Объединение двух Pfsense в один L2

Konstanti

@max5775
Верно , Вы создаете один широковещательный домен , использование которого позволит удаленным клиентам получать ответы на DHCP запросы от офисного сервера .
И все клиенты будут принадлежать одной сети с единой адресацией .

pigbrother

Показалось важным. Из официальной документации:
....One or both of IPv4 Tunnel Network and IPv6 Tunnel Network may be entered, or in the case of a tap bridge, neither.
https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/configure.html#ipv4-ipv6-tunnel-network

werter

This post is deleted!

werter

@max5775 said in Объединение двух Pfsense в один L2:

чтобы клиенты филиала получали адреса не от своего роутера,

От своего роутера клиенты в ЛЮБОМ случае получают адрес. Иначе они в инет не выйдут. Вам же надо, чтобы впн-адрес клиента был из локальной сети главного офиса.
Так правильнее.

Соответственно есть связка ddns+dhcp на сервере в офисе

Причем тут ddns? Это 2-й человек за неделю, к-ый не видит разницу между dns и ddns. У вас сеть в головном вообще доменная? Сервер dns в ней имеется?

В филиале я могу сделать любую адресацию, т.к там сейчас по факту сети нет в принципе.

Если не будет инета в головном или в филиале, то филиал будет вообще сидеть БЕЗ локальной сети - dhcp-то не доступен. Я бы так не делал.

max5775

@werter если туннель L2 поднят, то клиенты не обязаны получать адрес от своего роутера, они будут посылать броадкаст к dhcp, который будет транслироваться через туннель к dhcp серверу в главном офисе. По поводу ddns - если я написал ddns, значит это ddns и разницу я понимаю, вопрос был не про это и при чем тут вопрос есть ли у меня домен или нет? У меня связка samba4+ddns+dhcp. Т.е dhcp сервер динамически обновляет записи на dns сервере, причем для всех машин, даже которые не в домене. По поводу того, если не будет доступа к главному офису, то в данном случае сеть в филиале не будет нужна в принципе, т.к ВСЕ сетевые сервисы находятся в офисе.

werter

Добрый.
@max5775 said in Объединение двух Pfsense в один L2:

У меня связка samba4+ddns+dhcp

Про наличие у вас самбы догадываться надо? Почему не написать об этом сразу?

По поводу того, если не будет доступа к главному офису, то в данном случае сеть в филиале не будет нужна в принципе, т.к ВСЕ сетевые сервисы находятся в офисе.

И интернет в филиале тоже не нужен?

Представим ситуацию.
Вам ОЧЕНЬ нужно попасть в филиал, но в головном НЕТ инета, но есть вариант с др. каналом из стороннего места. Вы как в филиал попадете на нужное место, если в нем нет локальной сети (но есть инет)?

Зы. И зачем такой филиал нужен? Почему не перенести все сервисы из филиала в головной? Или вы филиал за границей держите подальше от "любознательных" из головного? Тогда это др. вопрос.

max5775

По поводу samba я уже написал - к делу она никак не относится, был конкретный вопрос по конкретной задаче. Вы же не знаете нашу специфику зачем начинаете строить догадки и предположения, что нам нужно, а что нет. По факту - людям в филиале нужен доступ к 1С в офисе - это все, доступ в интернет постольку поскольку. Их работа - получать и вносить данные в базу. Но т.к их станции работают на Linux, и у нас все автоматизировано в плане настроек, то для их конфигурации мы используем puppet, кроме того есть клиент kesl и еще много вспомогательных сервисов, которые также через vpn придется как-то маршрутизировать и связывать с нашими серверами, поэтому значительно проще будет организовать L2 туннель. По dhcp они получают имена серверов, серверы соответственно могут им ответить также по имени.

werter

@max5775

По факту - людям в филиале нужен доступ к 1С в офисе - это все

Так у вас там еще и одинсэ.

Мил человек, я не настаиваю. Настраивайте как хотите. Я просто предупредил о ДВУХ точках отказа - это каналы в Сеть в головном и филиале.
Северный пушной зверек приходит неожиданно. А спросят с вас.

max5775

@werter а типа при другом раскладе не 2 точки отказа?

werter

Добрый.

@max5775 said in Объединение двух Pfsense в один L2:

а типа при другом раскладе не 2 точки отказа

Представим ситуацию.
Вам ОЧЕНЬ нужно попасть в филиал, но в головном НЕТ инета, но есть вариант с др. каналом из стороннего места. Вы как в филиал попадете на нужное место, если в нем нет локальной сети (но есть инет)?

Ваши действия в ситуации выше ?

max5775

@werter Честно говоря разговор уже пошел не туда.
Я же написал - если есть проблемы в офисе - филиал отдыхает при любом раскладе. Там нет ничего, кроме клиентов для доступа к 1С, ни файлопомойки ни других сервисов. И да, у нас два канала интернет, если что.

werter

@max5775
Тогда все карты у вас на руках ) Ребята выше уже подсказывали как реализовать.