Настройка правил.
-
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
-
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
Т.е. у Вас ваш комп указан в строке "Bypass proxy for these source IPs"?
А на WAN-порту сняты галки Block private networks и Block bogon networks, у Вас WAN-порт получается
находится в локальной сети роутера.
В принципе, если нужен WiFi, можно воткнуть наоборот роутер в LAN-порт pfSense, который включен в свич. -
@3vs:
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
Т.е. у Вас ваш комп указан в строке "Bypass proxy for these source IPs"?
А на WAN-порту сняты галки Block private networks и Block bogon networks, у Вас WAN-порт получается
находится в локальной сети роутера.
В принципе, если нужен WiFi, можно воткнуть наоборот роутер в LAN-порт pfSense, который включен в свич.да указан в строке Bypass proxy for these source IPs и Bypass proxy for these destination IPs, галки на Block private networks - нет, а на Block bogon networks - есть
-
@3vs:
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
Т.е. у Вас ваш комп указан в строке "Bypass proxy for these source IPs"?
А на WAN-порту сняты галки Block private networks и Block bogon networks, у Вас WAN-порт получается
находится в локальной сети роутера.
В принципе, если нужен WiFi, можно воткнуть наоборот роутер в LAN-порт pfSense, который включен в свич.да указан в строке Bypass proxy for these source IPs и Bypass proxy for these destination IPs, галки на Block private networks - нет, а на Block bogon networks - есть
Так ради эксперимента снимите галку и на Block bogon networks.
Смысл в pf Sense какой?
Получается у вас два канала - один корпоративный для почты со своей железякой и
второй канал - интернет, который заводится на роутер с WiFi, в LAN-порт которого включен комп с pfSense своим WAN-портом, LAN-порт которого включен в свич локальной сети?
Если комп напрямую воткнуть в LAN-порт роутера и шлюз по умолчанию сделать LAN-порт роутера, то
интернет есть и все программы работают.
А если комп в локальной сети шлюзом по умолчанию имеет pfSense, то интернет есть и не работает
только клиент-банк? -
@3vs:
@3vs:
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
Т.е. у Вас ваш комп указан в строке "Bypass proxy for these source IPs"?
А на WAN-порту сняты галки Block private networks и Block bogon networks, у Вас WAN-порт получается
находится в локальной сети роутера.
В принципе, если нужен WiFi, можно воткнуть наоборот роутер в LAN-порт pfSense, который включен в свич.да указан в строке Bypass proxy for these source IPs и Bypass proxy for these destination IPs, галки на Block private networks - нет, а на Block bogon networks - есть
Так ради эксперимента снимите галку и на Block bogon networks.
Смысл в pf Sense какой?
Получается у вас два канала - один корпоративный для почты со своей железякой и
второй канал - интернет, который заводится на роутер с WiFi, в LAN-порт которого включен комп с pfSense своим WAN-портом, LAN-порт которого включен в свич локальной сети?
Если комп напрямую воткнуть в LAN-порт роутера и шлюз по умолчанию сделать LAN-порт роутера, то
интернет есть и все программы работают.
А если комп в локальной сети шлюзом по умолчанию имеет pfSense, то интернет есть и не работает
только клиент-банк?если комп в локальной сети шлюзом по умолчанию имеет pfSense 192.168.50.6, то интернет есть и банк работает , но не работает Outlook, когда ставлю обратно шлюз КШ 192.168.50.1 то почтовый клиент цепляется к серваку и все норм.
-
@3vs:
@3vs:
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
Т.е. у Вас ваш комп указан в строке "Bypass proxy for these source IPs"?
А на WAN-порту сняты галки Block private networks и Block bogon networks, у Вас WAN-порт получается
находится в локальной сети роутера.
В принципе, если нужен WiFi, можно воткнуть наоборот роутер в LAN-порт pfSense, который включен в свич.да указан в строке Bypass proxy for these source IPs и Bypass proxy for these destination IPs, галки на Block private networks - нет, а на Block bogon networks - есть
Так ради эксперимента снимите галку и на Block bogon networks.
Смысл в pf Sense какой?
Получается у вас два канала - один корпоративный для почты со своей железякой и
второй канал - интернет, который заводится на роутер с WiFi, в LAN-порт которого включен комп с pfSense своим WAN-портом, LAN-порт которого включен в свич локальной сети?
Если комп напрямую воткнуть в LAN-порт роутера и шлюз по умолчанию сделать LAN-порт роутера, то
интернет есть и все программы работают.
А если комп в локальной сети шлюзом по умолчанию имеет pfSense, то интернет есть и не работает
только клиент-банк?если комп в локальной сети шлюзом по умолчанию имеет pfSense 192.168.50.6, то интернет есть и банк работает , но не работает Outlook, когда ставлю обратно шлюз КШ 192.168.50.1 то почтовый клиент цепляется к серваку и все норм.
Значит pfSense работает нормально, он и должен быть шлюзом по умолчанию.
Надо как-то настраивать на pfSense маршрутизацию запросов Outlook-а на шлюз КШ 192.168.50.1.
Какое-то перенаправление портов при работе Outlook c 192.168.50.6 на 192.168.50.1.
Как-то в Firewall: NAT: Port Forward: в Interface-LAN, Protocol TCP/UDP?, Source- Single host or Alias, Source port range- диапазон требуемых портов, Destination - Lan address, Destination port range - теже порты,
Redirect target IP - 192.168.50.1.
Мне кажется как-то так.
Т.е. при запросе к pfSense этих портов он всё это дело посылает на …. 192.168.50.1 :-)
Если у вас ещё и свой какой-то DNS-сервер, то его надо добавить в настройках pfSense. -
Значит pfSense работает нормально, он и должен быть шлюзом по умолчанию.
Надо как-то настраивать на pfSense маршрутизацию запросов Outlook-а на шлюз КШ 192.168.50.1.
Какое-то перенаправление портов при работе Outlook c 192.168.50.6 на 192.168.50.1.Дело, скорее всего в том, что у вас виндовый домен в центральном офисе.
И чтобы в нем полноценно работать - вы должны использовать его ДНС-сервера (или со своего pfsense форвардить запросы в конкретных зонах на ДНС-сервера домена. Но это сложнее, думаю, для вас. Используйте ДНС-сервера домена).
Дальше (не перечитывая всю переписку).
ДНС-сервера домена, так как и Exchange (для работы Outlook), и Lync находятся в центральном офисе.
И у вас все работает, если шлюз по умолчанию указать на ваш "криптошлюз".
Вам надо (изменив шлюз по умолчанию на pfsense) прописать маршрут в сеть (сети) центрального офиса через ваш криптошлюз.
И все будет работать. -
Ну и если вы уж выставили pfsense в Инет (интерфейсом WAN), то уберите оттуда все разрешающие правила (на первой странице обсуждения ваш скриншот, где разрешили все).
-
@3vs:
@3vs:
@3vs:
@3vs:
@gmn:
у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS
Немного понятно …
Есть главный офис. Вы - "филиал".
Между офисами шифрованный канал.
На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
В таком случае открывать доступ к клиентбанку надо в центральном офисе.Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.Если второй вариант, то на сквиде надо открыть необходимый порт.
Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.банк сейчас работает с ним проблем нет, у нас второй вариант, инет нам не дает главный офис у нас тут свой канал интернета для этого стоит роутер до pf, а с pf уже в локалку, я не пойму как мне сделать так что бы инет на моем компе был напрямую без всяких прокси, например есть у меня программа PrintHelp она работает только напрямую, мне что нужно NAT правило сделать или что? нужно как бы сделать что бы только с моего IP я напрямую ходил в инет а все остальные так же через проксю.
А нельзя лишнее звено - роутер выбросить из системы, pfSense сам себе роутер WAN-порт настроить как в роутере.
Может быть причина в роутере?
В настройках Squid есть поле для "избранных", пропишите в нём ip-шник нужного компа и он будет
ходить в интернет напрямую, в обход Squid-а.а смысл убирать роутер, дело не в нем, когда напрямую у роутеру подключен нет никаких ограничений, и проги все работаю, и беспроводная сеть нужна, мой IP адрес указан в списке "Неограниченные IP-адреса", если бы все было так как вы говорите то "сбербанк бизнес онлайн" у меня бы работал, по крайней мере с моего IP, но все равно не мог перейти по их ссылке пока их сайт и порт в сквиде не указал.
Т.е. у Вас ваш комп указан в строке "Bypass proxy for these source IPs"?
А на WAN-порту сняты галки Block private networks и Block bogon networks, у Вас WAN-порт получается
находится в локальной сети роутера.
В принципе, если нужен WiFi, можно воткнуть наоборот роутер в LAN-порт pfSense, который включен в свич.да указан в строке Bypass proxy for these source IPs и Bypass proxy for these destination IPs, галки на Block private networks - нет, а на Block bogon networks - есть
Так ради эксперимента снимите галку и на Block bogon networks.
Смысл в pf Sense какой?
Получается у вас два канала - один корпоративный для почты со своей железякой и
второй канал - интернет, который заводится на роутер с WiFi, в LAN-порт которого включен комп с pfSense своим WAN-портом, LAN-порт которого включен в свич локальной сети?
Если комп напрямую воткнуть в LAN-порт роутера и шлюз по умолчанию сделать LAN-порт роутера, то
интернет есть и все программы работают.
А если комп в локальной сети шлюзом по умолчанию имеет pfSense, то интернет есть и не работает
только клиент-банк?если комп в локальной сети шлюзом по умолчанию имеет pfSense 192.168.50.6, то интернет есть и банк работает , но не работает Outlook, когда ставлю обратно шлюз КШ 192.168.50.1 то почтовый клиент цепляется к серваку и все норм.
Значит pfSense работает нормально, он и должен быть шлюзом по умолчанию.
Надо как-то настраивать на pfSense маршрутизацию запросов Outlook-а на шлюз КШ 192.168.50.1.
Какое-то перенаправление портов при работе Outlook c 192.168.50.6 на 192.168.50.1.
Как-то в Firewall: NAT: Port Forward: в Interface-LAN, Protocol TCP/UDP?, Source- Single host or Alias, Source port range- диапазон требуемых портов, Destination - Lan address, Destination port range - теже порты,
Redirect target IP - 192.168.50.1.
Мне кажется как-то так.
Т.е. при запросе к pfSense этих портов он всё это дело посылает на …. 192.168.50.1 :-)
Если у вас ещё и свой какой-то DNS-сервер, то его надо добавить в настройках pfSense.типо такого?
да DNS-сервер есть на контроллере домена, где его pf нужно добавить? -
В System: General Setup есть DNS servers их там 4 штуки, наверное надо локальный DNS впереди поставить,
а потом DNS провайдера.
А как в Outlook-ке настроены почтовые ящики - pop и smtp сервера?
Для Outlook надо два правила для
Source port range и Destination port range 25 TCP для SMTP.
И Source port range и Destination port range 110 TCP для POP3.
Для Lync надо третье правило, только по каким портам Lync работает х.з. -
Что вы лепите? :)
Какие форварды портов?
Outlook - это Exchange. И в зависимости от версии порты могут быть разными.На надо ничего форвардить никуда.
Пропишите правильные настройки. Я уже писал … -
@gmn:
Что вы лепите? :)
Какие форварды портов?
Outlook - это Exchange. И в зависимости от версии порты могут быть разными.На надо ничего форвардить никуда.
Пропишите правильные настройки. Я уже писал …Ну, так помогите человеку, чего пальцы гнуть.
Чего Вы тут конкретного для настроек pfSense для перенаправления почтового трафика сказали,
одни слова? -
Guf-Rolex-X, рисуйте подробную схему с адресацией. Пока помогающие Вам не поубивали друг друга.
P.s. Правило Guf-Rolex-X на последнем скриншоте - бред сивой самки коня. Согласен на 146%.
-
Guf-Rolex-X, рисуйте подробную схему с адресацией. Пока помогающие Вам не поубивали друг друга.
P.s. Правило Guf-Rolex-X на последнем скриншоте - бред сивой самки коня. Согласен на 146%.
Не, ну это уже слишком! :D
А схема сети действительно нужна! -
какой IP у Коммутатора не знаю и КШ не знаю наверно думаю какой нибудь 192.168.58.xx, Роутер настроен PPPoE, нашь Филиал и Главный Офис связывает именно КШ, т.е через него идет связь с Exchange. -
Получается, у Вас в филиале в локальной сети свой контроллер домена 192.168.50.11?
А как в настройках почтового ящика в Outlook прописывается удалённый Exchange-сервер?
Как получаются ip-адреса в локалке - по DHCP контроллера домена, от pfSencse или забиты статические?
Если шлюз по умолчанию КШ, то Exchange-сервер пингуется и какой у него ip-адрес?
Если в pfSense прописать первым DNS-сервером контроллер домена 192.168.50.11, то, если шлюзом
по умолчанию поставить pfSense, Exchange-сервер пингуется? -
@3vs:
Получается, у Вас в филиале в локальной сети свой контроллер домена 192.168.50.11?
А как в настройках почтового ящика в Outlook прописывается удалённый Exchange-сервер?
Как получаются ip-адреса в локалке - по DHCP контроллера домена, от pfSencse или забиты статические?
Если шлюз по умолчанию КШ, то Exchange-сервер пингуется и какой у него ip-адрес?
Если в pfSense прописать первым DNS-сервером контроллер домена 192.168.50.11, то, если шлюзом
по умолчанию поставить pfSense, Exchange-сервер пингуется?Да свой Контроллер домена 192.168.50.11 RODC (только для чтения)
Когда запускаем почтовый клиент Outlook он сам автоматом к Exchange цепляется по учетной записи пользователя и сам все автоматом прописывает, ничего настраивать не нужно
Контроллер домена DHCP раздает IP адреса компам в локалке, а на ПФ прописан жестко IP LAN.
IP адрес Exchange, мне к сожалению не говорит Главный офис, сказали только что скорее всего нужно прописывать маршрут на КШ
их совет: "через кш пустить на отдельный порт
тоесть порт 3 например и за ним прокси твой поставить
а на кш маршрут
это идеально
маршрутизатор в твоем случае это КШ, он должен быть по умолчанию в любом случае"
может мне и не нужно правило, есть к примеру программа PrintHelp она не умеет работать через прокси, подрубается она на IP: 178.63.104.69 Порт 23457, может просто открыть порт в NAT PortForward и все будет работать и так же поступать с каким либо ПО не умеющем работать через прокси? проверяю доступность порта 23457 - порт закрыт, только что где указывать нужно при открытие порта определенного? -
Так в свойствах почтового ящика в Outlook ваш exchange-сервер должен как-то
быть прописан типа exchange.домен.вашей_фирмы.ru, а в вашем контроллере домена в локальном DNS-сервере
у него должен быть прописан ip-адрес.
Интересно, если взять один подопытный компьютер в локалке и настроить ему статический ip-адрес по
выданному ему по DHCP и в шлюзе по умолчанию поставить pfSense, DNS1 сделать 192.168.50.11,
а DNS2 сделать 192.168.50.6 ,будет Outlook работать? -
@3vs:
Так в свойствах почтового ящика в Outlook ваш exchange-сервер должен как-то
быть прописан типа exchange.домен.вашей_фирмы.ru, а в вашем контроллере домена в локальном DNS-сервере
у него должен быть прописан ip-адрес.
Интересно, если взять один подопытный компьютер в локалке и настроить ему статический ip-адрес по
выданному ему по DHCP и в шлюзе по умолчанию поставить pfSense, DNS1 сделать 192.168.50.11,
а DNS2 сделать 192.168.50.6 ,будет Outlook работать?В настройках Outlook прописан адрес домена т.е так пример: i.ivanov@domain.ru
как то странное еще: видите на схеме из двух сетевых интерфейсов RODC приходят патч корды в Свитч, так вот на одном сетевом интерфейсе IP 192.168.50.11 а на втором вообще ничего нет, если клацнуть по нему то будет ругаться мол нет прав на изменения параметров, а если нажать состояние, сведения то там по сути должны отобразится настройки сетевой а тут нет ничего просто пустое окно и все, и что там пробито и как настроено не понятно.
у меня на моем компе прописан статический ip адрес попробовал сделать так как вы описали, почта все равно отьехала, и еще вопрос: когда прописываю DNS сервера на ПФ, то нужно указывать Use gateway? а то я это поле оставлял none., и если надо там выбирать то что? ip КШ или ip Роутера? -
@gmn:
Значит pfSense работает нормально, он и должен быть шлюзом по умолчанию.
Надо как-то настраивать на pfSense маршрутизацию запросов Outlook-а на шлюз КШ 192.168.50.1.
Какое-то перенаправление портов при работе Outlook c 192.168.50.6 на 192.168.50.1.Дело, скорее всего в том, что у вас виндовый домен в центральном офисе.
И чтобы в нем полноценно работать - вы должны использовать его ДНС-сервера (или со своего pfsense форвардить запросы в конкретных зонах на ДНС-сервера домена. Но это сложнее, думаю, для вас. Используйте ДНС-сервера домена).
Дальше (не перечитывая всю переписку).
ДНС-сервера домена, так как и Exchange (для работы Outlook), и Lync находятся в центральном офисе.
И у вас все работает, если шлюз по умолчанию указать на ваш "криптошлюз".
Вам надо (изменив шлюз по умолчанию на pfsense) прописать маршрут в сеть (сети) центрального офиса через ваш криптошлюз.
И все будет работать.шлюз я изменю на pf, "прописать маршрут в сеть (сети) центрального офиса на КШ имеется в виду с ПФ на КШ и с КШ в сеть центрального офиса?
