımsal olarak bir sıkıntım yok. Mevcut yapıda şuanda pfsensi sağlıklı bir şekilde uzun zamandır kullanıyorum ama artık bazı değişikliler yapmak istiyorum.
5 çıkışlı bir makinam var; 1WAN 4 LAN şeklinde kullanmak istiyorum.Resimde Kullanmak istediğim Subnetleri yazdım.Kullanıcıların ağ ayarlarını değiştirmesi, sistemde değişiklik yapması ve program yüklemesi engellendi. Logları sağlıklı bir şekilde hem içinde hemde syslog ile kayıt ediyorum. DHCP loglarını usb ve ftp atıp KamuSM ile imzalıyorum.
Yapmak istediklerim ;
DHCP Kiralama süresi sıkıntısından dolayı MAC adreslerinden tüm IP leri sabitlemek
Bölümler arası iletişimi tamamen izole ederek sorun olması halinde sadece o birimin etkilenmesini sağlamak
Bölümlerin sadece anabinada NAS ve Paylaşıma açtığım klasöre erişim sağlamasını sağlamak
Kullanıcıları Gruplama yaparak farklı yasaklama ve izin ayarlarını yapmakAnlatımda eksiklerim olmuşsa kusura bakmayın yapmak istediğim sistem bu bunu nasıl yapabilirm nelere dikkat etmem lazım yardımlarınızı bekliyorum.
-
- DHCP kiralama sıkıntısından kastınızı anlamadım ama DHCP ekranından tek tek manuel olarak ip verebilirsiniz.
- Bölümlerarası iletişimi firewall kurallarından kısıtlayacaksınız. Hatta pfsense'de opt1 ve sonrası interfacelerde zaten default olarak herşey kapalı gelmesi lazım.
- Nas'a olan ulaşımı da yine firewall kuralı yazarak yapacaksınız. Windows paylaşım porotokolleri ile ilgili servislere izin vereceksiniz.
- Kullanıcı gruplama ile ilgili, eğer kastınız web trafiği ise squid+squidguard ikilisi işinizi görecek. Diğer hizmetler için de (smtp, ftp, dns, vsvs) firewall aliases ile ip bazlı olarak gruplama yapar, bunlara göre kural yazabilirsiniz.
-
Selam,
Benim anlayamadığım noktalardan biri de herşeyi baştan tanımlıyorsunuz dhcp ve statik ip adresleri tanımlamışsınız. Bununla birlikte 10 lu 172.16 lı ve 192.168 li gruplar kullanacaksınız. Bu durumda dhcp ve statik ip tanımlı bilgisayarlarınız/cihazlarınız birbirleriyle haberleşemeyecekler. Networkleri aynı olmadığı içi. Ör: Ana bina dediğiniz yerde aynı şekilde diğerlerinde de.
@DJM:
DHCP Kiralama süresi sıkıntısından dolayı MAC adreslerinden tüm IP leri sabitlemek
Ben bu gibi durumda olsaydım her bir lokasyon için farklı ethernetler tanımlar dhcp aralığını oradaki cihaz sayısıyla doğru orantılı olarak belirler. Ör: 50 pc/cihaz var ise DHCP ip range olarak 192.168.1.10-192.168.1.70 olarak belirler. kullanıcılar dhcp den ip aldıktan sonra Status kısmındaki DHCP Leases kısmından cihaz isimlerine/mac adreslerine göre statik ip tanımlamalarını yapar ya da bunu dhcp server kısmından da yapabilirsiniz. Aynı şekilde diğer lokasyon/binalar içinde 192.168.2.0/24, 192.168.3.0/24 olarak tanımlardım. Public ip kullanmadığınız için default c class olarak kullanabilirsiniz rahat bir şekilde. Tabi ki bu cihaz sayınızla da doğru orantılı olmalı ki sorrun yaşamayasınız. Bu arada gördüğüm kadarıyla en fazla 30 cihaz kullanıyorsunuz bir lokasyonda/binada.
Sevgilerle,
SGTR -
Selam SGRT;
Yapmak istediğim şey şu 5 Adet 1000 lik ethernet kartım var 1 WAN 4 LAN oalarka kullancam yani 4 ayrı network oluşturcam. Birbirlerini görmeyecekler kesinlikle sadece anabinada kullancağım NAS ve paylaşıma açacağım klasöre ulaşacaklar.Kullanıcılar dhcp den ip aldıktan sonra Status kısmındaki DHCP Leases kısmından cihaz isimlerine/mac adreslerine göre statik ip tanımlamalarını yapcam dediğiniz gibi ama DHCP den alınan ip adresi ile sabitleme yapcağımız ip ayrı subnetten olmayacakmı ?
Kısaca ayrı networklar kurma ve birbirinden izole etmek istiyorum daha yeni öğrendiğim içinde içinden tam çıkamadım sizce tam olarak ne yapayım ?
-
Selam tekrar,
Yapılacak adımlar,
PfSense donanımsal olarak hazır bir cihaza kurulur. 6 adet ethernet kartı tanımlanması yapılır. Her bir interface üzerinden kablo ile diğer binalardaki switch lere bağlantısı yapılır. Her bir interface üzerinde farklı ip blogu tanımlanır. Ör: Ana bina 192.168.100.0/24 (her zaman için LAN networkunuzu 192.168.0.0/24, 192.168.1.0/24 ya da 192.168.2.0/24 adreslerinden farklı yapmanız sizlere daha fazla rahatlık sağlayacaktır. Sebebine gelince dış kullanıcılarınız ileri ki bir zaman diliminde vpn ile bağlamaya kalktığınızda bu adresler genelde en çok sık kullanılan network adresleridir.) sonra sırasıyla 192.168.101.0/24, 192.168.102.0/24 ve diğer network ayarlarını da yaparsınız.
Kısaca yapınız
PfSense üzerinde şu şekilde olacaktır;
WAN metro oldugu için bu public bir ip blogu olacak isp tarafından verilen (hangisinden aldıysanız hizmeti)
LAN ip adresi : 192.168.101.x/24 (x sizin belirleyeceğiniz bir rakamdır)
LOKASYON2 ip adresi : 192.168.102.x/24 (x sizin belirleyeceğiniz bir rakamdır)
LOKASYON3 ip adresi : 192.168.103.x/24 (x sizin belirleyeceğiniz bir rakamdır)
LOKASYON4 ip adresi : 192.168.104.x/24 (x sizin belirleyeceğiniz bir rakamdır)
LOKASYON5 ip adresi : 192.168.105.x/24 (x sizin belirleyeceğiniz bir rakamdır)sonrasında da Services > DHCP Server sekmesine gelip her interface için ayarları yapacaksınız önceki mesajımdaki gibi buna ek olarak eğer ki lokasyonunuzda dns server var ise ilgili kısma o ip bilgisini girersiniz. Yazıcılarınız ve diğer network cihazlarınızın isimlerinin çözümlenebilmesi için. Bir de eğer ki Active Directory varsa daha sağlıklı çalışır yapınız. Her ethernet için o ethernet için verdiğiniz x değerini burada gateway olarak yazacaksınız. Takıldığınız bir nokta olursa yardımcı olmaya çalışırım.
Sevgilerle,
SGTR -
Selam tekrar;
Dediğiniz herşeyi yaptım diğer interfacelerden nete çıkamıyorum onun için ne yapmam gerekiyor ?
-
Ip yapılandırmanızı nasıl yaptınız? 5 farklı lokasyon ve bir internet için ethernet yapılandırmanız doğru mu? Assign interfaces kısmında neleri nereye atadınız? Ip adresi ne verdiniz? Metro ethernet yapılandırmanızı nasıl yaptınız?
Sevgilerle,
SGTR -
tekrar selam ;
wan 192.168.0.10
lan 1 - 192.168.100.1 - 192.168.100.50
lan 2 - 192.168.101.1 - 192.168.101.50
lan 3 - 192.168.102.1 - 192.168.102.50
lan 4 - 192.168.103.1 - 192.168.103.50lan1 den nete çıkabiliyorum ama diğerlerinden çıkamıyorum nete ?
-
Selam,
Bununla ilgili olarak ilgili interface lere ait resimleri paylaşır mısınız?
Sevgilerle,
SGTR -
-
Selam,
Öncelikle Lan ip adresini 192.168.100.254/24 olarak değiştirmelisin. Bir de DHCP Server LAN kısmında default gateway ve DNS adresine 192.168.100.254 yazmalısınız.
Sevgilerle,
SGTR -
Selam;
Dediğin gibi yaptım bu yaptıklarımı diğer lanlara yapcakmıyım peki ? nete diğerlerinden hala çıkamıyorum :(
-
Evet aynı şekilde diğerlerine de yapacaksınız.
Sevgilerle,
SGTR -
Selam;
Dediğiniz herşeyi yaptım yeniden başlattım ama yine olmadı girmiyor nete :(
-
Hangi interface lerden giremiyorsunuz? Lan üzerinden nete erişebiliyor musunuz?
Sevgilerle,
SGTR -
Selam;
Landan erişiyorum sorun yok opt1 opt2 opt3 den giremiyorum.. landa ne yaptıysam aynısı yaptım diğerlerinede
-
Diğer interface lerin ekran görüntülerini paylaşır mısınız?
Sevgilerle,
SGTR -
-
WAN ve LAN interface leri dışındakilerde fiziki olarak bağlantı hatası var görünüyor. Bu noktada bu interface lerin kablolarını ya da switchleri kontrol etmelisiniz.
Sevgilerle,
SGTR -
selam;
onlar bağlı değil evdeyim eve getirdim makinayı çıkartıp değir interface lere takıyorum sırayla öle deniyorum ondan dolayı hepsi bağlı değil.
-
Firewall > Rules > Opt1, opt2 ve opt3 sekmelerine gelip burada bir kural oluşturacaksınız. Action "PASS" interface "OPT1" (opt2 ekranında ise bu kısım opt2 olarak seçilmeli aynı şekilde opt3 için de geçerli) seçili olacak protocol "any" source "opt2 subnet" destination "wan subnet" ekleyip değişiklikleri uygulayacaksınız.
Sevgilerle,
SGTR -
kurumda denemeleri yapar yarın dönerim çok teşekkür edrim yardımlarınız için.. iyi geceler
-
Selam ;
Dediğiniz herşeyi yaptım malesef hala nete çıkamıyorum ip alıyor gatewaylar doğru nerde yanlış yapıyorum yada eksik yapıyorum çözemedim?
-
Merhabalar,
Nat ayarlarını bir kontrol edin. Outbound Nat Ayarından manuel olarak seçip her subnet için gerekli nat kurallarını yazın.(normalde doğru yapılandırdıysanız otomatik olarak nat kuralları görünecektir.)
-
Selam;
Outbound Nat kısmında hiçbirşey gözükmüyor benim buraya ne yapmam lazım ? ve nasıl yapılıyor bu kadar karmaşık olduğunu tahmin etmemiştim..
-
başka ne yapabilirim acaba tıkandım kaldım iyice ..
-
Selam tekrar,
Son ekran görüntülerini paylaşır mısınız?
Sevgilerle,
SGTR -
Selam;
http://forum.pfsense.org/index.php/topic,58209.0.html burda benim soruna benzer birşey var sanırım
-
Selam SGTR;
Yardımların ve zaman ayırdığın için teşekkürler sorun yardımlarınla çözüldü.
-
Selam,
Rica ederim yardımcı olabildiysek ne mutlu bizlere.
Sevgilerle,
SGTR -
Aynı sorun bende de var.
Yapı şöyle:WAN: 192.168.0.71/23
LAN: 192.168.1.1/24
OPT1: 10.0.0.1/24WAN ile LAN da bridge yaptım internete çıkıyorum(bridge yapmadan çıkamadım çünkü).
Gelelim OPT1 e. Yapılandırma şöyle:
1- OPT1 enable yaptım.
2- WAN ile OPT1 de bridge yaptım (yani bridge menüsünde ikitane brigde im oldu)
3- Firewall->Rules bölümünden OPT1 için aynı landaki gibi:
Source: OPT1 Subnet
Protocol: any
Destinatation: any
yaptım.
4- DHCP olarak:
Start: 10.0.0.2
End: 10.0.0.50
Gateway: 10.0.0.1
PC yi OPT1 bacağına takıyorum IP alıyorum ama internet yok(özellikle isim ile değilde IP ile sayfa açmayı deniyorum). -
WAN: 192.168.0.71/23
LAN: 192.168.1.1/24
OPT1: 10.0.0.1/24Selam,
Wan yapılandırmanızı tekrar gözden geçirin derim öncelikle. Wan ve Lan aynı subnette oldugu için sorun yaşıyorsunuz görünüyor.
Sevgilerle,
SGTR -
Merhaba değerli üstadlarım. henüz yeni pf sens ile uğraşmaya başladım. bir noktada takıldım yardımcı olabilirseniz çok sevinirim. benim cihazımda 4 adet ethernet kartı var. pfsense 2.0.1 release sürümünü kurdum.
lan1 10.0.0.1
lan2 10.10.0.1
wan1 192.168.3.1
wan2 192.168.1.1istediğim lan1 wan1 den lan2 wan2 den çıksın. bütün rule ve ayarları yaptım. squid çalışıyor makinede aynı zamanda. squid transparancy mode tiki kaldırdığım zaman lan1 wan 1 den lan2 wan2 den internete çıkıyor transparancy mode seçtiğim zaman aşağıdaki gibi bir hata geliyor bir türlü çözemedim. yardım ederseniz çok memnun olurum. üstadlarımızdan yardım bekliyorum saygılarımla.
ERROR
The requested URL could not be retrieved–------------------------------------------------------------------------------
While trying to retrieve the URL: http://www.google.com.tr/
The following error was encountered:
•Socket Failure
The system returned:(49) Can't assign requested addressSquid is unable to create a TCP socket, presumably due to excessive load. Please retry your request.
Your cache administrator is admin@localhost.
Generated Thu, 25 Apr 2013 15:06:53 GMT by localhost (squid/2.7.STABLE9)
-
Selam tekrar,
Yapılacak adımlar,
PfSense donanımsal olarak hazır bir cihaza kurulur. 6 adet ethernet kartı tanımlanması yapılır. Her bir interface üzerinden kablo ile diğer binalardaki switch lere bağlantısı yapılır. Her bir interface üzerinde farklı ip blogu tanımlanır. Ör: Ana bina 192.168.100.0/24 (her zaman için LAN networkunuzu 192.168.0.0/24, 192.168.1.0/24 ya da 192.168.2.0/24 adreslerinden farklı yapmanız sizlere daha fazla rahatlık sağlayacaktır. Sebebine gelince dış kullanıcılarınız ileri ki bir zaman diliminde vpn ile bağlamaya kalktığınızda bu adresler genelde en çok sık kullanılan network adresleridir.) sonra sırasıyla 192.168.101.0/24, 192.168.102.0/24 ve diğer network ayarlarını da yaparsınız.
Kısaca yapınız
PfSense üzerinde şu şekilde olacaktır;
WAN metro oldugu için bu public bir ip blogu olacak isp tarafından verilen (hangisinden aldıysanız hizmeti)
LAN ip adresi : 192.168.101.x/24 (x sizin belirleyeceğiniz bir rakamdır)
LOKASYON2 ip adresi : 192.168.102.x/24 (x sizin belirleyeceğiniz bir rakamdır)
LOKASYON3 ip adresi : 192.168.103.x/24 (x sizin belirleyeceğiniz bir rakamdır)
LOKASYON4 ip adresi : 192.168.104.x/24 (x sizin belirleyeceğiniz bir rakamdır)
LOKASYON5 ip adresi : 192.168.105.x/24 (x sizin belirleyeceğiniz bir rakamdır)sonrasında da Services > DHCP Server sekmesine gelip her interface için ayarları yapacaksınız önceki mesajımdaki gibi buna ek olarak eğer ki lokasyonunuzda dns server var ise ilgili kısma o ip bilgisini girersiniz. Yazıcılarınız ve diğer network cihazlarınızın isimlerinin çözümlenebilmesi için. Bir de eğer ki Active Directory varsa daha sağlıklı çalışır yapınız. Her ethernet için o ethernet için verdiğiniz x değerini burada gateway olarak yazacaksınız. Takıldığınız bir nokta olursa yardımcı olmaya çalışırım.
Sevgilerle,
SGTRSelamlar.
Bu konu ile alakalı değil ama OpenVPN ile ilgili sorun yaşıyordum. Şöyle ki;
lan:192.168.1.1 idi. VPN bağlantısı yaptığımda ağıma erişemiyordum. Dışarıda bağlandığım routerın verdiği ip aralığı benim lan aralığım olduğu zaman sorun oluyordu.
Bende Yukarıda bahsettiğiniz ip blokları gibi ağımı düzenleyince sorun düzeldi.Bu yazıyı daha önce okumuştum ama bulamamıştım. Bugün gezerken tesadüfen buldum.
Teşekkürler.