разделить две сети
-
Добрый день помогите разделить 2 сети, что бы они не видели друг друга.
В наследство от прошлого админа досталась сеть
НА сервере pfsense 3 lan порта.
В данный момент гости подключающиеся через Unifi к сети 10.10.0.1/24 могут получить по dhcp адрес из рабочей сети (и не иметь доступ к интернету из-за этого) и наоборот иногда проскакивает, что компьютеры рабочей сети получают адрес из гостевой.
В Pfsense новичок, подскажите где и как правильно разделить (изолировать друг от друга) эти 2 сетевые карты, что бы не было сквозного пересекания адресов, как это происходит сейчас.Самому эксперименты проводить сложно, т.к. предприятие работает круглосуточно. И ни дай бог ляжет сеть, то порвут в клочья )))
-
@dr0ng0 said in разделить две сети:
В данный момент гости подключающиеся через Unifi к сети 10.10.0.1/24 могут получить по dhcp адрес из рабочей сети (и не иметь доступ к интернету из-за этого) и наоборот иногда проскакивает, что компьютеры рабочей сети получают адрес из гостевой.
В Pfsense новичок, подскажите где и как правильно разделить (изолировать друг от друга) эти 2 сетевые карты, что бы не было сквозного пересекания адресов, как это происходит сейчас.Просто настраиваются правила файрвола.
У вас не совсем понятна конфигурация - если хосты получают адреса то с одной сети, то с другой, то выглядит так будто эти две сетевухи объединены в бридж и в сетке два DHCP сервераВообщем надо больше подробностей о конфигурации
Можно скриншоты DHCP Server, Interfaces / Interface Assignments, правила файрвола -
@viktor_g
в организации 2 dhcp (1 на pfsense в сети 10.10.0.1, второй в рабочей сети 192.168.1.1 на сервере ideco).
Я то и предполагаю, что через правила надо, но вчера убил интернет ими на обоих LAN интерфейсах. пришлось руками отключать правила и выключать файервол. За что получил по голове )))
со своего рабочего компа свободно вижу что рабочую сеть, что гостевую.
-
Добавьте наверх правил JOBLAN правило "Deny any from any to LANGUEST net", а наверх правил LANGUEST правило "Deny any from any to JOBLAN net"
-
@viktor_g ну что сказать пинги и т.д. вроде пропадает, но при подключении моего сотового телефона к гостевой сети, я получаю IP адрес из рабочей (мой мак-адрес прописан там в настройках сервер IDECO dhcp).
Не пойму почему я подключаясь к wifi оборудованию UniFi находящемуся в гостевой сети 10.10.0.0, все так же получаю адрес по dhcp из рабочей сети.
Специально купил третью сетевую карту (что бы выделить вход на сервер IDECO, даже не просто в отдельную сеть, а даже и на отдельный интферфейс) в сервер PFSENSE в надежде, что поможет. Но так и не пойму как из гостевой сети (тот же мой телефон) проходит ко второй физической сетевой карте. -
@dr0ng0 Такое ощущение что у вас гостевая и рабочая сети подключены в один свитч. Или интерфейсы pfSense объединены в бридж. Иначе как ещё ваш телефон пробивается до DHCP IDECO.
-
@viktor_g конкретно в серверной разделил эти сети на 2 свитча. для этого и была куплена новая сетевая карта в PF.
чувствую в техподдержку Айдеко надо идти, что бы научили как вырубить входящие запросы на сервер из гостей. потому как не удивлюсь, что где то по крышам/зданиям эти обе сети могут быть включены в один свитч -
@dr0ng0 Так запустите снифер и посмотрите нет ли в гостевом свиче маков из рабочей. Если свич управляемый то можно поглядеть на каком порту эти маки.
-
@viktor_g все бюджетный вариант. управляемого ничего нет ) меня вот смущает правило NAT где эти сети обе в 1 правиле. Не может ли отсюда идти пересечение? Ибо из гостевого свитча убирал лишние провода,что бы не прыгать по крышам, но сети так друг друга и видят.
-
@dr0ng0 Нет, эти правила NATят сетки наружу (WAN), потому и работает инет на клиентах
Лучше покажите
/tmp/rules.debug, может что-то в правилах файрвола не так -
@viktor_g все спасибо.. вопрос закрыт. нашел таки где предыдущий Админ врубил обе сети в 1 свитч. И вообще нашел таки этот свитч о котором даже до этого и не знал )
-
@dr0ng0 Отлично! Будут ещё вопросы - обращайтесь.
