2 IP для одной сетвой карты

MrIgor

@pigbrother:

Нужен был доступ к ADSL модему в бридже.

Делал вроде так.

1. Interfaces: Assign. Создаем новый интерфейс, привязанный к WAN, назначаем ему адрес, например  192.168.1.10
2. Firewall: NAT: Outbound. Выбираем Manual Outbound NAT rule generation и жмем Save.
3. Создаем в Outbound NAT правило вида

%Interface%  10.0.0.0/24 * 192.168.1.0/24 * * *  NO

%Interface%  - имя интерфейса, заданное в пункте 1.

После этого  192.168.1.20 должен стать доступным из LAN 10.0.0.0/24

Не забудьте сделать бэкап конфигурации.

Спсб за совет.
Если через физический интерфейс поднимается PPPOE соединение (соединение через DSL модем), то pfsense нормально дает создать несколько интерфейсов через 1 физическое устройство. Но вот если на устройстве настроено получение IP адреса автоматом, то при попытке создать еще 1 интерфейс через эту сетевую плату - выдается ошибка

Scodezan

@MrIgor:

Нужно чтобы устройство с IP 192.168.1.20 было доступно из LAN.

VirtualIP alias разве не работает?

werter

@MrIgor:

Спсб за совет.
Если через физический интерфейс поднимается PPPOE соединение (соединение через DSL модем), то pfsense нормально дает создать несколько интерфейсов через 1 физическое устройство. Но вот если на устройстве настроено получение IP адреса автоматом, то при попытке создать еще 1 интерфейс через эту сетевую плату - выдается ошибка

1. Перевести модем в режим моста (bridge). Отключить на модеме DHCP, если при перевод в мост его не откл.
2. Настроить на WAN pfsense pppoe-соединение.
3. Создать на WAN pfsense Virtual IP из диапазона адресов dsl-модема.
4. Перевести NAT на pfsense в ручн. режим. Создать правило NAT (описано выше ув. pigbrother)
5. Отключить на WAN pfsense блокирование серых сетей. Создать в fw на LAN pfsense правило , разрешающее прохождение трафика из LAN на адрес модема.

pigbrother

2 werter

У ТС не модем, а Ethernet-радиоудлинитель (Wi-Fi или нечто подобное). К нему понятие "бридж" неприменимо

werter

@pigbrother:

2 werter

У ТС не модем, а Ethernet-радиоудлинитель (Wi-Fi или нечто подобное). К нему понятие "бридж" неприменимо

Прошу прощения. Не глянул картинку.

MrIgor

@pigbrother:

2 werter

У ТС не модем, а Ethernet-радиоудлинитель (Wi-Fi или нечто подобное). К нему понятие "бридж" неприменимо

Точно )

pigbrother

Получилось ли через VirtualIP?

MrIgor

@pigbrother:

Получилось ли через VirtualIP?

Исходные данные:
IP на который нужно попасть: 192.168.1.20
Интерфейс за которым находится этот IP: WAN
IP адрес интерфейс WAN получает по DHCP от провайдера (пусть будет 1.1.1.1)
Lan_net - внутренняя сеть диапазон 10.0.0.0/24
WAN_DHCP - название gatewa - я

Что пробовал:
1. Создал VIP тип IP Allias. Интерфейс WAN. IP 192.168.1.22
    ip 192.168.1.22 начал отвечать на ping из Lan_net
    Создал правило LAN LAN_net * 192.168.1.20 * WAN_DHCP
    Пробую пинговать ip 192.168.1.20 - в логах фаервола видно что пакеты пропускаются, но 192.168.1.20 не отвечает
    Подключился к pfsense по ssh и попробовал пинговать 192.168.1.20 - тоже безрезультатно.

2. Создал VIP тип Proxy ARP. Интерфейс WAN. IP 192.168.1.22
    ip 192.168.1.22 не отвечает на ping из Lan_net
    На вкладке NAT включил гибридный режим и создал правило:
    Interface - WAN
    Source - 10.0.0.0/24
    Source Port *
    Destination 192.168.1.0./24
    Destination Port *
    NAT Address 192.168.1.22
    NAT Port *
    Static Port NO
    Ответа на пинг к 192.168.1.20 нет

подкиньте еще идей что попробовать )

pigbrother

2. Firewall: NAT: Outbound. Выбираем Manual Outbound NAT rule generation и жмем Save.
3. Создаем в Outbound NAT правило вида

Это и дальше - пробовали?

DasTieRR

@MrIgor:

Добрый день, уважаемые форумчане.
Помогите решить задачку. На картинке нарисовал подключение к ISP.
Нужно чтобы устройство с IP 192.168.1.20 было доступно из LAN. На текущий момент оно доступно только если WAN интерфейс получил IP адрес, но если радиоканал не работает и IP адрес не назначается, то устройство не доступно.

Может я что то упустил, но к чему такие сложности? Почему не назначить wan интерфейсу одну статику?

У меня есть сервер, где идёт сначала интернет - роутер потом сервер и локалка, из локалки свободно захожу на роутер (роутер и локалка в разных подсетях), настраивал доступ правилами fw.

MrIgor

@DasTieRR:

Почему не назначить wan интерфейсу одну статику?

Уточните пожалуйста вашу мысль. Мне IP адрес выдает провайдер динамически. Как я назначу статику?

DasTieRR

@MrIgor:

@DasTieRR:

Почему не назначить wan интерфейсу одну статику?

Уточните пожалуйста вашу мысль. Мне IP адрес выдает провайдер динамически. Как я назначу статику?

ааа, это провайдер wan-у выдает 8.8.5.5?

Ну если нормальные варианты (с виртуальными ip) не сработают, то можно поставить вторую сетевую карту в сервер и забить на ней нужный  ip, но придётся поставитьпромежуточный свитч и вставить в него кабель от радиопередатчика и двух ванов.

MrIgor

@DasTieRR:

В настройках wan есть пункт статика. Посмотрите в разделе interfaces, там указано, какой ip получил wan и просто забить его вручную, вы же и так хотите статику вторым сделать, так почему не первым и основным?

Провайдер выдает белый IP адрес вида 1.1.1.1, а устройства находятся в серой подсети 192.168.х.х.
Если я вобью руками белый IP адрес - это не даст мне доступа к нужной подсети.

Scodezan

@MrIgor:

1. Создал VIP тип IP Allias. Интерфейс WAN. IP 192.168.1.22
    ip 192.168.1.22 начал отвечать на ping из Lan_net
    Создал правило LAN LAN_net * 192.168.1.20 * WAN_DHCP
    Пробую пинговать ip 192.168.1.20 - в логах фаервола видно что пакеты пропускаются, но 192.168.1.20 не отвечает
    Подключился к pfsense по ssh и попробовал пинговать 192.168.1.20 - тоже безрезультатно.

будьте внимательнее с fw, пробуйте аля

• 10.0.0.0/24 * 192.168.1.0/24 * * *
  и проверьте маршруты http://pfsense/diag_routes.php

p.s. проверьте необходимость изменения NAT Outbound, мне это приходилось крутить только когда надо стало раздавать c VIPs.

MrIgor

Мда, господа, виной стала как всегда банальная невнимательность….
Я, создавая VIP, назначил IP 192.168.1.22/32..то есть указал не ту маску подсети и соответственно никуда доступа получить не мог.
Сегодня осенило попробовать маску 24 и о чудо....все работает :)
Спасибо всем за ответы и помощь.

pigbrother

Ну почему же чудо.

Кстати, правило в Outbound NAT создавали?

MrIgor

@pigbrother:

Ну почему же чудо.

Кстати, правило в Outbound NAT создавали?

Нет, не создавал.
Хватило правил фаервола:
IPv4 ICMP 10.0.0.0/24 * 192.168.1.20 *                 *                 none
IPv4 TCP 10.0.0.0/24 * 192.168.1.20 443          WAN_DHCP none

wan_dhcp - это gateway на интерфейсе для которого создал virtual IP.