PfSense на vmware организация сетевого моста с реальн
-
На каком железе крутится 2к8 ?
мать S5000VSA проц 1 шт. Xeon E5404 2.0 GHz память 4 GB HDD на 1 ТБ.
гипервизор - VmWare ESXi, Proxmox (KVM)- рекомендую.
да, спасибо, присматривался к этим гипервизорам, только какое их принципиальное различие с vmware для Windows
там проще настроить сетевой мост между сетевыми картами физической и виртуальных машин?
у меня, как я писал выше, на vmware для Windows не получилось… -
WAN 192.168.1.201 -> 192.168.1.202 -> 192.168.1.100
pfSense Server2008 роутер
ping проходит в обе стороныа вот с LAN не фига (
Довольно странно, ведь по умолчанию на WAN pfsense извне пинг запрещён…
-
На каком железе крутится 2к8 ?
мать S5000VSA проц 1 шт. Xeon E5404 2.0 GHz память 4 GB HDD на 1 ТБ.
гипервизор - VmWare ESXi, Proxmox (KVM)- рекомендую.
да, спасибо, присматривался к этим гипервизорам, только какое их принципиальное различие с vmware для Windows
там проще настроить сетевой мост между сетевыми картами физической и виртуальных машин?
у меня, как я писал выше, на vmware для Windows не получилось…Почитайте про типы гипервизоров - Type 1 и Type 2.
Основное отличие в том, что первый тип для серъезных вещей, второй же - на попробовать, потестить. Это так, "на пальцах".Тем более что у вас довольно приличное железо. И крутить на нем только одну ОСь как-то не по-хозяйски.
P.s. В принципе, можете вкл. роль Hyper-v на 2008-ом и установить pf в вирт. машину, но с ним есть нюансы под этот гипервизор. Он у вас хоть R2 ?
-
Довольно странно, ведь по умолчанию на WAN pfsense извне пинг запрещён…
простите, чет я действительно немного приврал, было так
из pfSense WAN 192.168.1.201 -> 192.168.1.202 -> 192.168.1.100
pfSense Server2008 роутер
в обратную сторону только 192.168.1.100 -> 192.168.1.202а вот с LAN не фига (
-
Он у вас хоть R2 ?
Да он самый + SP1 если это как-то важно… Спасибо, почитаю еще по эти гипервизоры.
А так пока взял старенький Селерончик с двумя сетевыми платами на борту и установил pf на прямую. -
Довольно странно, ведь по умолчанию на WAN pfsense извне пинг запрещён…
простите, чет я действительно немного приврал, было так
из pfSense WAN 192.168.1.201 -> 192.168.1.202 -> 192.168.1.100
pfSense Server2008 роутер
в обратную сторону только 192.168.1.100 -> 192.168.1.202а вот с LAN не фига (
вроде ясно написал
по умолчанию на WAN pfsense извне пинг запрещён
-
Он у вас хоть R2 ?
Да он самый + SP1 если это как-то важно… Спасибо, почитаю еще по эти гипервизоры.
А так пока взял старенький Селерончик с двумя сетевыми платами на борту и установил pf на прямую.Ну это как vista и семёрка. Успехов.
-
Дабы не создавать новой темы, продолжаю…
Установил pf. Настроил LAN и WAN. Подключился клиентом к LAN - интернет есть. Далее устанавливаю squid3 и squidguard для опробования фильтрации http и https. Добавляю в pf сертификат CA. Потом устанавливаю его в доверенные корневые центры сертификации на клиенте. И при открытии страницы с https он ее открывает, но, например, в хроме напротив адресной строки стоит красный крестик, что типа небезопасно и тому подобное. Это так и будет? Тут где-то писали про Сбербанк Онлайн что не открывает, так и у меня также. Никак ли подробнее описать, что надо сделать, что-то в файервол добавить? -
И при открытии страницы с https он ее открывает, но, например, в хроме напротив адресной строки стоит красный крестик, что типа небезопасно и тому подобное. Это так и будет?
А как вы думали ? Выпустили, понимаешь ли, свой сертификат, сами его подписали в своем же центре и думаете, что браузеры к этому будут нормально относиться ? Для этого, мил человек, нужно, чтобы Ваш сертификат был подписан аттестованным CA :
http://habrahabr.ru/post/127643/
http://habrahabr.ru/post/257207/Тут где-то писали про Сбербанк Онлайн что не открывает, так и у меня также. Никак ли подробнее описать, что надо сделать, что-то в файервол добавить?
Добавьте адреса СБ в исключения squid-а (в Destination)
-
нужно, чтобы Ваш сертификат был подписан аттестованным CA :
Хорошо. Возможно наша организация готова купить сертификат.
Только вот я не понял. Из ссылок приведенными Вами, едет речь по приобретению сертификата для доменного имени. Что наводит на мысль, это для собственного сайта, то есть типа другие смогут открывать наш сайт по https и при этом им браузер будет сообщать "тут безопасно )". А мне надо, чтобы наоборот, мы могли открывать "чужие" сайты по https, и при этом браузер не ругался или не предупреждал, как я описывал ситуацию выше с "красным крестиком". Может подскажете какой тут надо сертификат? -
нужно, чтобы Ваш сертификат был подписан аттестованным CA :
Хорошо. Возможно наша организация готова купить сертификат.
Только вот я не понял. Из ссылок приведенными Вами, едет речь по приобретению сертификата для доменного имени. Что наводит на мысль, это для собственного сайта, то есть типа другие смогут открывать наш сайт по https и при этом им браузер будет сообщать "тут безопасно )". А мне надо, чтобы наоборот, мы могли открывать "чужие" сайты по https, и при этом браузер не ругался или не предупреждал, как я описывал ситуацию выше с "красным крестиком". Может подскажете какой тут надо сертификат?Подменяя сертификат для расшифровки https Вы осуществляете MITM-атаку . Вот для того , чтобы браузеры не ругались, Вам и необходим правильно подписанный сертификат. Как вы его подпишите - это уже Ваша забота.
