обмен между локальными сетями



  • здравствуйте.
    есть локальная сеть предприятия (192.168.0.1_на железе: в ней шлюз, он же днс, адреса выдает dhcp). сделал на pfsense сервер с двумя локальными сетями ((шлюз)192.168.0.2 - статическая адресация, (шлюз)192.168.1.1 - статическая адресация).
    нужно чтобы пользователи из корпоративной сети предприятия (192.168.0.0) ходили в сеть 192.168.1.0(и наоборот).
    коммутаторов больше нет есть только старый системник с pfsense. wan отключен, активные два лана. но роутинг между сетями не работает.



  • Или маска или виртуальный IP, как вариант.



  • По умолчанию pfSense не нуждается в указании маршрутов в сети, подключенные к его сетевым адаптерам, при условии, что IP этих адаптеров - шлюзы по умолчанию для этих сетей. Предположим, что вторая сеть подключена к интерфейсу OPT1
    Правила по умолчанию "Default allow LAN to any rule" достаточно для доступа LAN->OPT1. Если такого правила нет - создайте его самостоятельно.
    Для доступа OPT1->LAN создайте аналогичное правило.
    На обоих интерфейсах  должно быть отключено Block private networks.



  • вроде так пробовал, сейчас еще раз проверю. такое чувство что в opt1 все устройства изолированы друг от друга, и из соседней сети пингуется только шлюз. а все остальное не видит. либо если прописать routing - и шлюзом указать pf тогда не видит вышестоящее устройство.



  • Добрый.
    Скрины того, что настроили.



  • такое чувство что в opt1 все устройства изолированы друг от друга
    Интересно, что могло изолировать хосты друг от друга  в пределах одной подсети? Какой свитч в этой подсети используется?



  • сейчас внутри каждой сети устройства видят друг друга, также из каждой сети пингуется шлюз другой сети, но дальше не проходит - останавливается на шлюзе. одна локальная сеть у нас уже есть, с ней нет проблем - она работает от другого устройства (со своим dhcp, dns и т.д.), pfsense хочу использовать только для того, чтобы создать вторую локальную сеть (с другой адресацией), но с возможностью ходить между этими сетями туда-обратно.



  • Добрый.
    @xander74:

    http://dropmefiles.com/teziZ
    картинки на файлообменнике

    Выкладывайте здесь. И только здесь.



  • скрины настройки










  • Ну так а вы разрешение на маршрутизацию выдали Firewall -> Rules -> LAN ?

    http://prntscr.com/j9ukic



  • Явный gw в настройках LAN зачем ?



  • так как он является шлюзом в корпоративной сети, - он выдает в первой подсети ip адреса и dns. и через него осуществляется выход в инет и доступ к другим сетям. но там уже нет портов и с нагрузкой он не справляется вот и решили доп. сеть подключить через pfsense.



  • @Fallen_A:

    Ну так а вы разрешение на маршрутизацию выдали Firewall -> Rules -> LAN ?

    http://prntscr.com/j9ukic

    прописал, с первой подсети во вторую идет, а обрвтно нет.



  • Схему рисуйте.



  • вот схема, нужно чтобы 9 подсеть видела 0, и наоборот




  • Добрый.
    Что такое Главный роутер? Можно ли его заменить на пф ? Свитчи на схеме - умные (L2\L3) ?

    В случае, если Главный роутер заменить нельзя - пф здесь явно лишний. В этом случае все рулится на Главном роутере.



  • Судя по всему, свичи у него уровня L2, если им можно присваивать IP и даже раздавать с них DHCP. Лично мое мнение, лучше вообще убрать pfsense из такой связки.

    Либо сделать его после главного роутера, а 9 подсеть вынести, как и все - непосредственно уже к pfsense.



  • @Fallen_A:

    и даже раздавать с них DHCP

    VLAN - L2, DHCP - L3.



  • @werter:

    @Fallen_A:

    и даже раздавать с них DHCP

    VLAN - L2, DHCP - L3.

    А обычный маршрутизатор домашнего уровня не может DHCP? Тот же л2.



  • А обычный маршрутизатор домашнего уровня не может DHCP? Тот же л2.
    Маршрутизатор может - он L3.
    Обычный коммутатор - нет, он L2. Хотя, вроде как есть гибриды - коммутаторы L2 с функционалом L3.
    И есть маршрутизаторы с частичным функционалом L2 - VLAN, например.



  • Хотя, вроде как есть гибриды - коммутаторы L2 с функционалом L3.

    Есть. Они наз-ся L3 switches.



  • главный роутер это watchguard. на нем больше нет свободных портов, чтобы подключать интерфейсы. можно только через роутинг подключать сети, но коммутаторы - обычные (неуправляемые). DHCP и STATIC это я подписал ка сейчас настроено в
    WATCHGUARD и PFSENSE. та подсеть, в которой пользователи должна быть с динамическими адресами, а в 9 только оборудование (терминалы, испытательные стойки (лабораторные), оповещение) там не нужно динамики, и интернета тоже не нужно.



  • watchguard заменить на pf проблематично, так как там уже прописано очень много правил, настроена постоянная "свежая" защита, настроен доступ только к определенным сайтам. и все интерфейсы заняты. у меня нет 5 сетевух в pf, и я в нем не на столько уверен(отказоустойчивость (в смысле железа на котором он собран), безопасность).



  • так как там уже прописано очень много правил

    Так никто в шею не гонит. Поднимите пф на ВиртБоксе и внимательно перенесите правила. После полной настройки сделайте бэкап конфига пф и разверните этот конфигна физ. машине\вирт. машине на гипере.

    настроена постоянная "свежая" защита

    Snort\Suricata на пф имеются.

    настроен доступ только к определенным сайтам

    FW, pfblocker, squid + squidguard на пф имеются.

    у меня нет 5 сетевух в pf

    Одна (одна, Карл!) сетевая, к-ая умеет vlan + любой л2-свитч + пф = столько сетей, сколько вам надо (в пределах разумного)

    я в нем не на столько уверен(отказоустойчивость (в смысле железа на котором он собран)

    Шта? Похоже вы не понимаете, что пишите.
    Объясню.
    Если сдохнет ваш watchguard - у вас на складе 100500 шт такой же модели и заменить можно в течение 15 мин? ЧОта не верится  :-[
    Сдохнет пф - взять любой (любой, Карл!) PC, развернуть пф и подкинуть конфиг со старого, переназначив сетевые при первой загрузке. Всё. Как раз в переносимости и сила пф. Он не привязан к железу.

    [quote]безопасность)
    Запомните. Если у злоумышленника имеется физический доступ к оборудованию - до лампочки все "защиты".
    И в случае с watchguard и в случае с пф.

    Вы усложняете схему своей сети. Не нужен там пф в том варианте, что вы хотите. Или пф вместо watchguard или свитч\железный роутер.



  • большое спасибо за информацию, приму к сведению, а возможно и попробую так сделать. вот только не понял как с одной сетевой картой на pf + L2 swinch сделать столько сетевых интерфейсов? vlan? разве можно настроить на pf интерфейсы не имея их физически? например есть у нас коммутатор hp 1620? vlan"ов на нем можно сколько угодно создать, но сетевой интерфейс (локальная сеть) - только один.



  • Добрый.

    На пальцах.

    На пф должна быть приличная сетевая. Гигабитная.
    Обновляете ПО на свитче.
    Суете в свитч все кабели от провайдеров, кабели от всех локальных сетей.
    Создаете untagged port-ы с номерами 10, 20, 30 и т.д. для каждого воткнутого выше кабеля, кроме основного LAN - оставьте его с VLAN 1. Кабели, ес-но, должны быть воткнуты в эти же порты

    Создаете общий порт (т.н. trunk port) на свитче, к-ый будет untag vlan 1 + tagged всеми предыдущими вланами ,к-ые вы ранее создали. В этот порт суется кабель от основного LAN.

    После создате на пф LAN + влан-интерфейсы с номерами тэгов, к-ые создали ранее. Настраиваете на них сетевые параметры. И работаете.

    И обязательно штудировать вот это - https://linkmeup.ru/sdsm/



  • спасибо буду читать