Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Объединение двух Pfsense в один L2

    Scheduled Pinned Locked Moved Russian
    19 Posts 4 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      max5775
      last edited by

      Есть такая задача, объединить две сети в одну на уровне L2, чтобы клиенты филиала получали адреса не от своего роутера, а от dhcp в главном офисе. Можно это реализовать двумя машинами на pfsense?

      K werterW 3 Replies Last reply Reply Quote 0
      • K
        Konstanti @max5775
        last edited by

        @max5775
        Здр
        В теории , да , можно .
        Каким образом соединены 2 офиса между собой ?

        1 Reply Last reply Reply Quote 0
        • M
          max5775
          last edited by max5775

          На данный момент в главном офисе стоит pfsense с openvpn и к нему из филиала подключается один виндовый клиент через приложение openvpn client. Скоро в офисе появится с десяток новых машин и мне нужно организовать vpn соединение на шлюзе в филиале так, чтобы эти клиенты получали адреса с dhcp сервера в главном офисе, т.к там настроена связка к dhcp+ddns и на ней завязано много служб типа puppet, kaspersky security center и пр. Вот накидал примерную схему. Вобщем мне нужно что-то типа прозрачного бриджа в основную сеть. Снимок экрана в 2020-11-16 15-24-38.png

          K 1 Reply Last reply Reply Quote 0
          • K
            Konstanti @max5775
            last edited by

            @max5775
            Из вашей схемы , к сожалению , непонятна адресация сетей
            поэтому не ясно , нужен здесь L2 или L3 уровень . Pfsense может быть DHCP Relay-ем , соответственно можно пробрасывать DHCP запросы к нужному серверу . Или нужна общая адресация в пределах одной сети ?
            Openvpn умеет соединяться в режиме tap интерфейса , тогда он начинает работать в режиме моста
            Есть еще способ объединения сетей на L2 уровне , но это делается не средствами PF , а средствами Freebsd , которые уже встроены в ядро PF( но из коробки PF их не использует )

            M 1 Reply Last reply Reply Quote 0
            • M
              max5775 @Konstanti
              last edited by

              @Konstanti вроде все понятно описал. Попробую еще, самая основная суть проблемы - клиенты в филиале и серверы в офисе должны иметь возможность общаться между собой по dns именам. Соответственно есть связка ddns+dhcp на сервере в офисе. Чтобы клиент прописал свое имя в dns, он должен получить адрес от данного сервера в офисе. Проще всего это реализвать, если будет прозрачный бридж между сетями. В филиале я могу сделать любую адресацию, т.к там сейчас по факту сети нет в принципе.

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @max5775
                last edited by

                @max5775
                Тогда делайте все на основе Openvpn туннеля в режиме tap. В результате , оба сегмента сети ( офис - филиал ) будут объединены в единое адресное пространство.

                1 Reply Last reply Reply Quote 0
                • M
                  max5775
                  last edited by

                  У меня еще до конца не сложилось понимание как это будет все работать. Т.е я объединяю в бридж интерфейс openvpn и lan на pfsense в офисе и то же самое делаю в филиале. Настраиваю tap соединение с dhcp бридж и вроде как все. Pfsense в филиале подключаясь по openvpn к Pfsense в офисе будет создавать бридж между ними и клиенты в филиале смогут делать запросы к dhcp-серверу в офисе. Я прав или где-то ошибаюсь?.

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @max5775
                    last edited by

                    @max5775
                    Верно , Вы создаете один широковещательный домен , использование которого позволит удаленным клиентам получать ответы на DHCP запросы от офисного сервера .
                    И все клиенты будут принадлежать одной сети с единой адресацией .

                    P 1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother @Konstanti
                      last edited by

                      Показалось важным. Из официальной документации:
                      ....One or both of IPv4 Tunnel Network and IPv6 Tunnel Network may be entered, or in the case of a tap bridge, neither.
                      https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/configure.html#ipv4-ipv6-tunnel-network

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter @max5775
                        last edited by werter

                        This post is deleted!
                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter @max5775
                          last edited by werter

                          @max5775 said in Объединение двух Pfsense в один L2:

                          чтобы клиенты филиала получали адреса не от своего роутера,

                          От своего роутера клиенты в ЛЮБОМ случае получают адрес. Иначе они в инет не выйдут. Вам же надо, чтобы впн-адрес клиента был из локальной сети главного офиса.
                          Так правильнее.

                          Соответственно есть связка ddns+dhcp на сервере в офисе

                          Причем тут ddns? Это 2-й человек за неделю, к-ый не видит разницу между dns и ddns. У вас сеть в головном вообще доменная? Сервер dns в ней имеется?

                          В филиале я могу сделать любую адресацию, т.к там сейчас по факту сети нет в принципе.

                          Если не будет инета в головном или в филиале, то филиал будет вообще сидеть БЕЗ локальной сети - dhcp-то не доступен. Я бы так не делал.

                          M 1 Reply Last reply Reply Quote 0
                          • M
                            max5775 @werter
                            last edited by max5775

                            @werter если туннель L2 поднят, то клиенты не обязаны получать адрес от своего роутера, они будут посылать броадкаст к dhcp, который будет транслироваться через туннель к dhcp серверу в главном офисе. По поводу ddns - если я написал ddns, значит это ddns и разницу я понимаю, вопрос был не про это и при чем тут вопрос есть ли у меня домен или нет? У меня связка samba4+ddns+dhcp. Т.е dhcp сервер динамически обновляет записи на dns сервере, причем для всех машин, даже которые не в домене. По поводу того, если не будет доступа к главному офису, то в данном случае сеть в филиале не будет нужна в принципе, т.к ВСЕ сетевые сервисы находятся в офисе.

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by werter

                              Добрый.
                              @max5775 said in Объединение двух Pfsense в один L2:

                              У меня связка samba4+ddns+dhcp

                              Про наличие у вас самбы догадываться надо? Почему не написать об этом сразу?

                              По поводу того, если не будет доступа к главному офису, то в данном случае сеть в филиале не будет нужна в принципе, т.к ВСЕ сетевые сервисы находятся в офисе.

                              И интернет в филиале тоже не нужен?

                              Представим ситуацию.
                              Вам ОЧЕНЬ нужно попасть в филиал, но в головном НЕТ инета, но есть вариант с др. каналом из стороннего места. Вы как в филиал попадете на нужное место, если в нем нет локальной сети (но есть инет)?

                              Зы. И зачем такой филиал нужен? Почему не перенести все сервисы из филиала в головной? Или вы филиал за границей держите подальше от "любознательных" из головного? Тогда это др. вопрос.

                              1 Reply Last reply Reply Quote 0
                              • M
                                max5775
                                last edited by max5775

                                По поводу samba я уже написал - к делу она никак не относится, был конкретный вопрос по конкретной задаче. Вы же не знаете нашу специфику зачем начинаете строить догадки и предположения, что нам нужно, а что нет. По факту - людям в филиале нужен доступ к 1С в офисе - это все, доступ в интернет постольку поскольку. Их работа - получать и вносить данные в базу. Но т.к их станции работают на Linux, и у нас все автоматизировано в плане настроек, то для их конфигурации мы используем puppet, кроме того есть клиент kesl и еще много вспомогательных сервисов, которые также через vpn придется как-то маршрутизировать и связывать с нашими серверами, поэтому значительно проще будет организовать L2 туннель. По dhcp они получают имена серверов, серверы соответственно могут им ответить также по имени.

                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter
                                  last edited by werter

                                  @max5775

                                  По факту - людям в филиале нужен доступ к 1С в офисе - это все

                                  Так у вас там еще и одинсэ.

                                  Мил человек, я не настаиваю. Настраивайте как хотите. Я просто предупредил о ДВУХ точках отказа - это каналы в Сеть в головном и филиале.
                                  Северный пушной зверек приходит неожиданно. А спросят с вас.

                                  M 1 Reply Last reply Reply Quote 0
                                  • M
                                    max5775 @werter
                                    last edited by

                                    @werter а типа при другом раскладе не 2 точки отказа?

                                    werterW 1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter @max5775
                                      last edited by werter

                                      Добрый.

                                      @max5775 said in Объединение двух Pfsense в один L2:

                                      а типа при другом раскладе не 2 точки отказа

                                      Представим ситуацию.
                                      Вам ОЧЕНЬ нужно попасть в филиал, но в головном НЕТ инета, но есть вариант с др. каналом из стороннего места. Вы как в филиал попадете на нужное место, если в нем нет локальной сети (но есть инет)?

                                      Ваши действия в ситуации выше ?

                                      M 1 Reply Last reply Reply Quote 0
                                      • M
                                        max5775 @werter
                                        last edited by max5775

                                        @werter Честно говоря разговор уже пошел не туда.
                                        Я же написал - если есть проблемы в офисе - филиал отдыхает при любом раскладе. Там нет ничего, кроме клиентов для доступа к 1С, ни файлопомойки ни других сервисов. И да, у нас два канала интернет, если что.

                                        1 Reply Last reply Reply Quote 0
                                        • werterW
                                          werter
                                          last edited by werter

                                          @max5775
                                          Тогда все карты у вас на руках ) Ребята выше уже подсказывали как реализовать.

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.