Доступ из одной подсети в другую



  • Здравствуйте! Подскажите пожалуйста. В одной подсети есть есть сервер Windchill, к которому пользователи цепляются через браузер. Он находится в подсети 10.10.10.0\24. Есть вторая подсеть 192.168.10.0\24.б Как мне из этой подсети получить доступ ко второй?
    0_1538126016474_1.png



  • @oxigen1987 Так не получается



  • @oxigen1987
    Добрый день
    Само правило покажите пож
    и еще вопрос
    эти 2 подсети на 1 интерфейсе или на разных ?



  • Выделенное это не правило? Извините не знаток PFsense. Где его посмотреть? Да она ходятся на одном интерфейсе. Уходит из сетевой и приходит в программируемый коммутатор. Где и разделяется на Vlan



  • @oxigen1987 Давайте вопрос задам по-другому
    Некоторое время назад Вы обращались с проблемой в сети 192.168.0.0 /24
    Сейчас это та же сеть ( на картинке ) ?



  • Нет другая. На картинке я выделил видно подсеть 192.168.10.0\24. К предыдущей проблеме это не имеет отношение. И ту подсеть не затрагиваем



  • Добрый
    @oxigen1987 said in Доступ из одной подсети в другую:

    Есть вторая подсеть 192.168.10.0\24

    Рисуйте правило на том интерфейсе, где находится эта подсеть. Так и только так.



  • @oxigen1987 какой это интерфейс? Какой у него адрес?, какой гейтвей по умолчанию у 192.168.10.74? У меня есть подозрение, что это правило не там стоит



  • @oxigen1987

    Правила на скрине привести бы в порядок.
    Напр., касаемо smtpmailru. Достаточно создать один алиас с номерами портов (TCP 993,465,995,587 хватит, 25,110 - не надо) и пользовать его в правилах. А не городить 100500 правил для каждого почтового порта. И почему в dst явно не указаны smtp.mail.ru, pop3.mail.ru, imap.mail.ru (создать алиас из них и пользовать) , если уже речь о маил.ру идет?

    Правила skype - в сад. Скайп прекрасно работает просто по http\https (tcp 80,443). Не нужно ему явно 100500 портов разрешать. Проверьте сами.

    Правила SUPERADMIN, admin поставить выше всех. Если проблем не хотите.

    Правило LAN -> pfsense зачем? Разрешите доступ к вебке пф только админам. SSH вообще лучше откл. в Вашем случае.

    Правило 1cservers. Где в dst алиас с адресами адинэс-серверов ?

    Правило NAT (последнее к-ое) . Что оно делает на ЛАН?!

    Не обижайтесь. Но "каша" :(

    Зы. Смысл прост. Разрешить только избранным особые порты, протоколы, адреса в Сети. Остальным - только http и https. Все остальное - не открывать.



  • Я позже с этим разберусь. Сейчас интересует мой вопрос.
    Правило прописано в Lan интерфейсе 192.168.10.0\24.
    В этой подсети все имеют адреса 192.168.10.x\24
    Шлюз у этой подсети 192.168.10.4



  • Раз на то пошло, то решил упростить правила.
    0_1538395431485_2.png
    В Server POST прописаны
    smtp.mail.ru
    pop.mail.ru
    imap.mail.ru
    smtp.yandex.ru
    pop.yandex.ru

    В POST PORTS прописаны
    143
    465
    110
    587
    993
    995
    25

    Так вот как только я отключаю правило, которое ниже, пользователи перестают получать и отправлять почту.
    Подозреваю, что еще какие-то порты необходимо открыть, поскольку у правила ниже открыты все порты
    В SMTP SERVER MAIL прописаны маиловские IP адреса

    Правило NAT отключил пока. Ибо не помню что за эксперементы проводил.
    Правила где скайп пока трогать не буду.

    Подскажите что поправить?



  • @oxigen1987 Здр
    что с ДНС ?



  • Как в прошлый раз? Что ли



  • @oxigen1987 Я не знаю , Вам виднее , где ДНС сервер находится , и имеют ли хосты к нему доступ



  • DNS сервер находится у меня в сети 192.168.10.1 он же контроллер домена



  • @oxigen1987 Тогда надо действовать как в прошлый раз
    для POST USERS создать запрещающее правило с логом и смотреть , что отсекается



  • Так же ДНС Указал и пока работает.
    Теперь хочу вернуться к начальному вопросу.
    Почему правило не работает на первой картинке, то которое выделено?



  • @oxigen1987 Доброе утро
    Если можно , дайте пож картинку с топологией сети
    Без нее сложно понять , что и как у Вас настроено
    а так , для начала , попробуйте с PFSEnse пинговать хост 10.10.10.1
    виден ли 10.10.10.1 ?



  • Пингуется. И из 192.168.10.0/24 тоже пингуется
    0_1538459500289_3333333333.png



  • 0_1538459993487_4.png



  • 0_1538460004630_5.png



  • @oxigen1987 Тогда получается , что проблема не в PF ( правило работает ) . Возможно , проблема в контроле доступа сервера . Например , он не пускает все сети отличные от 10.10.10.0/24



  • @konstanti и с этим ничего не поделаешь?



  • Жаль



  • @oxigen1987 said in Доступ из одной подсети в другую:

    Жаль

    Неужели на сервере нельзя настроить firewaall\iptables\и т.д и разрешить доступ из нужной подсети?



  • @oxigen1987 said in Доступ из одной подсети в другую:

    и с этим ничего не поделаешь?

    @oxigen1987 said in Доступ из одной подсети в другую:

    Жаль

    Неужели на этом сервере нельзя настроить firewaall\iptables\и т.д и разрешить доступ из нужной подсети?



  • Если не трудно киньте ссылку



  • @oxigen1987 Кроме того , что сервер windchill , вы никаких вводных не дали
    Нельзя узнать про его настройки у тех , кто его устанавливал и настраивал ?
    Вещь сложная , можно поломать всю работу предприятия



  • @oxigen1987 said in Доступ из одной подсети в другую:

    Если не трудно киньте ссылку

    Ссылку на что?
    Если сервер на Windows - просто для теста временно отключите брандмауэр
    Если это iptables - что вроде
    https://i-notes.org/centos-iptables-otkryt-dostup-k-serveru-dlya-podseti
    https://losst.ru/nastrojka-iptables-dlya-chajnikov



  • Брандмауер отключен. Что самое интересное 10.10.10.1 пингуется из 192.168.10.74.
    Для доступа к web морде Windchill (конструкторская программа) необходимо вводить в браузере "Server.corp.locall\Windchill". При таком варианте браузер пишет
    "Не удается получить доступ к сайту
    Не удается найти DNS address сервера server.corp.local."



  • @oxigen1987 какой адрес у днс сервера , где стоит windchill и конструкторов ?
    настройте тот же днс сервер на хосте , которому нужен доступ из другой подсети
    проверьте , будет ли в такой случае пинг
    ping на Server.corp.local ( именно на Server.Corp.local)
    что будет , если в строке браузере вместо Server.Corp.local явно указать
    адрес 10.10.10.1\Windchill ?
    Ваша проблема в том , что вы даете информацию кусками
    Здесь нет экстрасенсов , угадать , что и как у Вас настроено очень сложно



  • @oxigen1987 said in Доступ из одной подсети в другую:

    "Не удается получить доступ к сайту
    Не удается найти DNS address сервера server.corp.local."

    То есть нужный сервер пингуется из другой сети? Тогда firewaall\iptables не при чем.

    @konstanti said in Доступ из одной подсети в другую:

    какой адрес у днс сервера

    Опередили. Явная проблема с ДНС.



  • Указал второй ДНС 10.10.10.1.
    На самом сервере подсети 10.10.10.1 в домене добавил такого же пользователя с таким же паролем, как и того который в 192.168.10.74
    Зашел в свойства компьютера (т.е. сервера) во вкладке удаленный доступ, кнопка выбрать пользователей, указал пользователя которого создал.

    Только одно НО! Если я добавляю пользователя 192.168.10.74, в проксе (список ACL ). Т.е. запрещаю выход в интернет, то доступа к Server.Corp.local НЕТ!
    Подскажите как запретить доступ к интернету и чтоб работал Server.Corp.local



  • @oxigen1987 Так вы же создавали правило , чтобы он имел доступ только к 10.10.10.1 . Оно существует ???
    Покажите пож настройки acl proxy для blacklist
    я правильно понимаю , что Вы блокируете всем кто включен в ACL доступ по порту 80 и 443 на интерфейсе LAN ??
    Можно не мучаться и не добавлять этого пользователя в ACL
    а разрешить ему в правилах доступ только к 10.10.10.1 (к примеру , порты 80,443,53)
    Или создать ACL разрешающий доступ к 10.10.10.1



  • 0_1538649437401_888.png



  • @oxigen1987
    В теории я бы сделал так ( не знаком со squid хорошо)
    в squid
    1 создал бы whitelist где разрешил бы доступ всем доступ к 10.10.10.1
    2 создал бы blacklist , который блокировал бы все что нужно Вам
    очередность правил acl важна
    3 на интерфейсе lan оставил бы правило , разрешающее доступ к 10.10.10.1 от того хоста , которому нужен доступ
    те была бы связка firewall + squid на портах 80,443
    в теории тогда бы ,когда хост 192.168.10.74 обращался бы к 10.10.10.1 через браузер
    он бы был пропущен firewall-ом и squid



  • Создать еще один White list насколько я знаю невозможно.
    Смысл сквида такой. Пользователи, которые не в Banned list имеют доступ к интернету, но только если прописан шлюз. Либо в браузере, либо в свойствах сетевой карты



  • @oxigen1987 Хорошо , задам вопрос так
    куда делось правило , разрешающее 192.168....74 доступ к 10.10.10.1 ???
    если оно живо , то зачем еще 74 хост включать в acl squid ?
    если и так у Вас этот хост никуда больше доступа не имеет



  • 0_1538659373818_777.png



  • @oxigen1987 Настоятельно рекомендую правила в порядок привести
    Согласно этой таблице вся сеть 192.168.10.0 кроме POST users имеет доступ ко всему ( т е не имеет ограничений на интерфейсе lan)