Объединение ресурсов разных подсетей(вро

bidjo

Доброго времени суток.
Есть DHCP сервер на Ubuntu server 10.04, на нём SQUID + DHCP, сетка предположим 192.168.1.1
Появилась задача, сделать доступ на закрытые сайты некоторому кол-ву компьютеров:)
Настроил на компьютере с двумя сетевыми pfsense 2, купил VPN Доступ на hideme.ru, настроил подключение к своей проксе на убунте (используется в качестве шлюза) и по PPTP к серверам Hideme.ru, раздаче этого всего анонимного траффика по DHCP серверу к компьютерам. Естественно, эти некоторые компьютеры подключенные к pfsense получают другие IP, предположим 192.168.2.1

Проблема:
Не могу обьединить эти подсети, что бы был доступ из каждой подсети в ресурс другой подсети.
Вроде бы создал бридж между WAN и LAN, и даже из подсети Pfsense пингуется подсеть ubuntu, но наоборот (с убунты) pfsense сеть не пингуется, компьютеры не видятся.
Беда!
Помогите:)

bidjo

неужто никто не в курсе?

werter

Рисуйте схему.

bidjo

по ходу именно этот вопрос пока отпал:) ибо pptp соединение падает через сутки
то ли я криво настроил, то ли hideme.ru сервера умирают, то ли эр-телеком решил позакрывать доступ:)

схема:
Роутер смотрящий к провайдеру, получает доступ в инет по PPOE
К роутеру подключен сервачек с двумя сетевыми, на нём Ubuntu 10.04 сервер, на нем DHCP+SQUID, прокся прозрачная, раздаёт все сама, настроен белый список сайтов для гостей и доступ куда угодно для персонала. Подсеть 192.168.1.1.  Во вторую сетевую подключен свитч, к нему порядка 20 компьютеров.

К нему подключен комп с pfSense 2.0, двумя сетевушками, естественно IP pfSense входит в группу персонала, для получения доступа куда угодно.
на нем поднят DHCP сервер + PPTP соединение с сервисами Hideme.ru. Подсеть 192.168.2.1. Во вторую сетевую воткнут свич, в который втыкаются 8 компьютеров.

Создал бридж, указал порты WAN-LAN. В итоге, с LAN(pfSense), WAN(Ubuntu) пингуется, наоборот нет.
Это конечно пригодится, но в связи с тем, что у меня интерфейс OPT1 (который PPTP) падает раз в сутки, ненаю почему, а потом самое что интересное, нивкакую не подымается, я решил перейти пока на самую свежую версию пффсенса. Посмотрим как там PPTP Работает, в другом офисе вроде все пашет, вот только настроил.
Но! Решил попробовать OpenVPN подключение к ресурсам Hideme.ru, создал соединение, создал интерфейс (OPT2),  но не понимаю что в нем указывать, там есть static, dhcp, ppoe, pptp, l2tp, none. Настраиваю по аналогии с PPTP, наверно в этом и косяки:) Само соединение горит зеленым, но IP не получаю от хайдми.
Есть у кого мысли?

werter

@ bidjo
На кой нужно звено в виде Убунты ? Поднимите все,  что Вам надо на pfsense (если это возможно) . И роутер Ваш убрать как уст-во, поднимающее линк - пускай pfsense всем "рулит". Нужен wi-fi ? Просто переведите роутер в режим простой AP или просто отключите на нем DHCP и воткните его LAN-ом в одну сеть с pfsense.

Не стоит городить огород из 3-ех железок, к-ые дублируют друг друга. Ибо запутаетесь c написанием правил и двойным-тройным NAT-ом.

P.s. Роутер - модель ?

bidjo

@werter:

@ bidjo
На кой нужно звено в виде Убунты ? Поднимите все,  что Вам надо на pfsense (если это возможно) . И роутер Ваш убрать как уст-во, поднимающее линк - пускай pfsense всем "рулит". Нужен wi-fi ? Просто переведите роутер в режим простой AP или просто отключите на нем DHCP и воткните его LAN-ом в одну сеть с pfsense.

Не стоит городить огород из 3-ех железок, к-ые дублируют друг друга. Ибо запутаетесь c написанием правил и двойным-тройным NAT-ом.

P.s. Роутер - модель ?

dir100 :)
нужен серый инет на несколько компьютеров, на остальных все должно ходить по белым спискам.
с убунтой горя не имею, 2 года работает, только раз в месяц ребучу.

werter

нужен серый инет на несколько компьютеров, на остальных все должно ходить по белым спискам

В чем проблема сделать тоже на pfsense ?

Повторюсь , что не стоит городить огород из 3-ех железок, к-ые дублируют друг друга. Ибо запутаетесь c написанием правил и двойным-тройным NAT-ом.
Если нравится создавать проблемы, а затем их героически преодолевать - Ваше право, но я бы всё упростил. Тем более в Вашем случае - это реально.

bidjo

@werter:

нужен серый инет на несколько компьютеров, на остальных все должно ходить по белым спискам

В чем проблема сделать тоже на pfsense ?

Повторюсь , что не стоит городить огород из 3-ех железок, к-ые дублируют друг друга. Ибо запутаетесь c написанием правил и двойным-тройным NAT-ом.
Если нравится создавать проблемы, а затем их героически преодолевать - Ваше право, но я бы всё упростил. Тем более в Вашем случае - это реально.

сделал по вашему совету, подключил напрямую к дир 100 сервачек с pfsens, и вы знаете….
вместо arpresolve: can't allocate llinfo for 10.0.0.1 он начал писать arpresolve: can't allocate llinfo for 192.168.0.1
:o

werter

сделал по вашему совету, подключил напрямую к дир 100 сервачек с pfsens, и вы знаете….

Я вроде советовал сделать pfsense уст-вом, поднимающим линк и рулящим всем , не ? Причем здесь dir-100 ?

bidjo

@werter:

сделал по вашему совету, подключил напрямую к дир 100 сервачек с pfsens, и вы знаете….

Я вроде советовал сделать pfsense уст-вом, поднимающим линк и рулящим всем , не ? Причем здесь dir-100 ?

мне надо нагородить огород, сделать доступным 1 комп из сети пфсенса в сети убунты.
если вы можете помочь советом, прошу вас
если вам охота покритиковать других людей, пишите посты в курилке, если она тут есть

werter

если вы можете помочь советом, прошу вас

Так вроде Вам никто кроме меня и не помогает. Разве нет?

P.s. Повторюсь в к-ый раз. Если в Вашей ситуации возможно оставить только pfsense, избавившись от остальных устройств - избавляйтесь.

P.p.s. И да, вьюноша, не стоит сразу пытаться послать куда по-дальше. Ибо останитесь со своим "огородом" и своей глупостью наедине.

bidjo

@werter:

P.s. Повторюсь в к-ый раз. Если в Вашей ситуации возможно оставить только pfsense, избавившись от остальных устройств - избавляйтесь.

P.p.s. И да, вьюноша, не стоит сразу пытаться послать куда по-дальше. Ибо останитесь со своим "огородом" и своей глупостью наедине.

оставить невозможно, слишком мало использую пфсенс что бы ему безусловно доверять.
приходится копать грядки!
если я вас чем то задел, извиняюсь:)
вчера создал правило, могу заходить на веб морду пфсенсы, а теперь осталось разобратся, как из сети пфсенса сделать доступ сети убунты, на один лишь комп, и доступ таким образом, что бы можно было лишь заходить в расшаренную папку убунтового клиента, с машинки под управлением Win7. Вроде как надо открыть доступ к ip xx.xx.xx.122 по портам NetBios и еще чего то там.  Главное что бы широковещательные запросы с другой сети не просачивались, а то создал бридж+интерфейс…ребут компа клиента....вуаля, DHCP сервер бубунты просочился в сеть пфсенсы и давай им там свои IP присваивать ;D
ужс