Вопросы по начальному конфигурированию
-
я советую саму простую схему:машина-клиент и машина-pfsense. Вручную дать адрес клиенту 192.168.0.2, default gw 192.168.0.1 , DNS 8.8.8.8 На LAN pfsense повесить адрес 192.168.0.1 В Rules на LAN надо разрешить все.
Если клиент выйдет в интернет, до можно уже баловаться и с DHCP, и с отдельным DNS сервером.Сделал это:
я советую саму простую схему:машина-клиент и машина-pfsense. Вручную дать адрес клиенту 192.168.0.2, default gw 192.168.0.1 , DNS 8.8.8.8 На LAN pfsense повесить адрес 192.168.0.1
Работает.
Значит проблема в настройках которые приходят от DHCP моего сервера когда он включен. Мне кажется что проблема может быть в моих серверах DNS. Я их указываю как дефолтные для клиентов. Может такое быть что DNS в локалке не могут соединится с серверами пересылки серверов провайдера и по этому нет конекта? -
тут уже проблема твоих серверов а не pfs. Пусть твой ДНС сервер сам делает ДНС запросы на pfs.
-
тут уже проблема твоих серверов а не pfs. Пусть твой ДНС сервер сам делает ДНС запросы на pfs.
Все починил. Проблема была в том что на контроллере не был прописан шлюз(facepalm).
Тему не сносите, мне ещё нужно с прокси и шейпером разобраться) -
Новый вопрос.
Как можно ограничить некоторым пользователям доступ в интернет?
Допустим у нас в сети 10 пользователей, но интернет должен быть доступен только 3м. В сети домен AD и DHCP сервер.
Я так понял что есть два варианта:
1й - в правилах фаервола запретить трафик на порты 80 и 443. Получается все клиенты не смогут получить доступ в нет, кроме тех кому в свойствах браузера/программы не будет прописан ручками данные прокси IP:port. Запретить изменять эти данные можно будет средствами AD.
2й - вариант, назначить в свойствах DHCP статические адреса для тех то будет иметь доступ в нет, в настройках фаервола создать алиас для такой группы, всем же остальным адресам запретить. Правда не могу понять как организовать порядок правил, если в конфиге прокси будут прописаны адреса которые ходят вне его.
Оба варианты работоспособны? Какие ещё есть простые способы? -
Для этого существует на pfs captive portal. Кому положено -тот через ввод пароля пользуется интернетом.
-
Captive Portal не подходит. Нужно чтобы доступ в интернет для конечного пользователя был "прозрачен". Чтобы пользователь не знал и не понимал почему у него есть интернет, а у соседа по отделу нету. А пароли и логины в Captive Portal лишняя морока.
Те варианты что я описал выше я попытаться смоделировать. Первый у меня получился, а вот с алиасами нет. Создал алиас, добавил туда IP клиента, отключил стандартное правило в фаерволе(доступ для всех внутри сети), и создал новое в котором разрешил все для ранее созданного алиаса, но интернет у клиента не работает. ЧЯДНТ? -
Дайте посмотреть.
-
Ещё вариант. Прописал всех юзеров которым нужен интернет в DHCP сервера(создал им стат IP адреса с привязкой к MAC). В правилах фаервола в Pfsense вторым правилом поставил запрет любого трафика применительно к алиас(диапазон 192.168.0.30-192.168.0.254, то есть все кому раздаются адреса динамически.) В таком режиме получается остается работать "прозрачный" прокси, и не нужно нигде ничего прописывать на клиентах. Да и статистика Lightsquid начинает показывать цифри по реальным IP а не с надписью "И кто это?".
-
получилось?
-
получилось?
Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.
-
-
получилось?
Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.
Ну squd, squidGuard понятно, а HAVP вам зачем? Чтобы тормозил? Прискорбно, что нет ему альтернативы.
Хочу увидеть насколько он тормозит.
-
получилось?
Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.
Ну squd, squidGuard понятно, а HAVP вам зачем? Чтобы тормозил? Прискорбно, что нет ему альтернативы.
Хочу увидеть насколько он тормозит.
Ну тогда хоть памяти от гектара поставьте и ХДД пошире
-
получилось?
Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.
Ну squd, squidGuard понятно, а HAVP вам зачем? Чтобы тормозил? Прискорбно, что нет ему альтернативы.
Хочу увидеть насколько он тормозит.
Ну тогда хоть памяти от гектара поставьте и ХДД пошире
Посмотрел, память действительно жрёт прилично. Я на виртуалке поставил 512 вот её почти всю и задействовало. Да и swap почти полностью занят. Как для больших сетей не вариант.
А вот с squidguard траблы, применяю фильтры а он их не задействует. Вернее задействует но мне пришлось перезагружать полностью как саму машину с pfsense так и клиента. Просто перезагрузка сервиса не помогает. Это так и должно быть? -
Посмотрел, память действительно жрёт прилично. Я на виртуалке поставил 512 вот её почти всю и задействовало. Да и swap почти полностью занят. Как для больших сетей не вариант.
А вот с squidguard траблы, применяю фильтры а он их не задействует. Вернее задействует но мне пришлось перезагружать полностью как саму машину с pfsense так и клиента. Просто перезагрузка сервиса не помогает. Это так и должно быть?:-\ Там на первой странице специальная кнопочка с индикатором есть.
-
Посмотрел, память действительно жрёт прилично. Я на виртуалке поставил 512 вот её почти всю и задействовало. Да и swap почти полностью занят. Как для больших сетей не вариант.
А вот с squidguard траблы, применяю фильтры а он их не задействует. Вернее задействует но мне пришлось перезагружать полностью как саму машину с pfsense так и клиента. Просто перезагрузка сервиса не помогает. Это так и должно быть?:-\ Там на первой странице специальная кнопочка с индикатором есть.
Разобрался. Ещё заметил такую недоработку. Если был установлен и включен HAVP, а затем его выключили, то прокси перестанет работать. Нужно заходить в свойства squid и удалить 2 строчки перенаправления, которые создал HAVP при включении, в поле Custom options.
Вопрос по шейперу. Я так понимаю когда выставляешь ограничени полосы пропускания на вкладке squid, то лимитирование идёт только по 443 и 80 порту. Если же включить Limiter в опциях Traffic shaper тогда канал лимитируеться не зависимо от того на какой порт он идёт. То-есть весь трафик работает в предлах лимитированного канала. Верно?
-
Вопрос по шейперу. Я так понимаю когда выставляешь ограничени полосы пропускания на вкладке squid, то лимитирование идёт только по 443 и 80 порту. Если же включить Limiter в опциях Traffic shaper тогда канал лимитируеться не зависимо от того на какой порт он идёт. То-есть весь трафик работает в предлах лимитированного канала. Верно?
В целом да.
-
Вопрос по шейперу. Я так понимаю когда выставляешь ограничени полосы пропускания на вкладке squid, то лимитирование идёт только по 443 и 80 порту. Если же включить Limiter в опциях Traffic shaper тогда канал лимитируеться не зависимо от того на какой порт он идёт. То-есть весь трафик работает в предлах лимитированного канала. Верно?
В целом да.
Ясно. Спасибо.
Теперь вопрос в том на какое железо ставить. Исходить приходится из того что старых/незадействованных ПК нету, комплектующих тоже. То-есть нужно купить ПК под чистую установку на голое железо. Покупать любой ПК начального уровня с двумя гигабитными картами, или взять http://hotline.ua/network-servery/hp-proliant-n40l-658553-421/ с дополнительной сетевой? Как вообще PFsense дружит с современным железом?
-
Я бы лучше собрал отдельно на АМД Socket FM2 (http://hotline.ua/computer-materinskie-platy/asus-f2a85-m/) + Athlon II 740 + 4 Gb DDR3 1600 + отдельную сетевую Intel на гигабит (http://hotline.ua/computer/kontrollery-platy/38179-40710-38191-38198-38235/) + 2 винта (на Ваше усмотрение) + недорогой корпус.
Затем установил бы на все это дело гипервизор Proxmox в software raid1 , а pfsense использовал бы уже в виде виртуальной машины.Таким образом вы получите не только pfsense, но и отличное поле для дальнейших экспериментов за немного большие деньги. Ну и плюс опыт ;)
-
Я бы лучше собрал отдельно на АМД Socket FM2 (ITX, m-ATX) + Athlon II 740 + 4 Gb DDR3 1600 + отдельную сетевую Intel на гигабит + 2 винта (на Ваше усмотрение) + недорогой корпус.
Затем установил бы на все это дело гипервизор Proxmox в software raid1 , а pfsense использовал бы уже в виде виртуальной машины.Таким образом вы получите не только pfsense, но и отличное поле для дальнейших экспериментов за немного большие деньги. Ну и плюс опыт ;)
Ого, это уже целый комбайн получиться!) Мне бы по проще, одна машина - одна задача. В данном случае нужен только шлюз. Просто вариант в том, собирать самому лень, заказывать на стороне сборку(зная как фирмы к этому относятся) не очень то горю желанием, а вот взять уже готовую систему от производителя. всё же хоть как-то выглядит.
