PfSense на vmware организация сетевого моста с реальн
-
Помогите пожалуйста.
Есть физический сервер на Windows Server 2008 с 2-мя сетевухами, одна смотрит в LAN, другая в WAN.
На данную систему установлена vmware, а на нее виртуальный pfSense.
Как правильно организовать маршрутизацию, схематично показано на рисунке.
Можно ли сделать как бы мостом, чтобы сетевые карты pfSense соответствовали реальной системе и, например, при обращении к IP 192.168.20.1 из любой машины локальной сети получать доступ к Web -интерфейсу pfSense.
Или же сетевые адреса, данных машин должны быть разные?
-
Можно ли сделать как бы мостом, чтобы сетевые карты pfSense соответствовали реальной системе и, например, при обращении к IP 192.168.20.1 из любой машины локальной сети получать доступ к Web -интерфейсу pfSense.
Если нужен только Web-интерфейс pfSense, то можно изощриться. А вот чтоб ещё и интернет раздавать как маршрутизатор, то нет.
-
А вот чтоб ещё и интернет раздавать как маршрутизатор, то нет.
Тогда я полагаю, надо настроить на виртуальной машине обе сетевые карты pfSense в режиме моста и назначить им сетевые адреса например как рисунке..
И к Web интерфейсу смогу получить доступ по IP 192.168.20.2?
-
Да. Это весь вопрос?)))
-
Нет не весь, а начало ).
Через vmware я настроил обе виртуальные сетевые карты в режиме моста с реальными.
Установил pfSense, назначил IP адреса, в итоге цепочкаWAN 192.168.1.201 -> 192.168.1.202 -> 192.168.1.100
pfSense Server2008 роутер
ping проходит в обе стороныа вот с LAN не фига (
так что то не разобраться почему vmware, то подцепляет один сетевой адаптер, то 2
пробовал разные варианты
все искал в интернете может есть наглядный пример установки pfSense на vmware, с учетом настроек внутренней сети но ничего не нашел.
придется все таки наверно ставить pfSense на физическую машину -
На каком железе крутится 2к8 ? Поднимите на Вашем сервере гипервизор - VmWare ESXi, Proxmox (KVM)- рекомендую. Мигрируйте в вирт. среду Ваш 2008-ой и установите pfsense в кач-ве вирт. машины.
Получаете :
- опыт работы с виртуализацией
- среду для экспериментов с любыми ОС-ями и сервисами в них
-
На каком железе крутится 2к8 ?
мать S5000VSA проц 1 шт. Xeon E5404 2.0 GHz память 4 GB HDD на 1 ТБ.
гипервизор - VmWare ESXi, Proxmox (KVM)- рекомендую.
да, спасибо, присматривался к этим гипервизорам, только какое их принципиальное различие с vmware для Windows
там проще настроить сетевой мост между сетевыми картами физической и виртуальных машин?
у меня, как я писал выше, на vmware для Windows не получилось… -
WAN 192.168.1.201 -> 192.168.1.202 -> 192.168.1.100
pfSense Server2008 роутер
ping проходит в обе стороныа вот с LAN не фига (
Довольно странно, ведь по умолчанию на WAN pfsense извне пинг запрещён…
-
На каком железе крутится 2к8 ?
мать S5000VSA проц 1 шт. Xeon E5404 2.0 GHz память 4 GB HDD на 1 ТБ.
гипервизор - VmWare ESXi, Proxmox (KVM)- рекомендую.
да, спасибо, присматривался к этим гипервизорам, только какое их принципиальное различие с vmware для Windows
там проще настроить сетевой мост между сетевыми картами физической и виртуальных машин?
у меня, как я писал выше, на vmware для Windows не получилось…Почитайте про типы гипервизоров - Type 1 и Type 2.
Основное отличие в том, что первый тип для серъезных вещей, второй же - на попробовать, потестить. Это так, "на пальцах".Тем более что у вас довольно приличное железо. И крутить на нем только одну ОСь как-то не по-хозяйски.
P.s. В принципе, можете вкл. роль Hyper-v на 2008-ом и установить pf в вирт. машину, но с ним есть нюансы под этот гипервизор. Он у вас хоть R2 ?
-
Довольно странно, ведь по умолчанию на WAN pfsense извне пинг запрещён…
простите, чет я действительно немного приврал, было так
из pfSense WAN 192.168.1.201 -> 192.168.1.202 -> 192.168.1.100
pfSense Server2008 роутер
в обратную сторону только 192.168.1.100 -> 192.168.1.202а вот с LAN не фига (
-
Он у вас хоть R2 ?
Да он самый + SP1 если это как-то важно… Спасибо, почитаю еще по эти гипервизоры.
А так пока взял старенький Селерончик с двумя сетевыми платами на борту и установил pf на прямую. -
Довольно странно, ведь по умолчанию на WAN pfsense извне пинг запрещён…
простите, чет я действительно немного приврал, было так
из pfSense WAN 192.168.1.201 -> 192.168.1.202 -> 192.168.1.100
pfSense Server2008 роутер
в обратную сторону только 192.168.1.100 -> 192.168.1.202а вот с LAN не фига (
вроде ясно написал
по умолчанию на WAN pfsense извне пинг запрещён
-
Он у вас хоть R2 ?
Да он самый + SP1 если это как-то важно… Спасибо, почитаю еще по эти гипервизоры.
А так пока взял старенький Селерончик с двумя сетевыми платами на борту и установил pf на прямую.Ну это как vista и семёрка. Успехов.
-
Дабы не создавать новой темы, продолжаю…
Установил pf. Настроил LAN и WAN. Подключился клиентом к LAN - интернет есть. Далее устанавливаю squid3 и squidguard для опробования фильтрации http и https. Добавляю в pf сертификат CA. Потом устанавливаю его в доверенные корневые центры сертификации на клиенте. И при открытии страницы с https он ее открывает, но, например, в хроме напротив адресной строки стоит красный крестик, что типа небезопасно и тому подобное. Это так и будет? Тут где-то писали про Сбербанк Онлайн что не открывает, так и у меня также. Никак ли подробнее описать, что надо сделать, что-то в файервол добавить? -
И при открытии страницы с https он ее открывает, но, например, в хроме напротив адресной строки стоит красный крестик, что типа небезопасно и тому подобное. Это так и будет?
А как вы думали ? Выпустили, понимаешь ли, свой сертификат, сами его подписали в своем же центре и думаете, что браузеры к этому будут нормально относиться ? Для этого, мил человек, нужно, чтобы Ваш сертификат был подписан аттестованным CA :
http://habrahabr.ru/post/127643/
http://habrahabr.ru/post/257207/Тут где-то писали про Сбербанк Онлайн что не открывает, так и у меня также. Никак ли подробнее описать, что надо сделать, что-то в файервол добавить?
Добавьте адреса СБ в исключения squid-а (в Destination)
-
нужно, чтобы Ваш сертификат был подписан аттестованным CA :
Хорошо. Возможно наша организация готова купить сертификат.
Только вот я не понял. Из ссылок приведенными Вами, едет речь по приобретению сертификата для доменного имени. Что наводит на мысль, это для собственного сайта, то есть типа другие смогут открывать наш сайт по https и при этом им браузер будет сообщать "тут безопасно )". А мне надо, чтобы наоборот, мы могли открывать "чужие" сайты по https, и при этом браузер не ругался или не предупреждал, как я описывал ситуацию выше с "красным крестиком". Может подскажете какой тут надо сертификат? -
нужно, чтобы Ваш сертификат был подписан аттестованным CA :
Хорошо. Возможно наша организация готова купить сертификат.
Только вот я не понял. Из ссылок приведенными Вами, едет речь по приобретению сертификата для доменного имени. Что наводит на мысль, это для собственного сайта, то есть типа другие смогут открывать наш сайт по https и при этом им браузер будет сообщать "тут безопасно )". А мне надо, чтобы наоборот, мы могли открывать "чужие" сайты по https, и при этом браузер не ругался или не предупреждал, как я описывал ситуацию выше с "красным крестиком". Может подскажете какой тут надо сертификат?Подменяя сертификат для расшифровки https Вы осуществляете MITM-атаку . Вот для того , чтобы браузеры не ругались, Вам и необходим правильно подписанный сертификат. Как вы его подпишите - это уже Ваша забота.
