Pfsense+ несколько подсетей

maksimus-84

хочу заменить прокси сервер (ubunta+squid) на pfsense
В данный момент у меня 12 подсетей. есть циска L3 на ней настроены саб интерфейсы и прописан маршрут, который весь трафик заворачивает на текущую проксю. Вот часть конфига циски
interface Vlan50
ip address 10.10.50.1 255.255.255.0
ip helper-address 10.10.3.11
ip helper-address 10.10.3.12
no ip redirects
no ip proxy-arp
!
interface Vlan55
ip address 10.10.55.1 255.255.255.0
ip helper-address 10.10.3.11
ip helper-address 10.10.3.12
no ip redirects
no ip proxy-arp
!
interface Vlan60
ip address 10.10.60.1 255.255.255.0
ip helper-address 10.10.3.11
ip helper-address 10.10.3.12
no ip redirects
no ip proxy-arp
!
interface Vlan65
ip address 10.10.65.1 255.255.255.0
ip helper-address 10.10.3.11
ip helper-address 10.10.3.12
no ip redirects
no ip proxy-arp
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.3.14 вот этот маршрут
10.10.3.14 прокси сервер, на нём есть свой
up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.10.3.1 этим маршрутом познакомил прокси сервер с остальными подсетями
вот как такое же реализовать на pfsense?
по идее на pfsense не должно быть локального шлюза, об этом написано при настройке интерфейсов. А если нет шлюза то и не получается задать маршрут.
Есть ли варианты подобной реализации?

viktor_g

@maksimus-84 said in Pfsense+ несколько подсетей:

10.10.3.14 прокси сервер, на нём есть свой
up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.10.3.1 этим маршрутом познакомил прокси сервер с остальными подсетями

Просто добавляете данный маршрут на pfSense.

То что при настройке интерфейсов в начале - используется для автонастройки Outbound NAT (LAN -> WAN) и правил файрволла (LAN - можно всё, WAN - всё запрещено).
Но можно настроить как угодно.

maksimus-84

@viktor_g said in Pfsense+ несколько подсетей:

@maksimus-84 said in Pfsense+ несколько подсетей:

10.10.3.14 прокси сервер, на нём есть свой
up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.10.3.1 этим маршрутом познакомил прокси сервер с остальными подсетями

Просто добавляете данный маршрут на pfSense.

То что при настройке интерфейсов в начале - используется для автонастройки Outbound NAT (LAN -> WAN) и правил файрволла (LAN - можно всё, WAN - всё запрещено).
Но можно настроить как угодно.

А можно по подробней
Где конкретно создаётся маршрут

viktor_g

@maksimus-84

Если вам не нужно использовать Outbound NAT, то его лучше перевести в Disabled режим.
А статические маршруты добавляются на странице System / Routing / Static Routes: https://docs.netgate.com/pfsense/en/latest/routing/static.html

Ничего сложного

werter

@maksimus-84

up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.10.3.1 этим маршрутом познакомил прокси сервер с остальными подсетями

Вы бы маску урезали - весь диапазон 10.0.0.0 завернули в шлюз.
Хотя бы 10.10.0.0 255.255.0.0 или перечислитть только те сети, что у вас есть.
У вас там миллион узлов что ли? Не надо так.

Konstanti

This post is deleted!

maksimus-84

@viktor_g

т.е. получается так

werter

@maksimus-84

Не уверен, но может в кач-ве Def gateway на последнем скрине выбрать конкретный gw, а не группу? У вас не балансировка настроена, а failover - Tier-ы РАЗНЫЙ вес имеют. А группу gw явно указывать в правилах fw, если это необходимо.

Зы. Кстати, группу можно явно не создавать при failover. По идее пф сам переключит на резервный канал. Надо проверить.

werter

@maksimus-84
Ваша сеть 10.10.3.0 входит в диапазон 10.10.0.0/16

Не будет ли проблем, если вы ВЕСЬ трафик к 10.10.0.0/16 заворачиваете на др. шлюз?

maksimus-84

@werter
На какой другой?

этим маршрутом я объясняю PF что за шлюзом 10.10.3.1 ищи остальные подсети из диапазона 10.10.0.0./16
10.10.3.0 входит в 10.10.0.0/16

werter

@maksimus-84 said in Pfsense+ несколько подсетей:

этим маршрутом я объясняю PF что за шлюзом 10.10.3.1 ищи остальные подсети из диапазона 10.10.0.0./16

Ваша сеть ТОЖЕ входит в этот диапазон. ТОЖЕ - значит не очень хорошо.

У вас там 100 сетей? Алиас из них один раз составьте и пользуйте в правилах.
Так правильнее будет. Ваше же решение с маской /16 "на отшибись" называется.

Так в приличных местах не делают. Это как грабли в темной комнате - наступите обязательно.

maksimus-84

@werter
Можно по подробней описать вариант решения с алиасом.

werter

Добрый.
@maksimus-84
pfsense + alias -> G

https://docs.netgate.com/pfsense/en/latest/routing/static.html

Внимание на это:

Warning

Using an alias for a route destination has severe limitations. Routes do not automatically follow changes to aliases. When adding entries to an existing alias, this route must be re-saved and re-applied. When removing entries from an alias, there is no automatic way to clear the routes. Manually remove them from the routing table at the CLI or reboot the firewall.

Как вариант при изменении алиаса, удалить-добавить роут с алиасом. Тогда ТОЧНО роут заработает.