обмен между локальными сетями

werter

Добрый.
Скрины того, что настроили.

pigbrother

такое чувство что в opt1 все устройства изолированы друг от друга
Интересно, что могло изолировать хосты друг от друга в пределах одной подсети? Какой свитч в этой подсети используется?

xander74

сейчас внутри каждой сети устройства видят друг друга, также из каждой сети пингуется шлюз другой сети, но дальше не проходит - останавливается на шлюзе. одна локальная сеть у нас уже есть, с ней нет проблем - она работает от другого устройства (со своим dhcp, dns и т.д.), pfsense хочу использовать только для того, чтобы создать вторую локальную сеть (с другой адресацией), но с возможностью ходить между этими сетями туда-обратно.

werter

Добрый.
@xander74:

http://dropmefiles.com/teziZ
картинки на файлообменнике

Выкладывайте здесь. И только здесь.

xander74

скрины настройки

lan.PNG_thumb

lan_rules.PNG_thumb

vcr.PNG_thumb

vcr_rules.PNG_thumb

Fallen_A

Ну так а вы разрешение на маршрутизацию выдали Firewall -> Rules -> LAN ?

http://prntscr.com/j9ukic

werter

Явный gw в настройках LAN зачем ?

xander74

так как он является шлюзом в корпоративной сети, - он выдает в первой подсети ip адреса и dns. и через него осуществляется выход в инет и доступ к другим сетям. но там уже нет портов и с нагрузкой он не справляется вот и решили доп. сеть подключить через pfsense.

xander74

@Fallen_A:

Ну так а вы разрешение на маршрутизацию выдали Firewall -> Rules -> LAN ?

http://prntscr.com/j9ukic

прописал, с первой подсети во вторую идет, а обрвтно нет.

werter

Схему рисуйте.

xander74

вот схема, нужно чтобы 9 подсеть видела 0, и наоборот

IF.png_thumb

werter

Добрый.
Что такое Главный роутер? Можно ли его заменить на пф ? Свитчи на схеме - умные (L2\L3) ?

В случае, если Главный роутер заменить нельзя - пф здесь явно лишний. В этом случае все рулится на Главном роутере.

Fallen_A

Судя по всему, свичи у него уровня L2, если им можно присваивать IP и даже раздавать с них DHCP. Лично мое мнение, лучше вообще убрать pfsense из такой связки.

Либо сделать его после главного роутера, а 9 подсеть вынести, как и все - непосредственно уже к pfsense.

werter

@Fallen_A:

и даже раздавать с них DHCP

VLAN - L2, DHCP - L3.

Fallen_A

@werter:

@Fallen_A:

и даже раздавать с них DHCP

VLAN - L2, DHCP - L3.

А обычный маршрутизатор домашнего уровня не может DHCP? Тот же л2.

pigbrother

А обычный маршрутизатор домашнего уровня не может DHCP? Тот же л2.
Маршрутизатор может - он L3.
Обычный коммутатор - нет, он L2. Хотя, вроде как есть гибриды - коммутаторы L2 с функционалом L3.
И есть маршрутизаторы с частичным функционалом L2 - VLAN, например.

werter

Хотя, вроде как есть гибриды - коммутаторы L2 с функционалом L3.

Есть. Они наз-ся L3 switches.

xander74

главный роутер это watchguard. на нем больше нет свободных портов, чтобы подключать интерфейсы. можно только через роутинг подключать сети, но коммутаторы - обычные (неуправляемые). DHCP и STATIC это я подписал ка сейчас настроено в
WATCHGUARD и PFSENSE. та подсеть, в которой пользователи должна быть с динамическими адресами, а в 9 только оборудование (терминалы, испытательные стойки (лабораторные), оповещение) там не нужно динамики, и интернета тоже не нужно.

xander74

watchguard заменить на pf проблематично, так как там уже прописано очень много правил, настроена постоянная "свежая" защита, настроен доступ только к определенным сайтам. и все интерфейсы заняты. у меня нет 5 сетевух в pf, и я в нем не на столько уверен(отказоустойчивость (в смысле железа на котором он собран), безопасность).

werter

так как там уже прописано очень много правил

Так никто в шею не гонит. Поднимите пф на ВиртБоксе и внимательно перенесите правила. После полной настройки сделайте бэкап конфига пф и разверните этот конфигна физ. машине\вирт. машине на гипере.

настроена постоянная "свежая" защита

Snort\Suricata на пф имеются.

настроен доступ только к определенным сайтам

FW, pfblocker, squid + squidguard на пф имеются.

у меня нет 5 сетевух в pf

Одна (одна, Карл!) сетевая, к-ая умеет vlan + любой л2-свитч + пф = столько сетей, сколько вам надо (в пределах разумного)

я в нем не на столько уверен(отказоустойчивость (в смысле железа на котором он собран)

Шта? Похоже вы не понимаете, что пишите.
Объясню.
Если сдохнет ваш watchguard - у вас на складе 100500 шт такой же модели и заменить можно в течение 15 мин? ЧОта не верится :-[
Сдохнет пф - взять любой (любой, Карл!) PC, развернуть пф и подкинуть конфиг со старого, переназначив сетевые при первой загрузке. Всё. Как раз в переносимости и сила пф. Он не привязан к железу.

[quote]безопасность)
Запомните. Если у злоумышленника имеется физический доступ к оборудованию - до лампочки все "защиты".
И в случае с watchguard и в случае с пф.

Вы усложняете схему своей сети. Не нужен там пф в том варианте, что вы хотите. Или пф вместо watchguard или свитч\железный роутер.