Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Configurazione dhcp multi vlan

    Scheduled Pinned Locked Moved Italiano
    19 Posts 2 Posters 1.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      manustar
      last edited by manustar

      Rieccomi per un chiarimento, le vlan ora vanno ma sto notato un sacco di blocchi sulla wan come da screenCattura.PNG

      in questo caso è un ip fastweb ma sopratutto non capisco che sono tutti questi blocchi e mi stanno riempendo il registro.

      Aggiungo un altra cosa, io ho un modem tim e la dmz me la fa settare su singolo ip, ora dovrei implementare un secondo firewall e invece di fare la dmz ho pensato di fare un portforwardin di tutte le porte a quell'indirizzo:

      fw1---dmz---192.168.1.101
      fw2---portforward--192.168.1.102

      1 Reply Last reply Reply Quote 0
      • kiokomanK
        kiokoman LAYER 8
        last edited by

        1. potrebbe essere qualcuno che sta scansionando la rete se non conosci quell'indirizzo ip.
        2. non può funzionare in ingressso nel caso di servizi in ascolto sulla stessa porta, o usi dmz o usi portforward, mentre in uscita andrebbero entrambi. Se ci pensi, se hai due servizi sulla stessa porta come fa il modem a capire a quale dei due ip inviare il pacchetto ? generalmente i modem danno la precedenza al portforward ignorando il dmz. potrebbe funzionare solo se hai servizi su porte diverse e facessi portforward solo di alcune porte.

        ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
        Please do not use chat/PM to ask for help
        we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
        Don't forget to Upvote with the 👍 button for any post you find to be helpful.

        M 1 Reply Last reply Reply Quote 0
        • M
          manustar @kiokoman
          last edited by

          1. non può funzionare in ingressso nel caso di servizi in ascolto sulla stessa porta, o usi dmz o usi portforward, mentre in uscita andrebbero entrambi. Se ci pensi, se hai due servizi sulla stessa porta come fa il modem a capire a quale dei due ip inviare il pacchetto ? generalmente i modem danno la precedenza al portforward ignorando il dmz. potrebbe funzionare solo se hai servizi su porte diverse e facessi portforward solo di alcune porte.

          Ma a questo punto, nell'ipotesi che mi cade il fw1 (dmz) e il traffico passa per il fw2 avrei dei problemi sopratutto per la vpn, di norma le porte 80-443-53 passano normalmente sui router dei provider, ma le custom tipo 1194 in ingresso sono bloccate.

          1 Reply Last reply Reply Quote 0
          • kiokomanK
            kiokoman LAYER 8
            last edited by

            esiste l'HA sync per l'ipotesi che ti cada fw1.
            strano ho girato wind / fastweb / tiscali e nessuno mi ha mai bloccato le porte, solo wind aveva la porta 53 bloccata in ingresso ma me la sono fatta sbloccare con una telefonata. generalmente blocchi sulla porta 25 (per limitare lo spam) e 5060 (perchè usato dai modem per il voip) ci sono sulle connessioni "casalinghe" e non su ip statici, ma non vedo il motivo di bloccare 1194. anche se fosse basta impostare il server vpn su 1195

            ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
            Please do not use chat/PM to ask for help
            we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
            Don't forget to Upvote with the 👍 button for any post you find to be helpful.

            M 1 Reply Last reply Reply Quote 0
            • M
              manustar @kiokoman
              last edited by

              @kiokoman said in Configurazione dhcp multi vlan:

              esiste l'HA sync per l'ipotesi che ti cada fw1.
              strano ho girato wind / fastweb / tiscali e nessuno mi ha mai bloccato le porte, solo wind aveva la porta 53 bloccata in ingresso ma me la sono fatta sbloccare con una telefonata. generalmente blocchi sulla porta 25 (per limitare lo spam) e 5060 (perchè usato dai modem per il voip) ci sono sulle connessioni "casalinghe" e non su ip statici, ma non vedo il motivo di bloccare 1194. anche se fosse basta impostare il server vpn su 1195

              Io prima avevo fastweb e ora tim, in entrambi i casi se non mettevo il firewall in dmz la vpn non funzionava.

              in ogni caso, sto facendo la configurazione in ha, chiaramente la parte dhcp, interfacce, dns resolver va configurata a mano.

              tipo:
              fw1
              LAN 192.168.1.254
              VLAN10 192.168.10.254
              VLAN20 192.168.20.254
              fw2
              LAN 192.168.1.253
              VLAN10 192.168.10.253
              VLAN20 192.168.20.253

              1 Reply Last reply Reply Quote 0
              • kiokomanK
                kiokoman LAYER 8
                last edited by kiokoman

                ok ma quello era una configurazione del tuo modem non dell'operatore, io ho sempre messo i modem in bridge e assegnato l'ip pubblico direttamente su pfsense
                non puoi fare l'HA sync con indirizzi locali
                devi configurare CARP e compgnia bella con indirizzi ip pubblici. non è supportato quello che stai facendo

                ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                Please do not use chat/PM to ask for help
                we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                M 1 Reply Last reply Reply Quote 0
                • M
                  manustar @kiokoman
                  last edited by

                  @kiokoman said in Configurazione dhcp multi vlan:

                  ok ma quello era una configurazione del tuo modem non dell'operatore, io ho sempre messo i modem in bridge e assegnato l'ip pubblico direttamente su pfsense
                  non puoi fare l'HA sync con indirizzi locali
                  devi configurare CARP e compgnia bella con indirizzi ip pubblici. non è supportato quello che stai facendo

                  a ecco questo me lo ero perso, quindi devo configurare pfsense in modo che prenda direttamente ip pubblico tramite modem tim?

                  1 Reply Last reply Reply Quote 0
                  • kiokomanK
                    kiokoman LAYER 8
                    last edited by

                    cambierebbe poco, non basta 1 ip pubblico per fare ha sync, te ne servono almeno 3 statici
                    https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html

                    ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                    Please do not use chat/PM to ask for help
                    we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                    Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                    M 1 Reply Last reply Reply Quote 0
                    • M
                      manustar @kiokoman
                      last edited by

                      @kiokoman said in Configurazione dhcp multi vlan:

                      cambierebbe poco, non basta 1 ip pubblico per fare ha sync, te ne servono almeno 3 statici
                      https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html

                      sulle linee home non ci sono 3 ip pubblici, a questo punto lo utilizzo stile failover.

                      1 Reply Last reply Reply Quote 0
                      • M
                        manustar
                        last edited by

                        This post is deleted!
                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.