Bridge в DMZ c реальными IP
-
Не могу найти внятную инструкцию для стандартного случая, когда необходимо пробросить диапазон реальных адресов в DMZ сеть.
Нужен мост, т.к. в DMZ видеосервер c H232. 1:1 нормально не работает, а gatekeeper - лишняя сущность.
Ну и LAN должна выходить в мир :) -
Подробнее пожалуйста. Адреса в DMZ из того же диапазона, что и адрес WAN, или для DMZ получена отдельная подсеть (routed subnet)?
-
Подробнее пожалуйста. Адреса в DMZ из того же диапазона, что и адрес WAN, или для DMZ получена отдельная подсеть (routed subnet)?
Адрес WAN - 194...*
Адрес сети - 85...* -
тогда как здесь: https://forum.pfsense.org/index.php?topic=95309.msg530356#msg530356
-
тогда как здесь: https://forum.pfsense.org/index.php?topic=95309.msg530356#msg530356
Сделал, но DHCP сервер перестал раздавать адреса LAN :(
Нужно исправить DHCP для DMZ!
Но все равно не пингуется машина в сети 85 - WAN сообщает что заданный узел недоступен.
IP 85...1 пингуетсяПравила
Pass IPv4 * DMZ net * ! LAN net * * none
Block IPv4 * DMZ net * LAN net * * none
Pass IPv4 * * * DMZ net * * noneЧто не так?
-
тогда как здесь: https://forum.pfsense.org/index.php?topic=95309.msg530356#msg530356
Сделал, но DHCP сервер перестал раздавать адреса LAN :(
Нужно исправить DHCP для DMZ!
Но все равно не пингуется машина в сети 85 - WAN сообщает что заданный узел недоступен.
IP 85...1 пингуетсяПравила
Pass IPv4 * DMZ net * ! LAN net * * none
Block IPv4 * DMZ net * LAN net * * none
Pass IPv4 * * * DMZ net * * noneЧто не так?
1. Откуда пингуете ? Извне (с др. провайдера) ?
2. Все же скрины правил fw LAN\WAN\DMZ приложите. -
Откуда пингуете ? Извне (с др. провайдера) ?
При пинге извне происходит что-то странное.
За pfsense в DMZ(..106.1/24) одна машина с адресом ..106.3ping 85.142.106.1 проходит
ping 85.142.106.2 проходит !!
ping 85.142.106.3 проходит
Ну а далее - превышен интервал.Что бы это значило?
-
Вы может вообще не себя пингуете? 194.85.40.90 ваш адрес?
-
Вы может вообще не себя пингуете? 194.85.40.90 ваш адрес?
Нет, но провайдер говорит что скачок такой быстрый на мой канальный адрес что не отображается (не знаю верно ли).
Рекомендовал посмотреть ARP таблицу.
И тут странности или нет?
85.142.106.1 DMZ
85.142.106.5 DMZ
85.142.106.3 WAN
85.142.106.2 WAN -
Убедитесь, что у вас нет никаких Virtual IP, ну и смотрите с помощью Packet Capture на интерфейсе DMZ проходит ли ping извне в сеть DMZ.
-
Убедитесь, что у вас нет никаких Virtual IP, ну и смотрите с помощью Packet Capture на интерфейсе DMZ проходит ли ping извне в сеть DMZ.
Экспериментаторы хреновы - понаставили alias'ов :( и не сказали. Простейшую задачу превратили в бег с препятствиями.
Спасибо! -
Уважаемый ABBaz! У вас все получилось? H323 заработал в обе стороны? если да то хотя бы Инструкцию выложите
-
Смысл не в его настройках, а в том, как провайдер выделяет ему дополнительные адреса. Есть 2 способа: 1) Routed Subnet (или, как называет ее мой повайдер, "сеть за сетью") - провайдер выделяет клиенту подсеть B и прописывает у себя маршрут в нее через WAN клиента, как будто pfSense клиента - маршрутизатор, за которым находится сеть B. В этом случае клиент может организовать у себя полноценную DMZ без NAT (что, как я понял, критично для H323) и без прочих трюков - чистая маршрутизация. 2) Bridged Subnet (или, как называет ее мой повайдер, "плоская сеть") - провайдер считает, что сеть B находится в одном ethernet сегменте в сетью WAN клиента, как будто между провайдером и клиентом стоит коммутатор и в него воткнута помимо WAN еще и сеть B. Здесь клиенту приходится заводить алиасы, делать проброс портов и т. п., т.е. использовать NAT (хотя, если адреса WAN и B не перекрываются, можно избежать NAT используя бридж и Proxy ARP).