Aynı ağda 2 yada daha fazla segment kullanma..
-
ben olsam nas'ıda ayrı bir vlan'a koyarım.
Vlanlar arası erişimi de firewall kuralları ile düzenlerim.
Kullanıcıların olduğu tüm Vlanların, nas'ın olduğu vlan'a erişimini açarım. (tüm portları da açabilirsiniz sadece lazım olanları da)Aynı şekilde vpn ile dışarıdan geldiğinizde de, o da firewall ekranında yeni bir tab açacak. Vpn ile gelenlerin izinleri için de ona kural yazacaksınız. (nas'a erişsin, diğer vlanlara erişmesin gibi)
Aslında tüm sorularınızın cevabı aynı. Firewall rules.
Bütün trafiğin pfsense üzerinden geçeceği bir durum yaratıyorsunuz.
pfsense'in switche bağlandığı kart ve kablonun kalitesine çok önem verin ki orada bir darboğaz olmasın.Normalde vlan ile yapılandırmayıp, tüm cihazları tek networkte yapsa idiniz, kullanıcıların birbiri olan iletişimi switch içerisinde olacaktı. Switchlerin de genelde anahtarlama kapasitesi port sayısı çarpı hız kadar oluyor.
Ancak tüm trafiği pfsense üzerine alacağınız için, bu tek portun hızı sizin darboğazınız olabilir.
Örnek veriyorum : iki kullanıcı birbirine 3gb veri transfer ediyorken, bütün networkunuz bundan biraz etkilenecek. Ancak vlanlı yapı olmasaydı, bu trafik sadece bu iki kullanıcı arasında ve switch içerisinden geçecekti. Başka iki kullanıcınız birbirleri ile transferde bundan etkilenmeyecekti.
Bir de iöyle bir riskiniz var.
Pfsense makinesine birşey olursa ne yapacaksınız ? Acil durumda sistemi mutlaka başka bir donanımla yedeklemiş olmanız gerekli ki iş kaybı yaşamayın.
Neyse uzatmayayım benim aklıma gelenler bunlar,
-
evet dediğiniz gibi tüm sistem pfsense üzerine kuruluyor tüm giriş çıkışlar onun üzerinden gerçekleşecek aslında
bu kadar uğraşmaya gerek yok dediğiniz gibi hepsini vlanlara bölmeden
switchler aracılığı ile bağlar pfsense de ip dağıt der geçerim
şu an zaten öyle bir yapı kullanıyorum 2 switch var 16 lık iki switch arası bi kablo atılı
pfsense de bu switchlerden birine bağlı ip yi dağıtıyor dışardan giriş çıkışlar bunun üzerinden yürüyor..
ama bu çalışmada misafir kişi de benimle aynı ağda geziniyor..
tek bir şey için bana lazım vlan oda misafir hattı için benimle aynı segmentte bulunmaması lazım kendi başına farklı bi segmentten internete çıksın gitsin.. yabancı birinin bilgisayarı ağıma dahil olmasın
2 farklı segment çalıştırmak içinde yönetilebilir switch lazım iş buralara gelince ben de dedim her katı böleyim vlanlara yoksa aklımda böyle bir niyet yoktu…
senin bu konuda önerin ne olur ? ne tavsiye edersin.. ya da sen nasıl bir yol izlerdin..
dhcp log unu tutmak ta var işin içinde
-
pfsense makineye 1 ethernet kart daha takabiliyor musun ?
Eğer öyle ise, o karta bir tane wireless access point bağlar, onu da misafirlere ayırırsın. Böylece senin local ağına herhangi bir erişimleri olmaz.
Birden fazla AP bağlayacaksan da, bahsettiğim ethernet kartını yeni bir switche takar, tüm AP leri de bu switchin diğer portlarına bağlayıverirsin.
-
komplex yapılarla uğraşmak güzel oluyor aslında :)
daha fazla şeye öğrenmeye itiyor sizi bilişim sektöründeki en önemli şeydir merak edip uğraşmavlan'lar normalde çok büyük ve çok switch li ağlarda daha çok kullanılır benim yapımda da 6-7 tane ye varan switch olacak ama
kullanıcı sayısı maksimum 30 ve iphone SIII ve ipad ler havada uçuşuyor tabi :)) tabi altyapıyı en az %50 artacak şekilde hazırlıyorum.3 ethernetli bi pfsense makinesi var
biri wan
biri lan
biri wireless olabilirpfsense'den benim ağıma dahil olmayan switch'e kablo çekeceğim ve switch'den de misafir katlarında bulunan Access'lere çekeceğim captive portalı aktif edeceğim
3. Ethernet'i de farklı bir lan gibi kullanacağım yani anladığım bu dediğinden tavsiyelerin için teşekkürler
bakalım bu sistemde 5651 için pfsense uyarlanmış yöntemle loglama da sorun çıkacak mı..
ayrıca bu yapıda squid kullanmak istersem ki isteyeceğim nelere dikkat etmem gerek ?
senin şu an kullandığın yapı nasıl anlatabilir misin ne kadar karmaşık ya da stabil ?
-
squid için özel birşey yapmana gerek olmayacaktır.
zaten squid kendi kendine çalışıyor :) çok müdahele edilecek bir yeri yok gibi geliyor bana.ben vlan'lı bir yapı kullanmıyorum.
-1 tane kablolu lan var
-3 tane adsl var
-1 tane wireless ethernet kart var. misafirler için
-1 tane de acces point bağlı ethernet üzerinde ayrı bir lan var, bunu da şirket mobilleri kullanıyor
-1 ipsec üzerinde bir şube vartüm bunların birbirleri ile olan erişimleri tamamen firewall kuralları ile düzenli.
Örneğin, şirket içi mobil cihazlar web ve içerdeki exchange dışında hiçbirşeye erişemiyorlar.
Misafirler tamamen izole.
ipsec üzerindeki şube için karşılıklı tüm trafik serbest
Lan tarafından internete sadece exchange sunucusu mail atabiliyor clientlar atamıyor
vesaire gibi -
ben vlan'lı bir yapı kullanmıyorum.
-1 tane kablolu lan var
-3 tane adsl var
-1 tane wireless ethernet kart var. misafirler için
-1 tane de acces point bağlı ethernet üzerinde ayrı bir lan var, bunu da şirket mobilleri kullanıyor
-1 ipsec üzerinde bir şube varsenin yazdıklarına istinaden bende şöyle ufak bir kaç değişiklik yapmayı düşünüyorum
cisco'nun network similasyonu ile başarılı şekilde vlanları oluşturup her vlan a farklı segmentte ip dağıttım.
ama dediğim bu kadar çok vlan lı sisteme ihtiyacımız var mı ? açıkçası yok…
son olarak kafamda şekillenen şu
yeni yerimizde 2 tane en yüksek hızda olabilecek adsl varsa fiber ama yok sanırım..
iki hattı failover yapacam ip sec yapmıyoruz genelde kullanıcı bazlı ihtiyacı olan kullanıcıyı openvpn ile dahil ediyorum ağa çok ihtiyacımız yok yani vpn
2 hattı da bridge bağlayacağım
1 lan olacak bu lan içinde Access pointler olacak şifre ile ağa dahil olacaklar ama mac adresi tanımlı değilse dhcp ip dağıtmayacak
son Ethernet i de misafirler için ayıracağım pfsense den switch e çıkış yapacağım o switch e de Accessleri bağlayacağım yine captive portal aktif olacak bu hatta
şimdilik böyle planım inş sıkıntı çıkmadan atlatırım :)
sağol tekrar görüşlerini paylaştığın için
-
Rica ederim.
Sonuçları lütfen paylaşın burada -
merhaba şöyle bir sistem kurdum.
bir desktop a 2 ethernet kartı taktım vexp kurdum ve üzerine vmware kurarak pfsense kurdum ethernetlerin birini wan birinida lan olarak ayarladım.
modemden gelen kabloyu wan bacagına taktım, lan bacagındakini ise procurve swiche taktım, swichde taktıgım port için bir vlan oluşturdum ve farklı grupta ip verdim.
wi-fi baglantıları için de hp ap de vlan oluşturdum ve swichde oluşturdugum aynı ip blogunu verdim.
fakat çalışmıyor.
konu üzerindeki bilgileri okudum sanırım swich üzerinde ayırdıgım portu trunk yapmam gerekiyor aynı zamanda pfsense üzerindede interface vlanı oluşturmayılım.
bu işlemleri yaptıktan sonra eklemem gereken bir şey olucakmıdır ?
-
merhaba şöyle bir sistem kurdum.
bir desktop a 2 ethernet kartı taktım vexp kurdum ve üzerine vmware kurarak pfsense kurdum ethernetlerin birini wan birinida lan olarak ayarladım.
modemden gelen kabloyu wan bacagına taktım, lan bacagındakini ise procurve swiche taktım, swichde taktıgım port için bir vlan oluşturdum ve farklı grupta ip verdim.
wi-fi baglantıları için de hp ap de vlan oluşturdum ve swichde oluşturdugum aynı ip blogunu verdim.
fakat çalışmıyor.
konu üzerindeki bilgileri okudum sanırım swich üzerinde ayırdıgım portu trunk yapmam gerekiyor aynı zamanda pfsense üzerindede interface vlanı oluşturmayılım.
bu işlemleri yaptıktan sonra eklemem gereken bir şey olucakmıdır ?
öncelikle madem desktop pc niz var niye xp üzerine vmware kurdunuz ? direk pfsense'i niye kurmadınız ?
dhcp görevini hp ap'leriniz görecekse pfsense üzerinde bir işlem yapmanıza gerek yok ama pfsense'nin lan bacağını switch üzerinde trunk yapmanız lazım ki tüm ap'leri ve arkasındaki bilgisayarları görebilsin.
ap ler üzerinde yapmanız gereken
lan bloğunu switch üzerinde nasıl ayarladıysanız o şekilde değiştirmek ve dhcp'sini açmak yeterli olacaktırswitch in 1 nolu portu pfsense'nin lan bacağı diyelim bu port trunk olacak 192.168.1.1 pfsense ip'si
switch'in 2 nolu portu vlan20 192.168.2.1
switch'in 3 nolu portu vlan30 192.168.3.1(bu yazdığım ip switch'in o porttaki kendi ip'sidir. ona erişmek için kullanacağınız ip yani // ap'in ipsi 192.168.2.2 olarak ayarlanmalı ve 192.168.2.3'den başlayarak dhcp dağıtımına başlaması gerek)
-
@ hoscakal access point lerde WPA enterprise ile radius ayarlayip pfsense uzerinde radius sunucu yapilandirarak misafir/personel agi sekillendirilebilir sanirim. radius sunucuda kullaniciya gore ip tanimlama gibi bir secenek var.
acikcasi bu yapiyi kurmak icin bayagi kastim ama basarili olamadim :) -
kullanım yerine göre değişir.
benim şirket içindeki yapım şu şekilde
4 kartlı pfsense mevcut
1 TTnet ADSL
1 Uydu net
1 LAN
1 Misafir LANDrytek Vigor AP800 Accesslerim var bunlardan iki kablo çıkıyor biri kat switch'ine diğeri şirket ağına dahil olmayan bir switch'e gidiyor. Yönetilebilir switch varsa buna gerek yok IEEE 802.1q ile halledilir ama dhcp'yi loglama zorunluluğumuz olduğu için böyle bir yol izledim.
Switch'de direk pfsense'nin Misafir LAN bacağına bağlı
Freeradius ve Captive Portal ikilisini kullanıyorum misafir hattı için
Şirket çalışanlarının hattında ise
DHCP ile MAC bind yapılı olup bilinmeyen mac adreslerine ip dağıtılmamakta ama akıllı kullanıcılar ip bloğunu biliyorsa elle ip verip İnternet'e çıkmaya çalışıyorlar bunu da şöyle engelledim
HP 2520 L2 Switch ile Port korumasını aktif ettim bu ne demekswitch'in bir nolu portuna a kullanıcısının MAC adresini yazdım bu port'a başka bir mac adresli cihaz takıldığında switch seni ağa dahil etmiyor.
kullanılmayan portları da switch üzerinden kapatarak baya bir güvenlik sağlamış oldum.Uydu net ve TTnet internetleri failover şeklinde yapılandırılmış durumda yani biri giderse diğeri devreye girecek şekilde ayarladım
misafir hattaki amacım x kişi ağa bağlanıp benim server yazıcı ve çalışan bilgisayarlarına erişim sağlamaması internetine çıksın yeter.
dediğin yöntemle bunu ayarlamak pek mümkün gelmedi bana misafir ve çalışan ayrı ip blokları kullanmakta freeradius ayarladın ip bloklarını farklı verdiğini varsayıyorum gateway olarak ne yazacaksın baya detay var o dediğin yapıda
