Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense на vmware организация сетевого моста с реальн

    Scheduled Pinned Locked Moved Russian
    17 Posts 3 Posters 3.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      saTSGM
      last edited by

      На каком железе крутится 2к8 ?

      мать S5000VSA      проц 1 шт. Xeon E5404 2.0 GHz      память 4 GB        HDD на 1 ТБ.

      гипервизор - VmWare ESXi, Proxmox (KVM)- рекомендую.

      да, спасибо, присматривался к этим гипервизорам, только какое их принципиальное различие с vmware для Windows
      там проще настроить сетевой мост между сетевыми картами физической и виртуальных машин?
      у меня, как я писал выше, на vmware для Windows не получилось…

      1 Reply Last reply Reply Quote 0
      • S
        Scodezan
        last edited by

        @saTSGM:

        WAN  192.168.1.201 ->  192.168.1.202 -> 192.168.1.100
                    pfSense                  Server2008          роутер   
        ping проходит в обе стороны

        а вот с LAN не фига (

        Довольно странно, ведь по умолчанию на WAN pfsense извне пинг запрещён…

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          @saTSGM:

          На каком железе крутится 2к8 ?

          мать S5000VSA      проц 1 шт. Xeon E5404 2.0 GHz      память 4 GB        HDD на 1 ТБ.

          гипервизор - VmWare ESXi, Proxmox (KVM)- рекомендую.

          да, спасибо, присматривался к этим гипервизорам, только какое их принципиальное различие с vmware для Windows
          там проще настроить сетевой мост между сетевыми картами физической и виртуальных машин?
          у меня, как я писал выше, на vmware для Windows не получилось…

          Почитайте про типы гипервизоров - Type 1 и Type 2.
          Основное отличие в том, что первый тип для серъезных вещей, второй же - на попробовать, потестить. Это так, "на пальцах".

          Тем более что у вас довольно приличное железо. И крутить на нем только одну ОСь как-то не по-хозяйски.

          P.s. В принципе, можете вкл. роль Hyper-v на 2008-ом и установить pf в вирт. машину, но с ним есть нюансы под этот гипервизор. Он у вас хоть R2 ?

          1 Reply Last reply Reply Quote 0
          • S
            saTSGM
            last edited by

            Довольно странно, ведь по умолчанию на WAN pfsense извне пинг запрещён…

            простите, чет я действительно немного приврал, было так
            из pfSense WAN  192.168.1.201 ->  192.168.1.202 -> 192.168.1.100
                                                    pfSense                Server2008            роутер   
            в обратную сторону только 192.168.1.100 -> 192.168.1.202

            а вот с LAN не фига (

            1 Reply Last reply Reply Quote 0
            • S
              saTSGM
              last edited by

              Он у вас хоть R2 ?

              Да он самый + SP1 если это как-то важно… Спасибо, почитаю еще по эти гипервизоры.
              А так пока взял старенький Селерончик с двумя сетевыми платами на борту и установил pf на прямую.

              1 Reply Last reply Reply Quote 0
              • S
                Scodezan
                last edited by

                @saTSGM:

                Довольно странно, ведь по умолчанию на WAN pfsense извне пинг запрещён…

                простите, чет я действительно немного приврал, было так
                из pfSense WAN  192.168.1.201 ->  192.168.1.202 -> 192.168.1.100
                                                        pfSense                Server2008            роутер   
                в обратную сторону только 192.168.1.100 -> 192.168.1.202

                а вот с LAN не фига (

                вроде ясно написал

                по умолчанию на WAN pfsense извне пинг запрещён

                1 Reply Last reply Reply Quote 0
                • S
                  Scodezan
                  last edited by

                  @saTSGM:

                  Он у вас хоть R2 ?

                  Да он самый + SP1 если это как-то важно… Спасибо, почитаю еще по эти гипервизоры.
                  А так пока взял старенький Селерончик с двумя сетевыми платами на борту и установил pf на прямую.

                  Ну это как vista и семёрка. Успехов.

                  1 Reply Last reply Reply Quote 0
                  • S
                    saTSGM
                    last edited by

                    Дабы не создавать новой темы, продолжаю…
                    Установил pf. Настроил LAN и WAN. Подключился клиентом к LAN - интернет есть. Далее устанавливаю squid3 и squidguard для опробования фильтрации http и https. Добавляю в pf сертификат CA. Потом устанавливаю его в доверенные корневые центры сертификации на клиенте. И при открытии страницы с https он ее открывает, но, например, в хроме напротив адресной строки стоит красный крестик, что типа небезопасно и тому подобное. Это так и будет? Тут где-то писали про Сбербанк Онлайн что не открывает, так и у меня также. Никак ли подробнее описать, что надо сделать, что-то в файервол добавить?

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      @saTSGM:

                      И при открытии страницы с https он ее открывает, но, например, в хроме напротив адресной строки стоит красный крестик, что типа небезопасно и тому подобное. Это так и будет?

                      А как вы думали ? Выпустили, понимаешь ли, свой сертификат, сами его подписали в своем же центре и думаете, что браузеры к этому будут нормально относиться ? Для этого, мил человек, нужно, чтобы Ваш сертификат был подписан аттестованным CA :

                      http://habrahabr.ru/post/127643/
                      http://habrahabr.ru/post/257207/

                      Тут где-то писали про Сбербанк Онлайн что не открывает, так и у меня также. Никак ли подробнее описать, что надо сделать, что-то в файервол добавить?

                      Добавьте адреса СБ в исключения squid-а (в Destination)

                      1 Reply Last reply Reply Quote 0
                      • S
                        saTSGM
                        last edited by

                        нужно, чтобы Ваш сертификат был подписан аттестованным CA :

                        Хорошо. Возможно наша организация готова купить сертификат.
                        Только вот я не понял. Из ссылок приведенными Вами, едет речь по приобретению сертификата для доменного имени. Что наводит на мысль, это для собственного сайта, то есть типа другие смогут открывать наш сайт по https и при этом им браузер будет сообщать "тут безопасно )". А мне надо, чтобы наоборот, мы могли открывать "чужие" сайты по https, и при этом браузер не ругался или не предупреждал, как я описывал ситуацию выше с "красным крестиком". Может подскажете какой тут надо сертификат?

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          @saTSGM:

                          нужно, чтобы Ваш сертификат был подписан аттестованным CA :

                          Хорошо. Возможно наша организация готова купить сертификат.
                          Только вот я не понял. Из ссылок приведенными Вами, едет речь по приобретению сертификата для доменного имени. Что наводит на мысль, это для собственного сайта, то есть типа другие смогут открывать наш сайт по https и при этом им браузер будет сообщать "тут безопасно )". А мне надо, чтобы наоборот, мы могли открывать "чужие" сайты по https, и при этом браузер не ругался или не предупреждал, как я описывал ситуацию выше с "красным крестиком". Может подскажете какой тут надо сертификат?

                          Подменяя сертификат для расшифровки https Вы осуществляете MITM-атаку . Вот для того , чтобы браузеры не ругались, Вам и необходим правильно подписанный сертификат. Как вы его подпишите - это уже Ваша забота.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.