Configurazione dual gateway e dual DNS
-
Ciao a tutti. Ho bisogno di un consiglio per la configurazione di pfsense 2.4.4 p1. Ho un Pc con tre schede di rete così configurate:
WAN: con IP fisso che va su internet Telecom
LAN: con IP fisso per una rete interna 10.x.x.x abbastanza grande (circa 200 IP) con un proprio DNS privato
OPT1: con DHCP su rete 192.168.50.x con un paio di pc collegatiI pc sulla rete OPT1 si collegano ad internet tramite WAN e DNS 8.8.8.8 per tutti gli indirizzi che non sono sulla rete 10.x.x.x, mentre per gli indirizzi sulla rete interna 10.x.x.x dovrebbero uscire tramite LAN ed il suo gateway, ma utilizzando il DNS interno. Quest'ultima cosa non mi riesce, in pratica, riesco a raggiungere internet, gli ip numerici sulla rete interna, ma non tramite DNS.
L'unica cosa che ho configurato su PFSENSE sono i firewall->rules->floating inserendo due regole:
- che ridireziona tutto il traffico da OPT1 verso gli IP !10.0.0.0/8 sul Gateway della WAN che mi permette di uscire su internet
- che ridireziona tutto il traffico da OPT1 verso gli IP 10.0.0.0/8 sul Gateway della LAN che mi permette di raggiungere le macchine sulla rete LAN, ma non va il DNS
Avete qualche suggerimento?
Inoltre ho l'esigenza di utilizzare il remote desktop di windows da un pc collegato a OPT1 verso un pc su la rete LAN 10.x.x.x, ma non funziona.
Grazie Angelo
-
Ciao,
sinceramente fatico a capire cosa non ti funziona e cos'hai fatto.
Partendo dal fatto che ogni subnet può utilizzare un dns diverso, non vedo dove sia il problema, probabilmente hai fatto confusione con le regole e con i gateway. Quqndo scrivi:"...rete interna 10.x.x.x dovrebbero uscire tramite LAN ed il suo gateway..." cosa intendi? Sulla LAN non va configurato un gateway, l'interfaccia LAN è gateway per i dispositivi ad essa collegati e se non hai toccato la regola di default che permette tutto il traffico generato da LAN Net verso ANY, i client ad essa connessi possono andare sia in internet che sul segmento OPT1
Invece il segmento OPT1 non ha regole di default definite e devi metterle tu. Se OPT1 è una DMZ dovresti avere almeno 2 regole:- una regola che fa il reject del traffico proveniente da OPT1 e diretto a LAN
- una regola che permette il traffico proveniente da OPT1 e diretto a qualsiasi indirizzo
LA prima regola deve stare in cima e ti blocchera il traffico verso la LAN, se vuoi permettere sulo RDP verso un ip specifico della LAN, dovrai aggiungere una terza regola da metter eprima di quella di blocco e questa regola dovrà permettere RDP proveniente dall'IP 192.168.50.x verso l'IP 10.0.0.x per il protocollo RDP
Le regole che hai scritto tu le eliminerei.
Ciao Fabio
-
Ho provato ha fare uno schema per tentare di far comprendere la situazione, ho optato di eliminare momentaneamente la terza scheda di rete (OPT1) mettendo il PC che dovrà gestire il tutto direttamente sulla LAN, in questo modo funziona quasi tutto, la cosa che non funziona è effettuare l'RDP con i pc che non sono collegati al mio switch o comunque il ping, in pratica non riesco ad impostare che per collegarmi a quei pc deve uscire tramite il gateway(192.58.48.1) della LAN, dallo schema che ho messo sotto devo collegarmi tra il 192.58.49.100 al 192.40.80.100 ad esempio.
Le regole che ho messo su pfsense sono le seguenti, in Firewall/Rules/LAN:IPv4 TCP/UDP LAN net * 192.0.0.0/8 * GW_LAN none
IPv4 * LAN net * * * GW_WAN noneIntendendo che tutte le richieste che provengono dalla LAN verso gli indirizzi 192.0.0.0/8 utilizzino il gateway GW_LAN che è 192.58.48.1, per tutte le altre richieste va con il GW_WAN che fa uscire su internet.
Nelle impostazioni delle reti in pfsense ho lasciato il gateway configurato soltanto alla WAN.Inoltre in System/General Setup ho inserito oltre al DNS di google 8.8.8.8 i miei 2 DNS interni 192.58.48.23 e 192.58.48.24.
Ultima cosa se non uso PFSENSE e mi collego direttamente allo switch in figura 192.58.49.10 ed uso come gateway 192.58.48.1 (firewall telecom) riesco a fare tutto RDP, ping etc con tutti i pc dell'intera rete. La mia esigenza e che tramite pfsense vorrei dare accesso ad internet a determinate macchine della rete LAN.
Spero di essere stato più chiaro questa volta.Scusate, ma sono alle prime armi con pfsense, abbiate un pò di pazienza.