Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Настройка доступа между подсетями

    Scheduled Pinned Locked Moved Russian
    22 Posts 4 Posters 6.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      Invader_Zim
      last edited by

      Всем привет!
      Начинаю потихоньку осваивать сети и pfSense в частности.

      Есть задача - привести в порядок небольшую сеть, порядка 50 ПК.
      Сейчас все сидят через SOHO роутер(старый дир300) и не парятся по этому поводу. Знающие люди насоветовали микротик и управляемые свичи с vlan'ами. Но этого нет, зато есть старый ПК на котором решил поэкспериментировать с pfSense.

      Суть вопроса: раскидать людей в разных отделах по подсетям(192,168,1,0/24 - админы, 192,168,2,0/24 - отдел кадров, 192,168,3,0/ - экономисты, 192,168,4,0/ - бухи, 192,168,5,0/24 - руководство, и т.д ), и запретить им доступ друг к другу, но дать интернет и доступ к машине с файлопомойкой из сети админов 192,168,1,0/24.
      Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей, как-то надо настроить фаерволл, но как именно не знаю - не хватает знаний и опыта. Если есть возможность, объясните доступным языком пожалуйста  ::)

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе.

        Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей

        Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.

        1 Reply Last reply Reply Quote 0
        • S
          Scodezan
          last edited by

          Это да. А при нулевом бюджете остаётся только отключить службу доступа к файлам и принтерам на рабочих станциях.

          1 Reply Last reply Reply Quote 0
          • I
            Invader_Zim
            last edited by

            @werter:

            Доброе.

            Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей

            Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.

            а без физ. сетивух никак? вроде в pfsense есть Virtual IP, или их не получится использовать для моей задумки ?

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              @Invader_Zim:

              @werter:

              Доброе.

              Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей

              Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.

              а без физ. сетивух никак? вроде в pfsense есть Virtual IP, или их не получится использовать для моей задумки ?

              Коротко - нет. Они физически нах-ся в одной сети. Или исп. VLAN.

              P.s. Кстати тот же dir-100 умеет быть vlan-свитчом.

              P.p.s. Если ваш дир-300 ревизий B1-B3 (написано на попе у него), то можно его перешить в wive-ng - http://forum.ixbt.com/topic.cgi?id=14:58466
              Образ для начальной перепрошивки - http://forum.seti.kr.ua/showthread.php?t=24426
              Далее , тут - https://sourceforge.net/projects/wive-ng/files/wive-ng-rtnl/

              У вас же с одной антенной ? Тогда образ - Wive_WR-150N-RT3050-1T1R

              1 Reply Last reply Reply Quote 0
              • I
                Invader_Zim
                last edited by

                @werter:

                @Invader_Zim:

                @werter:

                Доброе.

                Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей

                Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.

                а без физ. сетивух никак? вроде в pfsense есть Virtual IP, или их не получится использовать для моей задумки ?

                Коротко - нет. Они физически нах-ся в одной сети. Или исп. VLAN.

                P.s. Кстати тот же dir-100 умеет быть vlan-свитчом.

                О! получилось с такими настройками
                сделал на физическом Lan(192,168,1,1) интерфейсе виртуальный Virtual IP с адресом подсети 192,168,2,1, и настроил фаерволл.

                Жду камментов про то какой это костыльный способ :) я так понимаю в этом случае сильно возрастёт нагрузка на физический Lan и процессор ?

                lan1.jpg
                lan1.jpg_thumb

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.

                  1 Reply Last reply Reply Quote 0
                  • I
                    Invader_Zim
                    last edited by

                    @werter:

                    Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.

                    У одной подсети шлюз пф(192,168,1,1), у другой шлюз Virtual IP(192,168,2,1) - инет есть у обоих подсетей, пинг между подсетями не проходит. Если у обоих подсетей шлюзом поставить пф ясное дело они друг друга увидят

                    1 Reply Last reply Reply Quote 0
                    • S
                      Scodezan
                      last edited by

                      Будут ходить пакеты или нет определяют правила.

                      В остальном, в целом такой способ имеет право на жизнь. Безопасность правда не ахти.

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        @Invader_Zim:

                        @werter:

                        Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.

                        У одной подсети шлюз пф(192,168,1,1), у другой шлюз Virtual IP(192,168,2,1) - инет есть у обоих подсетей, пинг между подсетями не проходит. Если у обоих подсетей шлюзом поставить пф ясное дело они друг друга увидят

                        У машин в любом случае будут шлюзами пф-ы.
                        Еще вариант - зайдите в сетевое окружение и смотрите появятся ли машины из др. сетей.

                        1 Reply Last reply Reply Quote 0
                        • I
                          Invader_Zim
                          last edited by

                          @werter:

                          У машин в любом случае будут шлюзами пф-ы.
                          Еще вариант - зайдите в сетевое окружение и смотрите появятся ли машины из др. сетей.

                          Вы имеете ввиду физический шлюз пф который 192,168,1,1? или как? просто что мешает вручную у юзера забить шлюзом виртуальный ИП необходимой подсети, может я что-то не пойму.
                          Если делать как мне надо, машины из разных подсетей не видят друг друга в сетевом окружении.

                          @Scodezan:

                          Будут ходить пакеты или нет определяют правила.

                          Ну так я и просил помощи в написании таких правил :)

                          @Scodezan:

                          В остальном, в целом такой способ имеет право на жизнь. Безопасность правда не ахти.

                          А в чём выражается безопасность не ахти? у юзеров админских прав нет, привяжу мак адрес машины к нужному айпишнику из нужной подсети, в чём ещё могут быть проблемы?

                          1 Reply Last reply Reply Quote 0
                          • S
                            Scodezan
                            last edited by

                            @Invader_Zim:

                            Если делать как мне надо, машины из разных подсетей не видят друг друга в сетевом окружении.

                            В общем то могут и видеть, но доступа всё равно не будет. Если только по ipv6…

                            @Invader_Zim:

                            А в чём выражается безопасность не ахти? у юзеров админских прав нет, привяжу мак адрес машины к нужному айпишнику из нужной подсети, в чём ещё могут быть проблемы?

                            У меня по тому же принципу более 4-х лет работает. Лично я проблем не имел, за исключением тех случаев когда на одной машине одновременно назначены несколько сетей, тоесть  192.168.[101-109].33/24
                            Только у меня нет сервера в "админской сети". Для него я рекомендую вставить ещё одну сетевую карту.

                            1 Reply Last reply Reply Quote 0
                            • S
                              Scodezan
                              last edited by

                              @Invader_Zim:

                              @Scodezan:

                              Будут ходить пакеты или нет определяют правила.

                              Ну так я и просил помощи в написании таких правил :)

                              например
                              pass * * * LAN Address 80 * * Anti-Lockout Rule
                              pass IPv4 UDP * * This Firewall 53 (DNS) * none    
                              pass IPv4 * * * ! 192.168.0.0/16 * * none
                              остальные правила нужно удалить

                              1 Reply Last reply Reply Quote 0
                              • I
                                Invader_Zim
                                last edited by

                                @Scodezan:

                                @Invader_Zim:

                                @Scodezan:

                                Будут ходить пакеты или нет определяют правила.

                                Ну так я и просил помощи в написании таких правил :)

                                например
                                pass * * * LAN Address 80 * * Anti-Lockout Rule
                                pass IPv4 UDP * * This Firewall 53 (DNS) * none    
                                pass IPv4 * * * ! 192.168.0.0/16 * * none
                                остальные правила нужно удалить

                                Спасибо! Я приблизительно так и сделал, только необходимые подсети загнал в алиас и его прописал после !

                                Странно что везде где искал решение по данной теме, натыкался на советы что без vlan'ов нельзя, надо покупать цыску, или на худой конец, микротик, и управляемые свичи. Такое чувство что людям производители доплачивают за такие советы.

                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter
                                  last edited by

                                  @Invader_Zim:

                                  Такое чувство что людям производители доплачивают за такие советы.

                                  Ага, это картельный сговор. VLAN-ы враги придумали.
                                  То что сделали вы - это костыль и по бедности. Так сети не изолируешь.

                                  http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/

                                  1 Reply Last reply Reply Quote 0
                                  • S
                                    Scodezan
                                    last edited by

                                    Лан, хорош ссориться. VLAN способствует защите от шума, шторма и сниффера.

                                    1 Reply Last reply Reply Quote 0
                                    • I
                                      Invader_Zim
                                      last edited by

                                      И снова здравствуйте  ;D

                                      В продолжении темы, захотел на одной подсети (так которая сидит на физическом интерфейсе и раздаётся автоматом), ограничить скорость(типа гостевая сеть). Но столкнулся с проблемой, что если правило стоит ниже того, где запрещается доступ между всеми подсетями, то ограничение скорости не работает, а если выше то гостевая сеть видит другие подсети и они её.

                                      Подскажите как быть? Или нельзя чтоб одна подсеть была в двух правилах фаерволла?

                                      1 Reply Last reply Reply Quote 0
                                      • I
                                        Invader_Zim
                                        last edited by

                                        сам спросил, сам ответил
                                        в правиле ограничивающим скорость надо было поставить галку "Allow IP Options" и всё заработало  :o

                                        1 Reply Last reply Reply Quote 0
                                        • I
                                          Invader_Zim
                                          last edited by

                                          Вобщем попробовал сегодня заменить ДИР-300 pfsens'ом. Понасоздавал виртуальных айпишников с подсетями(от 192,168,0,0 до 192,168,9,0) и позагонял туда ПК. Поначалу всё было нормально, а где-то через час начала отваливаться подсеть 192,168,1,0/24 где сидит сервер с ПО, пришлось в экстренном порядке возвращать всё как было. Причём складывается такое впечатление что pfsens пытался гнать трафик в подсеть 192,168,1,0/24 через провайдера, тк при пинге машины 192,168,1,230 приходит ответ(что заданный узел недоступен) из 194,,,* который относится к первому провайдеру.

                                          Может МультиВан некорректно работает на свежей версии pfsens'а, или я где-то недоставил галочку, куда копать ?

                                          1 Reply Last reply Reply Quote 0
                                          • P
                                            PbIXTOP
                                            last edited by

                                            Если неправильно пошел пинг — смотреть интерфейсы и таблицу маршрутизации, ну да и правила, которыми вы перенаправляете пакеты на шлюзы. Вы скорее всего забыли простое правило между подсетями, в котором не указан шлюз.
                                            Кстати, если вам не требуется блокировать трафик из одной подсети в другую на LAN, рекомендую воспользоваться Classless Route методом, описанный rubic.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.