Введение pfSense в сеть предприятия
-
Всем привет.
Установлен на отдельной машине pfSense + ProxySquid. Подключен один ПК, все на нем отлично работает, логи читаются.
Теперь вопрос уже по внедрению в сеть.
Есть ПК с самой pfSense. Есть сеть с адресами от 192.168.0.10 - 192.168.0.240. Эти адреса компы получают от DHCP Виндового сервера. У pfSense настройки: WAN 192.168.0.241 & LAN 192.168.1.1. В этом ПК 2 карты, от каждой карты идет провод в свой свитч, от LAN свича подключен один ПК а от WAN свича идет повод до главнвого свича в серверной и следует дальше.
Т.е. любой ПК который включен в свич от LAN порта прокси получает нужый адрес и интернет есть и соответственно начинается контроль.
Но как теперь ВСЕ компы пустить через прокси в инет? Прокси прозрачный.
Сеть предприятия с 200 ПК работает и получает свободный интернет, который гуляет по сети, т.е. этот интернет воткнут в WAN порт прокси-сервера.
Спасибо за ответы. -
(LAN 192.168.1.1 Pfsense) у тебя не в одной сети с клиентами(192.168.0.10 - 192.168.0.240) зато WAN(192.168.0.241) в одной - зачем так сделано?
0. Сделай наоборот.
1. Что бы на клиентах указать шлюз - он должен быть в одной с ними сети.
2. Потом просто в DHCP настроишь раздачу IP шлюза для клиентов - и они автоматом будут ходить через твой шлюз.Или ты не это имел ввиду?
-
(LAN 192.168.1.1 Pfsense) у тебя не в одной сети с клиентами(192.168.0.10 - 192.168.0.240) зато WAN(192.168.0.241) в одной - зачем так сделано?
0. Сделай наоборот.
1. Что бы на клиентах указать шлюз - он должен быть в одной с ними сети.
2. Потом просто в DHCP настроишь раздачу IP шлюза для клиентов - и они автоматом будут ходить на твой шлюз.Или ты не это имел ввиду?
Да, ты прав, это я и хотел услышать. Сейчас меняю, но не могу ввести адрес роутера, т.к. он в другой подсети. Надо сначал настроить роутер на 192.168.1.1? А потом уже присваивать ВАН интерфейсу 192.168.1.2, потом ЛАН интерфейсу 192.168.0.9 и настройках виндового ДХЦП сервера поставить шлюз на 192.168.0.9. Так должно быть правильно?
-
(LAN 192.168.1.1 Pfsense) у тебя не в одной сети с клиентами(192.168.0.10 - 192.168.0.240) зато WAN(192.168.0.241) в одной - зачем так сделано?
0. Сделай наоборот.
1. Что бы на клиентах указать шлюз - он должен быть в одной с ними сети.
2. Потом просто в DHCP настроишь раздачу IP шлюза для клиентов - и они автоматом будут ходить на твой шлюз.Или ты не это имел ввиду?
Да, ты прав, это я и хотел услышать. Сейчас меняю, но не могу ввести адрес роутера, т.к. он в другой подсети. Надо сначал настроить роутер на 192.168.1.1? А потом уже присваивать ВАН интерфейсу 192.168.1.2, потом ЛАН интерфейсу 192.168.0.9 и настройках виндового ДХЦП сервера поставить шлюз на 192.168.0.9. Так должно быть правильно?
1. Адрес роутера(pfsense LAN) ты сейчас скорей всего не можешь ввести потому что он начинает совпадать с сетью уже настроенного WAN.
2. Поставь сейчас на WAN, от балды например 10.11.12.13, сохрани, примени.
3. Делай LAN Pfsense - 179.168.0.9, должно без проблем получиться.
4. Делай WAN 192.168.1.2(или какой тебе нужен, главное что бы не пересекался с LAN)
Настрой в виндовом DHCP выдачу 179.168.0.9 в качестве шлюза. В следуюший раз при получении адреса(после перезагрузки клиента) - они получат и шлюз.
P/S/ Ну и на всякий случай убедись что в самом Pfsense не активен сервис DHCP, иначе будут траблы с двумя работающими DHCP серверами в сетке.
-
Да, в принципе я так и сделал. Но интерета нет, т.к. у нашего роутера адрес 192.168.0.1, а у меня у ВАН интерфейса адрес 192.168.1.2, т.е. шлюз в виде роутера я не могу поставить для ВАН интерфейса. ИТого сеть есть, но интернет не работает, т.к. роутер я не могу в рабочее время переконфигурировать.
Значить через пару часов я ставлю на роутере адрес 192.168.1.1, прописываю этот адрес в pfsense, как адрес шлюза и тогда все будет работать.
Верно мыслю?) -
Да, в принципе я так и сделал. Но интерета нет, т.к. у нашего роутера адрес 192.168.0.1, а у меня у ВАН интерфейса адрес 192.168.1.2, т.е. шлюз в виде роутера я не могу поставить для ВАН интерфейса. ИТого сеть есть, но интернет не работает, т.к. роутер я не могу в рабочее время переконфигурировать.
Значить через пару часов я ставлю на роутере адрес 192.168.1.1, прописываю этот адрес в pfsense, как адрес шлюза и тогда все будет работать.
Верно мыслю?)Зайди в Status/Gateways там увидишь уже прописанный шлюз. Тебе нужно его сейчас удалить: тыкни в правом углу кнопочку(пиктограмму) - relating settings, появится опции для шлюза - удали.
Потом иди в настройки WAN и добавляй шлюз так как и делал до этого - ошибки связанной с разными подсетями выскочить теперь не должно, несмотря на то, что шлюз(адрес роутера) будет указан из другой подсети.
-
Спасибо большое, уже пробую. Буду надеяться, что все заработает.
-
Да, в принципе я так и сделал. Но интерета нет, т.к. у нашего роутера адрес 192.168.0.1, а у меня у ВАН интерфейса адрес 192.168.1.2, т.е. шлюз в виде роутера я не могу поставить для ВАН интерфейса. ИТого сеть есть, но интернет не работает, т.к. роутер я не могу в рабочее время переконфигурировать.
Значить через пару часов я ставлю на роутере адрес 192.168.1.1, прописываю этот адрес в pfsense, как адрес шлюза и тогда все будет работать.
Верно мыслю?)Зайди в Status/Gateways там увидишь уже прописанный шлюз. Тебе нужно его сейчас удалить: тыкни в правом углу кнопочку(пиктограмму) - relating settings, появится опции для шлюза - удали.
Потом иди в настройки WAN и добавляй шлюз так как и делал до этого - ошибки связанной с разными подсетями выскочить теперь не должно, несмотря на то, что шлюз(адрес роутера) будет указан из другой подсети.
К сожалению, не работает. Т.е. добавил шлюз как ты написал, все перезагрузил. В ДХЦП сервере поставил шлюз на 192.168.0.9, как у меня адрес pfsense LAN, перезапустил сетевую карту на клиенте - и ничего. Попробовал еще на 2-ух ПК, так же. Ошибка ДНС при загрузке страницы. Через ipconfig /all параметры какие надо, ДНС нужный, шлюз pfsense, т.е. компы получили то что им я дал. Но интернета нету(
-
Да, по итогу ничего не заработало.
Что было сегодня утром, был ВАН, с адресом 192.168.0.9, шлюзом 192.168.0.1.
Дальше ЛАН с 192.168.1.1. Клиенты, которые подлючались к свичу от порта ЛАН получали по ДХЦП pfsense новый адрес типа 192.168.1.3 и отлично выходили в инет.
Исправил конфиг как мне подсказали выше, т.е. поменя ВАН адресс на 192.168.1.2, шлюз (роутер) на 192.168.0.1, ЛАН поставил на 192.168.0.9 и отключил везде DHCP. На виндовом сервере DHCP поменял адрес маршрутизатора на 192.168.0.9, и перезапустил в сеть клиентов. Они получили адрес от виндового сервера, получили шлюз 192.168.0.9 и ДНс адреса указанные на DHCP Windows. Но при попытке зайти в сеть - ошибки DNS.
Сейчас к серверу с pfsense идет один кабель с интернетов, он втыкается в свич, а от свича два провода в кажду сетевую карту.
Какие могут быть варианты решения проблемы? В чем вообще у меня дело? Очень прошу помощи. -
Доброе.
Сейчас к серверу с pfsense идет один кабель с интернетов, он втыкается в свич, а от свича два провода в кажду сетевую карту.
Если свитч не Л2 и не настроены вланы, то примите поздравления - у вас петля.