Bridge в DMZ c реальными IP

rubic

Подробнее пожалуйста. Адреса в DMZ из того же диапазона, что и адрес WAN, или для DMZ получена отдельная подсеть (routed subnet)?

ABBaz

@rubic:

Подробнее пожалуйста. Адреса в DMZ из того же диапазона, что и адрес WAN, или для DMZ получена отдельная подсеть (routed subnet)?

Адрес WAN - 194...*
Адрес сети - 85...*

rubic

тогда как здесь: https://forum.pfsense.org/index.php?topic=95309.msg530356#msg530356

ABBaz

@rubic:

тогда как здесь: https://forum.pfsense.org/index.php?topic=95309.msg530356#msg530356

Сделал, но DHCP сервер перестал раздавать адреса LAN :(
Нужно исправить DHCP для DMZ!
Но все равно не пингуется машина в сети 85 - WAN сообщает что заданный узел недоступен.
IP 85...1 пингуется

Правила
Pass IPv4 * DMZ net * ! LAN net * * none
Block IPv4 * DMZ net * LAN net * * none
Pass IPv4 * *         * DMZ net * * none

Что не так?

werter

@ABBaz:

@rubic:

тогда как здесь: https://forum.pfsense.org/index.php?topic=95309.msg530356#msg530356

Сделал, но DHCP сервер перестал раздавать адреса LAN :(
Нужно исправить DHCP для DMZ!
Но все равно не пингуется машина в сети 85 - WAN сообщает что заданный узел недоступен.
IP 85...1 пингуется

Правила
Pass IPv4 * DMZ net * ! LAN net * * none
Block IPv4 * DMZ net * LAN net * * none
Pass IPv4 * *         * DMZ net * * none

Что не так?

1. Откуда пингуете ? Извне (с др. провайдера) ?
2. Все же скрины правил fw LAN\WAN\DMZ приложите.

ABBaz

@werter:

Откуда пингуете ? Извне (с др. провайдера) ?

При пинге извне происходит что-то странное.
За pfsense в DMZ(..106.1/24) одна машина с адресом ..106.3

ping 85.142.106.1 проходит
ping 85.142.106.2 проходит !!
ping 85.142.106.3 проходит
Ну а далее - превышен интервал.

Что бы это значило?

rubic

Вы может вообще не себя пингуете? 194.85.40.90 ваш адрес?

ABBaz

@rubic:

Вы может вообще не себя пингуете? 194.85.40.90 ваш адрес?

Нет, но провайдер говорит что скачок такой быстрый на мой канальный адрес что не отображается (не знаю верно ли).
Рекомендовал посмотреть ARP таблицу.
И тут странности или нет?
85.142.106.1 DMZ
85.142.106.5 DMZ
85.142.106.3 WAN
85.142.106.2 WAN

rubic

Убедитесь, что у вас нет никаких Virtual IP, ну и смотрите с помощью Packet Capture на интерфейсе DMZ проходит ли ping извне в сеть DMZ.

ABBaz

@rubic:

Убедитесь, что у вас нет никаких Virtual IP, ну и смотрите с помощью Packet Capture на интерфейсе DMZ проходит ли ping извне в сеть DMZ.

Экспериментаторы хреновы - понаставили alias'ов :( и не сказали. Простейшую задачу превратили в бег с препятствиями.
Спасибо!

flagman

Уважаемый ABBaz! У вас все получилось? H323 заработал в обе стороны? если да то хотя бы Инструкцию выложите

rubic

Смысл не в его настройках, а в том, как провайдер выделяет ему дополнительные адреса. Есть 2 способа: 1) Routed Subnet (или, как называет ее мой повайдер, "сеть за сетью") - провайдер выделяет клиенту подсеть B и прописывает у себя маршрут в нее через WAN клиента, как будто pfSense клиента - маршрутизатор, за которым находится сеть B. В этом случае клиент может организовать у себя полноценную DMZ без NAT (что, как я понял, критично для H323) и без прочих трюков - чистая маршрутизация. 2) Bridged Subnet (или, как называет ее мой повайдер, "плоская сеть") - провайдер считает, что сеть B находится в одном ethernet сегменте в сетью WAN клиента, как будто между провайдером и клиентом стоит коммутатор и в него воткнута помимо WAN еще и сеть B. Здесь клиенту приходится заводить алиасы, делать проброс портов и т. п., т.е. использовать NAT (хотя, если адреса WAN и B не перекрываются, можно избежать NAT используя бридж и Proxy ARP).