Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Configurazione dhcp multi vlan

    Scheduled Pinned Locked Moved
    Italiano
    2
    19
    1.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      manustar
      last edited by

      allora la mia intenzione è di fare un ha con pfsense.

      attuale solo pfsense fisico

      a tendere pfsense virtuale master e fisico slave

      la porta 23 c'è pfsense e ho messo tutte le vlan
      sulla 13 c'è esxi con tutte le vlan

      quando torno a casa faccio un paio di screen così si vede meglio

      1 Reply Last reply Reply Quote 0
      • M
        manustar
        last edited by

        Eccomi, ti aggiorno sulla configurazione

        le porte 1-2-13-23 hanno le vlan 1 untagged (prend il dhcp 192.168.1.0/24) e le vlan 10 e 20 tagged.

        sulle porte 1-2 ci sono gli ap
        sulla porta 13 c'è pfsense fisico
        sulla 23 c'è pg con vlan 4095 dove c'è il pfsense virtuale e la macchina di domotica dove c'è anche il controller wifi.

        sembra che questa sia la configurazione migliore
        tutte le macchine di servizio, dns e i dispositivi domotici sulla 192.168.1.0/24
        la lan interna (tv, pc, smartphone) sulla 192.168.10.0/24
        e la guest sulla 192.168.20.0/24

        1 Reply Last reply Reply Quote 0
        • M
          manustar
          last edited by manustar

          Rieccomi per un chiarimento, le vlan ora vanno ma sto notato un sacco di blocchi sulla wan come da screenCattura.PNG

          in questo caso è un ip fastweb ma sopratutto non capisco che sono tutti questi blocchi e mi stanno riempendo il registro.

          Aggiungo un altra cosa, io ho un modem tim e la dmz me la fa settare su singolo ip, ora dovrei implementare un secondo firewall e invece di fare la dmz ho pensato di fare un portforwardin di tutte le porte a quell'indirizzo:

          fw1---dmz---192.168.1.101
          fw2---portforward--192.168.1.102

          1 Reply Last reply Reply Quote 0
          • kiokomanK
            kiokoman LAYER 8
            last edited by

            1. potrebbe essere qualcuno che sta scansionando la rete se non conosci quell'indirizzo ip.
            2. non può funzionare in ingressso nel caso di servizi in ascolto sulla stessa porta, o usi dmz o usi portforward, mentre in uscita andrebbero entrambi. Se ci pensi, se hai due servizi sulla stessa porta come fa il modem a capire a quale dei due ip inviare il pacchetto ? generalmente i modem danno la precedenza al portforward ignorando il dmz. potrebbe funzionare solo se hai servizi su porte diverse e facessi portforward solo di alcune porte.

            ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
            Please do not use chat/PM to ask for help
            we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
            Don't forget to Upvote with the 👍 button for any post you find to be helpful.

            M 1 Reply Last reply Reply Quote 0
            • M
              manustar @kiokoman
              last edited by

              1. non può funzionare in ingressso nel caso di servizi in ascolto sulla stessa porta, o usi dmz o usi portforward, mentre in uscita andrebbero entrambi. Se ci pensi, se hai due servizi sulla stessa porta come fa il modem a capire a quale dei due ip inviare il pacchetto ? generalmente i modem danno la precedenza al portforward ignorando il dmz. potrebbe funzionare solo se hai servizi su porte diverse e facessi portforward solo di alcune porte.

              Ma a questo punto, nell'ipotesi che mi cade il fw1 (dmz) e il traffico passa per il fw2 avrei dei problemi sopratutto per la vpn, di norma le porte 80-443-53 passano normalmente sui router dei provider, ma le custom tipo 1194 in ingresso sono bloccate.

              1 Reply Last reply Reply Quote 0
              • kiokomanK
                kiokoman LAYER 8
                last edited by

                esiste l'HA sync per l'ipotesi che ti cada fw1.
                strano ho girato wind / fastweb / tiscali e nessuno mi ha mai bloccato le porte, solo wind aveva la porta 53 bloccata in ingresso ma me la sono fatta sbloccare con una telefonata. generalmente blocchi sulla porta 25 (per limitare lo spam) e 5060 (perchè usato dai modem per il voip) ci sono sulle connessioni "casalinghe" e non su ip statici, ma non vedo il motivo di bloccare 1194. anche se fosse basta impostare il server vpn su 1195

                ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                Please do not use chat/PM to ask for help
                we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                M 1 Reply Last reply Reply Quote 0
                • M
                  manustar @kiokoman
                  last edited by

                  @kiokoman said in Configurazione dhcp multi vlan:

                  esiste l'HA sync per l'ipotesi che ti cada fw1.
                  strano ho girato wind / fastweb / tiscali e nessuno mi ha mai bloccato le porte, solo wind aveva la porta 53 bloccata in ingresso ma me la sono fatta sbloccare con una telefonata. generalmente blocchi sulla porta 25 (per limitare lo spam) e 5060 (perchè usato dai modem per il voip) ci sono sulle connessioni "casalinghe" e non su ip statici, ma non vedo il motivo di bloccare 1194. anche se fosse basta impostare il server vpn su 1195

                  Io prima avevo fastweb e ora tim, in entrambi i casi se non mettevo il firewall in dmz la vpn non funzionava.

                  in ogni caso, sto facendo la configurazione in ha, chiaramente la parte dhcp, interfacce, dns resolver va configurata a mano.

                  tipo:
                  fw1
                  LAN 192.168.1.254
                  VLAN10 192.168.10.254
                  VLAN20 192.168.20.254
                  fw2
                  LAN 192.168.1.253
                  VLAN10 192.168.10.253
                  VLAN20 192.168.20.253

                  1 Reply Last reply Reply Quote 0
                  • kiokomanK
                    kiokoman LAYER 8
                    last edited by kiokoman

                    ok ma quello era una configurazione del tuo modem non dell'operatore, io ho sempre messo i modem in bridge e assegnato l'ip pubblico direttamente su pfsense
                    non puoi fare l'HA sync con indirizzi locali
                    devi configurare CARP e compgnia bella con indirizzi ip pubblici. non è supportato quello che stai facendo

                    ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                    Please do not use chat/PM to ask for help
                    we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                    Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                    M 1 Reply Last reply Reply Quote 0
                    • M
                      manustar @kiokoman
                      last edited by

                      @kiokoman said in Configurazione dhcp multi vlan:

                      ok ma quello era una configurazione del tuo modem non dell'operatore, io ho sempre messo i modem in bridge e assegnato l'ip pubblico direttamente su pfsense
                      non puoi fare l'HA sync con indirizzi locali
                      devi configurare CARP e compgnia bella con indirizzi ip pubblici. non è supportato quello che stai facendo

                      a ecco questo me lo ero perso, quindi devo configurare pfsense in modo che prenda direttamente ip pubblico tramite modem tim?

                      1 Reply Last reply Reply Quote 0
                      • kiokomanK
                        kiokoman LAYER 8
                        last edited by

                        cambierebbe poco, non basta 1 ip pubblico per fare ha sync, te ne servono almeno 3 statici
                        https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html

                        ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                        Please do not use chat/PM to ask for help
                        we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                        Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                        M 1 Reply Last reply Reply Quote 0
                        • M
                          manustar @kiokoman
                          last edited by

                          @kiokoman said in Configurazione dhcp multi vlan:

                          cambierebbe poco, non basta 1 ip pubblico per fare ha sync, te ne servono almeno 3 statici
                          https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html

                          sulle linee home non ci sono 3 ip pubblici, a questo punto lo utilizzo stile failover.

                          1 Reply Last reply Reply Quote 0
                          • M
                            manustar
                            last edited by

                            This post is deleted!
                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post