Настройка правил.
-
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей. -
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
-
… у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
Все описанное дальше имеет смысл, если хост с pfsense имеет доступ в Интернет без прокси, пусть даже через NAT, но не через прокси.
Вам надо на pfsense сделать правило NAT. Разберетесь?
Затем на LAN интерфейсе разрешить своему ПК выход на "any".
На своем ПК указать шлюзом по умолчанию внутренний IP pfsense (тот, что на LAN интерфейсе).
ДНС-ы можете оставить те же. Можете для теста прописать 8.8.8.8 - в таком случае локальные имена не будут резолвиться.
Только теперь у вас перестанет работать Outlook, Lync так как вы сменили маршрут.
Чтобы они заработали, вам надо ручками добавить маршрут на своем ПК в сеть центрального офиса через "шлюз КШ" (пользуясь вашей терминологией).
Если все заработает - добавьте тот же маршрут, только с ключом "-p", чтобы он остался после перезагрузки. -
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а. -
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
-
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
Т.е. у Вас ваш комп указан в строке "Bypass proxy for these source IPs"?
А на WAN-порту сняты галки Block private networks и Block bogon networks, у Вас WAN-порт получается
находится в локальной сети роутера.
В принципе, если нужен WiFi, можно воткнуть наоборот роутер в LAN-порт pfSense, который включен в свич. -
@3vs:
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
Т.е. у Вас ваш комп указан в строке "Bypass proxy for these source IPs"?
А на WAN-порту сняты галки Block private networks и Block bogon networks, у Вас WAN-порт получается
находится в локальной сети роутера.
В принципе, если нужен WiFi, можно воткнуть наоборот роутер в LAN-порт pfSense, который включен в свич.да указан в строке Bypass proxy for these source IPs и Bypass proxy for these destination IPs, галки на Block private networks - нет, а на Block bogon networks - есть
-
@3vs:
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
Т.е. у Вас ваш комп указан в строке "Bypass proxy for these source IPs"?
А на WAN-порту сняты галки Block private networks и Block bogon networks, у Вас WAN-порт получается
находится в локальной сети роутера.
В принципе, если нужен WiFi, можно воткнуть наоборот роутер в LAN-порт pfSense, который включен в свич.да указан в строке Bypass proxy for these source IPs и Bypass proxy for these destination IPs, галки на Block private networks - нет, а на Block bogon networks - есть
Так ради эксперимента снимите галку и на Block bogon networks.
Смысл в pf Sense какой?
Получается у вас два канала - один корпоративный для почты со своей железякой и
второй канал - интернет, который заводится на роутер с WiFi, в LAN-порт которого включен комп с pfSense своим WAN-портом, LAN-порт которого включен в свич локальной сети?
Если комп напрямую воткнуть в LAN-порт роутера и шлюз по умолчанию сделать LAN-порт роутера, то
интернет есть и все программы работают.
А если комп в локальной сети шлюзом по умолчанию имеет pfSense, то интернет есть и не работает
только клиент-банк? -
@3vs:
@3vs:
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
Т.е. у Вас ваш комп указан в строке "Bypass proxy for these source IPs"?
А на WAN-порту сняты галки Block private networks и Block bogon networks, у Вас WAN-порт получается
находится в локальной сети роутера.
В принципе, если нужен WiFi, можно воткнуть наоборот роутер в LAN-порт pfSense, который включен в свич.да указан в строке Bypass proxy for these source IPs и Bypass proxy for these destination IPs, галки на Block private networks - нет, а на Block bogon networks - есть
Так ради эксперимента снимите галку и на Block bogon networks.
Смысл в pf Sense какой?
Получается у вас два канала - один корпоративный для почты со своей железякой и
второй канал - интернет, который заводится на роутер с WiFi, в LAN-порт которого включен комп с pfSense своим WAN-портом, LAN-порт которого включен в свич локальной сети?
Если комп напрямую воткнуть в LAN-порт роутера и шлюз по умолчанию сделать LAN-порт роутера, то
интернет есть и все программы работают.
А если комп в локальной сети шлюзом по умолчанию имеет pfSense, то интернет есть и не работает
только клиент-банк?если комп в локальной сети шлюзом по умолчанию имеет pfSense 192.168.50.6, то интернет есть и банк работает , но не работает Outlook, когда ставлю обратно шлюз КШ 192.168.50.1 то почтовый клиент цепляется к серваку и все норм.
-
@3vs:
@3vs:
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
Т.е. у Вас ваш комп указан в строке "Bypass proxy for these source IPs"?
А на WAN-порту сняты галки Block private networks и Block bogon networks, у Вас WAN-порт получается
находится в локальной сети роутера.
В принципе, если нужен WiFi, можно воткнуть наоборот роутер в LAN-порт pfSense, который включен в свич.да указан в строке Bypass proxy for these source IPs и Bypass proxy for these destination IPs, галки на Block private networks - нет, а на Block bogon networks - есть
Так ради эксперимента снимите галку и на Block bogon networks.
Смысл в pf Sense какой?
Получается у вас два канала - один корпоративный для почты со своей железякой и
второй канал - интернет, который заводится на роутер с WiFi, в LAN-порт которого включен комп с pfSense своим WAN-портом, LAN-порт которого включен в свич локальной сети?
Если комп напрямую воткнуть в LAN-порт роутера и шлюз по умолчанию сделать LAN-порт роутера, то
интернет есть и все программы работают.
А если комп в локальной сети шлюзом по умолчанию имеет pfSense, то интернет есть и не работает
только клиент-банк?если комп в локальной сети шлюзом по умолчанию имеет pfSense 192.168.50.6, то интернет есть и банк работает , но не работает Outlook, когда ставлю обратно шлюз КШ 192.168.50.1 то почтовый клиент цепляется к серваку и все норм.
Значит pfSense работает нормально, он и должен быть шлюзом по умолчанию.
Надо как-то настраивать на pfSense маршрутизацию запросов Outlook-а на шлюз КШ 192.168.50.1.
Какое-то перенаправление портов при работе Outlook c 192.168.50.6 на 192.168.50.1.
Как-то в Firewall: NAT: Port Forward: в Interface-LAN, Protocol TCP/UDP?, Source- Single host or Alias, Source port range- диапазон требуемых портов, Destination - Lan address, Destination port range - теже порты,
Redirect target IP - 192.168.50.1.
Мне кажется как-то так.
Т.е. при запросе к pfSense этих портов он всё это дело посылает на …. 192.168.50.1 :-)
Если у вас ещё и свой какой-то DNS-сервер, то его надо добавить в настройках pfSense. -
Значит pfSense работает нормально, он и должен быть шлюзом по умолчанию.
Надо как-то настраивать на pfSense маршрутизацию запросов Outlook-а на шлюз КШ 192.168.50.1.
Какое-то перенаправление портов при работе Outlook c 192.168.50.6 на 192.168.50.1.Дело, скорее всего в том, что у вас виндовый домен в центральном офисе.
И чтобы в нем полноценно работать - вы должны использовать его ДНС-сервера (или со своего pfsense форвардить запросы в конкретных зонах на ДНС-сервера домена. Но это сложнее, думаю, для вас. Используйте ДНС-сервера домена).
Дальше (не перечитывая всю переписку).
ДНС-сервера домена, так как и Exchange (для работы Outlook), и Lync находятся в центральном офисе.
И у вас все работает, если шлюз по умолчанию указать на ваш "криптошлюз".
Вам надо (изменив шлюз по умолчанию на pfsense) прописать маршрут в сеть (сети) центрального офиса через ваш криптошлюз.
И все будет работать. -
Ну и если вы уж выставили pfsense в Инет (интерфейсом WAN), то уберите оттуда все разрешающие правила (на первой странице обсуждения ваш скриншот, где разрешили все).
-
@3vs:
@3vs:
@3vs:
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
Т.е. у Вас ваш комп указан в строке "Bypass proxy for these source IPs"?
А на WAN-порту сняты галки Block private networks и Block bogon networks, у Вас WAN-порт получается
находится в локальной сети роутера.
В принципе, если нужен WiFi, можно воткнуть наоборот роутер в LAN-порт pfSense, который включен в свич.да указан в строке Bypass proxy for these source IPs и Bypass proxy for these destination IPs, галки на Block private networks - нет, а на Block bogon networks - есть
Так ради эксперимента снимите галку и на Block bogon networks.
Смысл в pf Sense какой?
Получается у вас два канала - один корпоративный для почты со своей железякой и
второй канал - интернет, который заводится на роутер с WiFi, в LAN-порт которого включен комп с pfSense своим WAN-портом, LAN-порт которого включен в свич локальной сети?
Если комп напрямую воткнуть в LAN-порт роутера и шлюз по умолчанию сделать LAN-порт роутера, то
интернет есть и все программы работают.
А если комп в локальной сети шлюзом по умолчанию имеет pfSense, то интернет есть и не работает
только клиент-банк?если комп в локальной сети шлюзом по умолчанию имеет pfSense 192.168.50.6, то интернет есть и банк работает , но не работает Outlook, когда ставлю обратно шлюз КШ 192.168.50.1 то почтовый клиент цепляется к серваку и все норм.
Значит pfSense работает нормально, он и должен быть шлюзом по умолчанию.
Надо как-то настраивать на pfSense маршрутизацию запросов Outlook-а на шлюз КШ 192.168.50.1.
Какое-то перенаправление портов при работе Outlook c 192.168.50.6 на 192.168.50.1.
Как-то в Firewall: NAT: Port Forward: в Interface-LAN, Protocol TCP/UDP?, Source- Single host or Alias, Source port range- диапазон требуемых портов, Destination - Lan address, Destination port range - теже порты,
Redirect target IP - 192.168.50.1.
Мне кажется как-то так.
Т.е. при запросе к pfSense этих портов он всё это дело посылает на …. 192.168.50.1 :-)
Если у вас ещё и свой какой-то DNS-сервер, то его надо добавить в настройках pfSense.типо такого?
да DNS-сервер есть на контроллере домена, где его pf нужно добавить? -
В System: General Setup есть DNS servers их там 4 штуки, наверное надо локальный DNS впереди поставить,
а потом DNS провайдера.
А как в Outlook-ке настроены почтовые ящики - pop и smtp сервера?
Для Outlook надо два правила для
Source port range и Destination port range 25 TCP для SMTP.
И Source port range и Destination port range 110 TCP для POP3.
Для Lync надо третье правило, только по каким портам Lync работает х.з. -
Что вы лепите? :)
Какие форварды портов?
Outlook - это Exchange. И в зависимости от версии порты могут быть разными.На надо ничего форвардить никуда.
Пропишите правильные настройки. Я уже писал … -
@gmn:
Что вы лепите? :)
Какие форварды портов?
Outlook - это Exchange. И в зависимости от версии порты могут быть разными.На надо ничего форвардить никуда.
Пропишите правильные настройки. Я уже писал …Ну, так помогите человеку, чего пальцы гнуть.
Чего Вы тут конкретного для настроек pfSense для перенаправления почтового трафика сказали,
одни слова? -
Guf-Rolex-X, рисуйте подробную схему с адресацией. Пока помогающие Вам не поубивали друг друга.
P.s. Правило Guf-Rolex-X на последнем скриншоте - бред сивой самки коня. Согласен на 146%.
-
Guf-Rolex-X, рисуйте подробную схему с адресацией. Пока помогающие Вам не поубивали друг друга.
P.s. Правило Guf-Rolex-X на последнем скриншоте - бред сивой самки коня. Согласен на 146%.
Не, ну это уже слишком! :D
А схема сети действительно нужна! -
какой IP у Коммутатора не знаю и КШ не знаю наверно думаю какой нибудь 192.168.58.xx, Роутер настроен PPPoE, нашь Филиал и Главный Офис связывает именно КШ, т.е через него идет связь с Exchange. -
Получается, у Вас в филиале в локальной сети свой контроллер домена 192.168.50.11?
А как в настройках почтового ящика в Outlook прописывается удалённый Exchange-сервер?
Как получаются ip-адреса в локалке - по DHCP контроллера домена, от pfSencse или забиты статические?
Если шлюз по умолчанию КШ, то Exchange-сервер пингуется и какой у него ip-адрес?
Если в pfSense прописать первым DNS-сервером контроллер домена 192.168.50.11, то, если шлюзом
по умолчанию поставить pfSense, Exchange-сервер пингуется?
