Pfsense и СОРМ



  • Приветствую, уважаемые!
    Ситуация такая.. Предоставляем услуги связи по беспроводке. Единого ядра нет. В 5-ти местах сервера с ПФ и разные аплинки от разных провайдеров со статикой (ПППоЕ на WAN подняты). Пришел СОРМ (поставили рядом с одним из серверов), канал до спецов организовали. Тут все ясно - простейший DES-3026 справится с зеркалированием. Подскажите, как быть с остальными? Направьте на путь истинный… Если мало инфы - опишу подробнее.

    update^ вот схема
    ![????? (?????).png](/public/imported_attachments/1/????? (?????).png)
    ![????? (?????).png_thumb](/public/imported_attachments/1/????? (?????).png_thumb)



  • Доброе.
    Вам между пф нужно туннель организовать ? Полное ТЗ озвучьте.



  • Цитата из тех. решения:

    "необходимо настроить копирование трафика в обоих направлениях (Rx + Tx) на порт подключения АПК «ТС ОРМ «СОРМович» с портов подключения"

    Т.е. мне нужно зеркалить весь LAN траффик с удаленного сервера на ПФ на маршрутизатор Mikrotik, затем на комут. DES3026, с которого уже на сорм (пока на нем поднят Openvpn сервер), но пока не знаю, как это лучше реализовать..



  • Попробуйте спросить на nag.ru



  • Тут нужно думать и проверять, но направление мысли примерно такое: от всех pfSense организовать OpenVPN/TAP туннели до "центрального" pfSense - того, что рядом с СОРМ. На всех удаленных pfSense создать bridge интерфейс с единственным членом - LAN и OpenVPN интерфейсом в качестве span порта. Таким образом, мы по идее соберем все копии пакетов в центральном pfSense. Дальше возможны варианты, но лучше наверное сделать по bridge для каждого OpenVPN интерфейса и отдельно для LAN и для каждого bridge назначить span портом отдельный интерфейс смотрящий в СОРМ.
    Да тут будет страшный оверхед по трафику, но или так, или ставить  СОРМ на каждой площадке.



  • СОРМ на 6 площадках не вариант… Буду микротиками поднимать IPoE до центрального микротика (который рядом с СОРМом). Думаю, что лучший вариант. Конечно пинги вырастут и канал центральный потолще надо будет брать.



  • Спасибо за ответы. Прочитав их на 2-х форумах, склоняюсь к созданию WDS мостов до ядра сети на 5 Ггц (только для миррора). Это наименьшим образом скажется на качестве связи в удаленных точках, точнее никак не скажется. Максимальный пролет 7 км с частично перекрытой зоной Френеля, но как показывает практика (есть действующий мост через лес по верхушкам деревьев на Airgrid M5) их пропускной способности должно хватить. По крайней мере на ближайший год. По этому поводу есть некоторые вопросы.
    1. Если поставить доп. сетевку на удаленных точках и объединить ее в бридж с LAN, настроив на нее SPAN она будет слать и RX и ТХ пакеты?
    2. До SPAN трафик будет фильтроваться фаерволом на LAN?
    3. Сеть, где установлен СОРМ 10.0.0.0/22, удаленные сети 10.1.0.0/22 - 10.7.0.0/22. Из какой сети присвоить адрес доп. интерфейсам удаленных точек?



  • Нужно взять 2 pfSense, соединить их для начала проводом через доп. интерфейсы, крутить и смотреть. Тут вряд ли кто-то даст точный ответ на такие специфические вопросы. По п.1 всречал в интернете, что для этого IP нужно вешать на LAN, а не на bridge. По п.2 - неизвестно, возможно зависит от значений net.link.bridge.pfil_* в System tunables. По п.3 а зачем им адреса? Это ведь должна быть просто чистая L2 среда , в которую льется зеркальный трафик и в которую воткнут СОРМ своей сетевой картой в promisc, mode.



  • Нет, схема немного не такая. Я поднял OPT1 на удаленном ПФ. Его в бридж с LAN со SPAN объединил (про OPT айпишник вопрос). На центральном узле между абонами и LAN стоит DES-3026 с настроенным Port mirror на СОРМ. В него же будут подключены мосты от OPT1 удаленных ПФ. 2 и более ПФа не нужно в этом случае соединять. Попробуем завтра мост поднять и протестить Wireshark-oм.