Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense на vmware организация сетевого моста с реальн

    Scheduled Pinned Locked Moved Russian
    17 Posts 3 Posters 3.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      На каком железе крутится 2к8 ? Поднимите на Вашем сервере гипервизор - VmWare ESXi, Proxmox (KVM)- рекомендую. Мигрируйте в вирт. среду Ваш 2008-ой и установите pfsense в кач-ве вирт. машины.

      Получаете :

      • опыт работы с виртуализацией
      • среду для экспериментов с любыми ОС-ями и сервисами в них
      1 Reply Last reply Reply Quote 0
      • S
        saTSGM
        last edited by

        На каком железе крутится 2к8 ?

        мать S5000VSA      проц 1 шт. Xeon E5404 2.0 GHz      память 4 GB        HDD на 1 ТБ.

        гипервизор - VmWare ESXi, Proxmox (KVM)- рекомендую.

        да, спасибо, присматривался к этим гипервизорам, только какое их принципиальное различие с vmware для Windows
        там проще настроить сетевой мост между сетевыми картами физической и виртуальных машин?
        у меня, как я писал выше, на vmware для Windows не получилось…

        1 Reply Last reply Reply Quote 0
        • S
          Scodezan
          last edited by

          @saTSGM:

          WAN  192.168.1.201 ->  192.168.1.202 -> 192.168.1.100
                      pfSense                  Server2008          роутер   
          ping проходит в обе стороны

          а вот с LAN не фига (

          Довольно странно, ведь по умолчанию на WAN pfsense извне пинг запрещён…

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            @saTSGM:

            На каком железе крутится 2к8 ?

            мать S5000VSA      проц 1 шт. Xeon E5404 2.0 GHz      память 4 GB        HDD на 1 ТБ.

            гипервизор - VmWare ESXi, Proxmox (KVM)- рекомендую.

            да, спасибо, присматривался к этим гипервизорам, только какое их принципиальное различие с vmware для Windows
            там проще настроить сетевой мост между сетевыми картами физической и виртуальных машин?
            у меня, как я писал выше, на vmware для Windows не получилось…

            Почитайте про типы гипервизоров - Type 1 и Type 2.
            Основное отличие в том, что первый тип для серъезных вещей, второй же - на попробовать, потестить. Это так, "на пальцах".

            Тем более что у вас довольно приличное железо. И крутить на нем только одну ОСь как-то не по-хозяйски.

            P.s. В принципе, можете вкл. роль Hyper-v на 2008-ом и установить pf в вирт. машину, но с ним есть нюансы под этот гипервизор. Он у вас хоть R2 ?

            1 Reply Last reply Reply Quote 0
            • S
              saTSGM
              last edited by

              Довольно странно, ведь по умолчанию на WAN pfsense извне пинг запрещён…

              простите, чет я действительно немного приврал, было так
              из pfSense WAN  192.168.1.201 ->  192.168.1.202 -> 192.168.1.100
                                                      pfSense                Server2008            роутер   
              в обратную сторону только 192.168.1.100 -> 192.168.1.202

              а вот с LAN не фига (

              1 Reply Last reply Reply Quote 0
              • S
                saTSGM
                last edited by

                Он у вас хоть R2 ?

                Да он самый + SP1 если это как-то важно… Спасибо, почитаю еще по эти гипервизоры.
                А так пока взял старенький Селерончик с двумя сетевыми платами на борту и установил pf на прямую.

                1 Reply Last reply Reply Quote 0
                • S
                  Scodezan
                  last edited by

                  @saTSGM:

                  Довольно странно, ведь по умолчанию на WAN pfsense извне пинг запрещён…

                  простите, чет я действительно немного приврал, было так
                  из pfSense WAN  192.168.1.201 ->  192.168.1.202 -> 192.168.1.100
                                                          pfSense                Server2008            роутер   
                  в обратную сторону только 192.168.1.100 -> 192.168.1.202

                  а вот с LAN не фига (

                  вроде ясно написал

                  по умолчанию на WAN pfsense извне пинг запрещён

                  1 Reply Last reply Reply Quote 0
                  • S
                    Scodezan
                    last edited by

                    @saTSGM:

                    Он у вас хоть R2 ?

                    Да он самый + SP1 если это как-то важно… Спасибо, почитаю еще по эти гипервизоры.
                    А так пока взял старенький Селерончик с двумя сетевыми платами на борту и установил pf на прямую.

                    Ну это как vista и семёрка. Успехов.

                    1 Reply Last reply Reply Quote 0
                    • S
                      saTSGM
                      last edited by

                      Дабы не создавать новой темы, продолжаю…
                      Установил pf. Настроил LAN и WAN. Подключился клиентом к LAN - интернет есть. Далее устанавливаю squid3 и squidguard для опробования фильтрации http и https. Добавляю в pf сертификат CA. Потом устанавливаю его в доверенные корневые центры сертификации на клиенте. И при открытии страницы с https он ее открывает, но, например, в хроме напротив адресной строки стоит красный крестик, что типа небезопасно и тому подобное. Это так и будет? Тут где-то писали про Сбербанк Онлайн что не открывает, так и у меня также. Никак ли подробнее описать, что надо сделать, что-то в файервол добавить?

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        @saTSGM:

                        И при открытии страницы с https он ее открывает, но, например, в хроме напротив адресной строки стоит красный крестик, что типа небезопасно и тому подобное. Это так и будет?

                        А как вы думали ? Выпустили, понимаешь ли, свой сертификат, сами его подписали в своем же центре и думаете, что браузеры к этому будут нормально относиться ? Для этого, мил человек, нужно, чтобы Ваш сертификат был подписан аттестованным CA :

                        http://habrahabr.ru/post/127643/
                        http://habrahabr.ru/post/257207/

                        Тут где-то писали про Сбербанк Онлайн что не открывает, так и у меня также. Никак ли подробнее описать, что надо сделать, что-то в файервол добавить?

                        Добавьте адреса СБ в исключения squid-а (в Destination)

                        1 Reply Last reply Reply Quote 0
                        • S
                          saTSGM
                          last edited by

                          нужно, чтобы Ваш сертификат был подписан аттестованным CA :

                          Хорошо. Возможно наша организация готова купить сертификат.
                          Только вот я не понял. Из ссылок приведенными Вами, едет речь по приобретению сертификата для доменного имени. Что наводит на мысль, это для собственного сайта, то есть типа другие смогут открывать наш сайт по https и при этом им браузер будет сообщать "тут безопасно )". А мне надо, чтобы наоборот, мы могли открывать "чужие" сайты по https, и при этом браузер не ругался или не предупреждал, как я описывал ситуацию выше с "красным крестиком". Может подскажете какой тут надо сертификат?

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by

                            @saTSGM:

                            нужно, чтобы Ваш сертификат был подписан аттестованным CA :

                            Хорошо. Возможно наша организация готова купить сертификат.
                            Только вот я не понял. Из ссылок приведенными Вами, едет речь по приобретению сертификата для доменного имени. Что наводит на мысль, это для собственного сайта, то есть типа другие смогут открывать наш сайт по https и при этом им браузер будет сообщать "тут безопасно )". А мне надо, чтобы наоборот, мы могли открывать "чужие" сайты по https, и при этом браузер не ругался или не предупреждал, как я описывал ситуацию выше с "красным крестиком". Может подскажете какой тут надо сертификат?

                            Подменяя сертификат для расшифровки https Вы осуществляете MITM-атаку . Вот для того , чтобы браузеры не ругались, Вам и необходим правильно подписанный сертификат. Как вы его подпишите - это уже Ваша забота.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.