обмен между локальными сетями
-
Схему рисуйте.
-
вот схема, нужно чтобы 9 подсеть видела 0, и наоборот
-
Добрый.
Что такое Главный роутер? Можно ли его заменить на пф ? Свитчи на схеме - умные (L2\L3) ?В случае, если Главный роутер заменить нельзя - пф здесь явно лишний. В этом случае все рулится на Главном роутере.
-
Судя по всему, свичи у него уровня L2, если им можно присваивать IP и даже раздавать с них DHCP. Лично мое мнение, лучше вообще убрать pfsense из такой связки.
Либо сделать его после главного роутера, а 9 подсеть вынести, как и все - непосредственно уже к pfsense.
-
-
-
А обычный маршрутизатор домашнего уровня не может DHCP? Тот же л2.
Маршрутизатор может - он L3.
Обычный коммутатор - нет, он L2. Хотя, вроде как есть гибриды - коммутаторы L2 с функционалом L3.
И есть маршрутизаторы с частичным функционалом L2 - VLAN, например. -
Хотя, вроде как есть гибриды - коммутаторы L2 с функционалом L3.
Есть. Они наз-ся L3 switches.
-
главный роутер это watchguard. на нем больше нет свободных портов, чтобы подключать интерфейсы. можно только через роутинг подключать сети, но коммутаторы - обычные (неуправляемые). DHCP и STATIC это я подписал ка сейчас настроено в
WATCHGUARD и PFSENSE. та подсеть, в которой пользователи должна быть с динамическими адресами, а в 9 только оборудование (терминалы, испытательные стойки (лабораторные), оповещение) там не нужно динамики, и интернета тоже не нужно. -
watchguard заменить на pf проблематично, так как там уже прописано очень много правил, настроена постоянная "свежая" защита, настроен доступ только к определенным сайтам. и все интерфейсы заняты. у меня нет 5 сетевух в pf, и я в нем не на столько уверен(отказоустойчивость (в смысле железа на котором он собран), безопасность).
-
так как там уже прописано очень много правил
Так никто в шею не гонит. Поднимите пф на ВиртБоксе и внимательно перенесите правила. После полной настройки сделайте бэкап конфига пф и разверните этот конфигна физ. машине\вирт. машине на гипере.
настроена постоянная "свежая" защита
Snort\Suricata на пф имеются.
настроен доступ только к определенным сайтам
FW, pfblocker, squid + squidguard на пф имеются.
у меня нет 5 сетевух в pf
Одна (одна, Карл!) сетевая, к-ая умеет vlan + любой л2-свитч + пф = столько сетей, сколько вам надо (в пределах разумного)
я в нем не на столько уверен(отказоустойчивость (в смысле железа на котором он собран)
Шта? Похоже вы не понимаете, что пишите.
Объясню.
Если сдохнет ваш watchguard - у вас на складе 100500 шт такой же модели и заменить можно в течение 15 мин? ЧОта не верится :-[
Сдохнет пф - взять любой (любой, Карл!) PC, развернуть пф и подкинуть конфиг со старого, переназначив сетевые при первой загрузке. Всё. Как раз в переносимости и сила пф. Он не привязан к железу.[quote]безопасность)
Запомните. Если у злоумышленника имеется физический доступ к оборудованию - до лампочки все "защиты".
И в случае с watchguard и в случае с пф.Вы усложняете схему своей сети. Не нужен там пф в том варианте, что вы хотите. Или пф вместо watchguard или свитч\железный роутер.
-
большое спасибо за информацию, приму к сведению, а возможно и попробую так сделать. вот только не понял как с одной сетевой картой на pf + L2 swinch сделать столько сетевых интерфейсов? vlan? разве можно настроить на pf интерфейсы не имея их физически? например есть у нас коммутатор hp 1620? vlan"ов на нем можно сколько угодно создать, но сетевой интерфейс (локальная сеть) - только один.
-
Добрый.
На пальцах.
На пф должна быть приличная сетевая. Гигабитная.
Обновляете ПО на свитче.
Суете в свитч все кабели от провайдеров, кабели от всех локальных сетей.
Создаете untagged port-ы с номерами 10, 20, 30 и т.д. для каждого воткнутого выше кабеля, кроме основного LAN - оставьте его с VLAN 1. Кабели, ес-но, должны быть воткнуты в эти же портыСоздаете общий порт (т.н. trunk port) на свитче, к-ый будет untag vlan 1 + tagged всеми предыдущими вланами ,к-ые вы ранее создали. В этот порт суется кабель от основного LAN.
После создате на пф LAN + влан-интерфейсы с номерами тэгов, к-ые создали ранее. Настраиваете на них сетевые параметры. И работаете.
И обязательно штудировать вот это - https://linkmeup.ru/sdsm/
-
спасибо буду читать
