Дополнительная сеть

Aleximus · Jul 27, 2017, 8:46 AM

Приветствую.
Имеется доменная сеть 192.168.0.0/24 на базе 2008 R2 контроллера домена (192.168.0.1)
Имеется компьютер с установленной pfSense 2.3.4 (192.168.0.2) находящийся в данной сети и имеющий статус шлюза. На нём настроен WAN смотрящий в сторону провайдера и LAN 192.168.0.0/24
К нам протянули дополнительную локальную сеть из другого филиала 10.10.. (роутер в серверной)

Задача: Подключить сеть 10...* к pfSense и дать возможность пользователям сети 192.168.0.0/24 видеть некоторые ресурсы сети 10.10.., так как физически подключать дополнительные рабочие станции к этой сети накладно и неудобно. Возможно ли на pfSense настроить второй WAN2 так, что-бы при обращении к определённому ресурсу 10...* (в основном это web порталы на 80 порту) срабатывала переадресация в ту сеть. При этом дефолтный трафик в интернет шёл через провайдера WAN?
Надеюсь я понятно описал ситуацию. Если нужны какие то дополнительные сведения - спрашивайте.

pigbrother · Jul 27, 2017, 9:06 AM

Есть ли возможность на гейтвее сети 10...* добавить маршрут в вашу сеть 192.168.0.0/24?
Если да, то потребуется еще один сетевой адаптер(или настройка VLAN) на pfSense и пара правил.

Aleximus · Jul 27, 2017, 9:10 AM

Есть одна мысль.
Подключаем третью сетевую карту и настраиваем WAN2, что-бы она работала синхронно с WAN1
Затем создаём правила в фаерволе:
Нижнее запретить всё и всем интерфейс LAN , Gateway - WAN2
Выше по списку создаём правила на доступ к порталам так же через gateway

Сработает такой вариант?

Aleximus · Jul 27, 2017, 9:12 AM

@pigbrother:

Есть ли возможность на гейтвее сети 10...* добавить маршрут в вашу сеть 192.168.0.0/24?
Если да, то потребуется еще один сетевой адаптер(или настройка VLAN) на pfSense и пара правил.

Я планировал настроить pfSense как обычную рабочую станцию, прописав руками настройки ip. Рабстанции физически подключенные к данной сети работают нормально.

pigbrother · Jul 27, 2017, 10:01 AM

10...* как организована? Что в ней шлюз по умолчанию?

Aleximus · Jul 27, 2017, 10:34 AM

@pigbrother:

10...* как организована? Что в ней шлюз по умолчанию?

10...1 - настройки как в обычной локальной сети. По-моему даже не DHCP.
https://yadi.sk/i/4DbZWwhb3LR826

pigbrother · Jul 27, 2017, 11:44 AM

Чтобы сети видели друг друга они должны "знать" маршруты друг другу.
Порядок действий может быть таким.
1. Добавляете в pfSense сетевой адаптер и задействовать его как интерфейс (OPT1).
2. Назначаете ему неиспользуемый IP из диапазона 10.152.2.0/24.
3. Этот IP будет шлюзом в вашу сеть. Маршрут в вашу сеть нужно добавить на роутере 10.152.2.1
4. На LAN\OPT в firewall pfsense пишете нужные правила доступа.

Если п.3 невыполним - придется вручную добавлять маршрут на каждой машине в сети 10.152.2.0/24.
Возможен также вариант с NAT, но я его тут не рассматриваю.

Aleximus · Jul 27, 2017, 12:26 PM

Вариант 3 думаю решаем, спасибо за совет. Попробую, по факту отпишусь.
Вопрос по поводу "маршрута в вашу сеть" - мне не нужны никакие операции со стороны сетки 10.152.2.0/24 в мою локальную сеть же… Моя задача сделать в моей сети 192.168.0.0/24 доступ к порталам сети 10.152.2.0/24. Грубо говоря что бы на рабочей станции 192.168.0.100 открывался портал http://10.152.2.100:80 и всё. Со стороны сети 10...* они должны будут видеть лишь роутер убунту.

pigbrother · Jul 27, 2017, 12:28 PM

@Aleximus:

Вариант 3 думаю решаем, спасибо за совет. Попробую, по факту отпишусь.
Вопрос по поводу "маршрута в вашу сеть" - мне не нужны никакие операции со стороны сетки 10.152.2.0/24 в мою локальную сеть же… Моя задача сделать в моей сети 192.168.0.0/24 доступ к порталам сети 10.152.2.0/24. Грубо говоря что бы на рабочей станции 192.168.0.100 открывался портал 10.152.2.100:80 и всё. Со стороны сети 10...* они должны будут видеть лишь роутер убунту.

Тогда на OPT1 пишете запрещающее правило (возможно - доступа не будет и без него) на LAN - разрешающее, хотите - глобально во всю сеть 10.152.2.0/24, хотите - с указанием IP, портов, протоколов и т.п.

Aleximus · Jul 27, 2017, 12:30 PM

Мне в любом случае нужно выполнить 3 правило? Без записи нашего ip на их шлюзе работать не будет, так?

pigbrother · Jul 27, 2017, 1:14 PM

@Aleximus:

Мне в любом случае нужно выполнить 3 правило? Без записи нашего ip на их шлюзе работать не будет, так?

Да, не будет. Правильнее это называется добавление статического маршрута.
Ну или NAT вашей сети в 10.152.2.0/24. Но маршрутизация - "правильнее".

Aleximus · Jul 27, 2017, 2:08 PM

Большущее спасибо! Плюс в карму.

Aleximus · Aug 11, 2017, 7:22 AM

В общем сделал. Всё оказалось проще чем я думал.
1. Я добавил сетевую плату и подключил туда сеть 10.152.2.0/24, прописал статический ip 10.152.2.22 в OPT1
2. Добавил gataway 10.152.2.1 (system/routing)
3. Завернул все нужные адреса в эту сеть в Static Routes
3. Открыл нужные порты в настройках firewall в lan

profit

pigbrother · Aug 11, 2017, 2:28 PM

Завернул все нужные адреса в эту сеть в Static Routes

А попробуйте без записей в Static Routes. Может\должно работать (у меня - работает) и без явного указания маршрута, просто с правилами на LAN и OPT1.

Aleximus · Aug 15, 2017, 1:47 PM

Не в моём случае, объясню почему.
С нашей стороны стоит роутер с шифрованием - 10.152.2.1 и весь диапазон адресов в нём наш. Это просто канал. Я обращаюсь к ресурсам 192.168.30.* или 192.168.50.* и т.д, находящимися уже ЗА ним. Соответственно в статик роутерс мне приходится вписывать подсети 192.168.30.* и т.д. Что-бы при обращении к ним перенаправлялся запрос через шлюз 10.152.2.1