обмен между локальными сетями
-
Добрый.
Скрины того, что настроили. -
такое чувство что в opt1 все устройства изолированы друг от друга
Интересно, что могло изолировать хосты друг от друга в пределах одной подсети? Какой свитч в этой подсети используется? -
сейчас внутри каждой сети устройства видят друг друга, также из каждой сети пингуется шлюз другой сети, но дальше не проходит - останавливается на шлюзе. одна локальная сеть у нас уже есть, с ней нет проблем - она работает от другого устройства (со своим dhcp, dns и т.д.), pfsense хочу использовать только для того, чтобы создать вторую локальную сеть (с другой адресацией), но с возможностью ходить между этими сетями туда-обратно.
-
Добрый.
@xander74:http://dropmefiles.com/teziZ
картинки на файлообменникеВыкладывайте здесь. И только здесь.
-
скрины настройки
-
Ну так а вы разрешение на маршрутизацию выдали Firewall -> Rules -> LAN ?
http://prntscr.com/j9ukic
-
Явный gw в настройках LAN зачем ?
-
так как он является шлюзом в корпоративной сети, - он выдает в первой подсети ip адреса и dns. и через него осуществляется выход в инет и доступ к другим сетям. но там уже нет портов и с нагрузкой он не справляется вот и решили доп. сеть подключить через pfsense.
-
Ну так а вы разрешение на маршрутизацию выдали Firewall -> Rules -> LAN ?
http://prntscr.com/j9ukic
прописал, с первой подсети во вторую идет, а обрвтно нет.
-
Схему рисуйте.
-
вот схема, нужно чтобы 9 подсеть видела 0, и наоборот
-
Добрый.
Что такое Главный роутер? Можно ли его заменить на пф ? Свитчи на схеме - умные (L2\L3) ?В случае, если Главный роутер заменить нельзя - пф здесь явно лишний. В этом случае все рулится на Главном роутере.
-
Судя по всему, свичи у него уровня L2, если им можно присваивать IP и даже раздавать с них DHCP. Лично мое мнение, лучше вообще убрать pfsense из такой связки.
Либо сделать его после главного роутера, а 9 подсеть вынести, как и все - непосредственно уже к pfsense.
-
-
-
А обычный маршрутизатор домашнего уровня не может DHCP? Тот же л2.
Маршрутизатор может - он L3.
Обычный коммутатор - нет, он L2. Хотя, вроде как есть гибриды - коммутаторы L2 с функционалом L3.
И есть маршрутизаторы с частичным функционалом L2 - VLAN, например. -
Хотя, вроде как есть гибриды - коммутаторы L2 с функционалом L3.
Есть. Они наз-ся L3 switches.
-
главный роутер это watchguard. на нем больше нет свободных портов, чтобы подключать интерфейсы. можно только через роутинг подключать сети, но коммутаторы - обычные (неуправляемые). DHCP и STATIC это я подписал ка сейчас настроено в
WATCHGUARD и PFSENSE. та подсеть, в которой пользователи должна быть с динамическими адресами, а в 9 только оборудование (терминалы, испытательные стойки (лабораторные), оповещение) там не нужно динамики, и интернета тоже не нужно. -
watchguard заменить на pf проблематично, так как там уже прописано очень много правил, настроена постоянная "свежая" защита, настроен доступ только к определенным сайтам. и все интерфейсы заняты. у меня нет 5 сетевух в pf, и я в нем не на столько уверен(отказоустойчивость (в смысле железа на котором он собран), безопасность).
-
так как там уже прописано очень много правил
Так никто в шею не гонит. Поднимите пф на ВиртБоксе и внимательно перенесите правила. После полной настройки сделайте бэкап конфига пф и разверните этот конфигна физ. машине\вирт. машине на гипере.
настроена постоянная "свежая" защита
Snort\Suricata на пф имеются.
настроен доступ только к определенным сайтам
FW, pfblocker, squid + squidguard на пф имеются.
у меня нет 5 сетевух в pf
Одна (одна, Карл!) сетевая, к-ая умеет vlan + любой л2-свитч + пф = столько сетей, сколько вам надо (в пределах разумного)
я в нем не на столько уверен(отказоустойчивость (в смысле железа на котором он собран)
Шта? Похоже вы не понимаете, что пишите.
Объясню.
Если сдохнет ваш watchguard - у вас на складе 100500 шт такой же модели и заменить можно в течение 15 мин? ЧОта не верится :-[
Сдохнет пф - взять любой (любой, Карл!) PC, развернуть пф и подкинуть конфиг со старого, переназначив сетевые при первой загрузке. Всё. Как раз в переносимости и сила пф. Он не привязан к железу.[quote]безопасность)
Запомните. Если у злоумышленника имеется физический доступ к оборудованию - до лампочки все "защиты".
И в случае с watchguard и в случае с пф.Вы усложняете схему своей сети. Не нужен там пф в том варианте, что вы хотите. Или пф вместо watchguard или свитч\железный роутер.
