Объединение двух Pfsense в один L2

max5775

Есть такая задача, объединить две сети в одну на уровне L2, чтобы клиенты филиала получали адреса не от своего роутера, а от dhcp в главном офисе. Можно это реализовать двумя машинами на pfsense?

Konstanti

@max5775
Здр
В теории , да , можно .
Каким образом соединены 2 офиса между собой ?

max5775

На данный момент в главном офисе стоит pfsense с openvpn и к нему из филиала подключается один виндовый клиент через приложение openvpn client. Скоро в офисе появится с десяток новых машин и мне нужно организовать vpn соединение на шлюзе в филиале так, чтобы эти клиенты получали адреса с dhcp сервера в главном офисе, т.к там настроена связка к dhcp+ddns и на ней завязано много служб типа puppet, kaspersky security center и пр. Вот накидал примерную схему. Вобщем мне нужно что-то типа прозрачного бриджа в основную сеть.

Konstanti

@max5775
Из вашей схемы , к сожалению , непонятна адресация сетей
поэтому не ясно , нужен здесь L2 или L3 уровень . Pfsense может быть DHCP Relay-ем , соответственно можно пробрасывать DHCP запросы к нужному серверу . Или нужна общая адресация в пределах одной сети ?
Openvpn умеет соединяться в режиме tap интерфейса , тогда он начинает работать в режиме моста
Есть еще способ объединения сетей на L2 уровне , но это делается не средствами PF , а средствами Freebsd , которые уже встроены в ядро PF( но из коробки PF их не использует )

max5775

@Konstanti вроде все понятно описал. Попробую еще, самая основная суть проблемы - клиенты в филиале и серверы в офисе должны иметь возможность общаться между собой по dns именам. Соответственно есть связка ddns+dhcp на сервере в офисе. Чтобы клиент прописал свое имя в dns, он должен получить адрес от данного сервера в офисе. Проще всего это реализвать, если будет прозрачный бридж между сетями. В филиале я могу сделать любую адресацию, т.к там сейчас по факту сети нет в принципе.

Konstanti

@max5775
Тогда делайте все на основе Openvpn туннеля в режиме tap. В результате , оба сегмента сети ( офис - филиал ) будут объединены в единое адресное пространство.

max5775

У меня еще до конца не сложилось понимание как это будет все работать. Т.е я объединяю в бридж интерфейс openvpn и lan на pfsense в офисе и то же самое делаю в филиале. Настраиваю tap соединение с dhcp бридж и вроде как все. Pfsense в филиале подключаясь по openvpn к Pfsense в офисе будет создавать бридж между ними и клиенты в филиале смогут делать запросы к dhcp-серверу в офисе. Я прав или где-то ошибаюсь?.

Konstanti

@max5775
Верно , Вы создаете один широковещательный домен , использование которого позволит удаленным клиентам получать ответы на DHCP запросы от офисного сервера .
И все клиенты будут принадлежать одной сети с единой адресацией .

pigbrother

Показалось важным. Из официальной документации:
....One or both of IPv4 Tunnel Network and IPv6 Tunnel Network may be entered, or in the case of a tap bridge, neither.
https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/configure.html#ipv4-ipv6-tunnel-network

werter

This post is deleted!

werter

@max5775 said in Объединение двух Pfsense в один L2:

чтобы клиенты филиала получали адреса не от своего роутера,

От своего роутера клиенты в ЛЮБОМ случае получают адрес. Иначе они в инет не выйдут. Вам же надо, чтобы впн-адрес клиента был из локальной сети главного офиса.
Так правильнее.

Соответственно есть связка ddns+dhcp на сервере в офисе

Причем тут ddns? Это 2-й человек за неделю, к-ый не видит разницу между dns и ddns. У вас сеть в головном вообще доменная? Сервер dns в ней имеется?

В филиале я могу сделать любую адресацию, т.к там сейчас по факту сети нет в принципе.

Если не будет инета в головном или в филиале, то филиал будет вообще сидеть БЕЗ локальной сети - dhcp-то не доступен. Я бы так не делал.

max5775

@werter если туннель L2 поднят, то клиенты не обязаны получать адрес от своего роутера, они будут посылать броадкаст к dhcp, который будет транслироваться через туннель к dhcp серверу в главном офисе. По поводу ddns - если я написал ddns, значит это ddns и разницу я понимаю, вопрос был не про это и при чем тут вопрос есть ли у меня домен или нет? У меня связка samba4+ddns+dhcp. Т.е dhcp сервер динамически обновляет записи на dns сервере, причем для всех машин, даже которые не в домене. По поводу того, если не будет доступа к главному офису, то в данном случае сеть в филиале не будет нужна в принципе, т.к ВСЕ сетевые сервисы находятся в офисе.

werter

Добрый.
@max5775 said in Объединение двух Pfsense в один L2:

У меня связка samba4+ddns+dhcp

Про наличие у вас самбы догадываться надо? Почему не написать об этом сразу?

По поводу того, если не будет доступа к главному офису, то в данном случае сеть в филиале не будет нужна в принципе, т.к ВСЕ сетевые сервисы находятся в офисе.

И интернет в филиале тоже не нужен?

Представим ситуацию.
Вам ОЧЕНЬ нужно попасть в филиал, но в головном НЕТ инета, но есть вариант с др. каналом из стороннего места. Вы как в филиал попадете на нужное место, если в нем нет локальной сети (но есть инет)?

Зы. И зачем такой филиал нужен? Почему не перенести все сервисы из филиала в головной? Или вы филиал за границей держите подальше от "любознательных" из головного? Тогда это др. вопрос.

max5775

По поводу samba я уже написал - к делу она никак не относится, был конкретный вопрос по конкретной задаче. Вы же не знаете нашу специфику зачем начинаете строить догадки и предположения, что нам нужно, а что нет. По факту - людям в филиале нужен доступ к 1С в офисе - это все, доступ в интернет постольку поскольку. Их работа - получать и вносить данные в базу. Но т.к их станции работают на Linux, и у нас все автоматизировано в плане настроек, то для их конфигурации мы используем puppet, кроме того есть клиент kesl и еще много вспомогательных сервисов, которые также через vpn придется как-то маршрутизировать и связывать с нашими серверами, поэтому значительно проще будет организовать L2 туннель. По dhcp они получают имена серверов, серверы соответственно могут им ответить также по имени.

werter

@max5775

По факту - людям в филиале нужен доступ к 1С в офисе - это все

Так у вас там еще и одинсэ.

Мил человек, я не настаиваю. Настраивайте как хотите. Я просто предупредил о ДВУХ точках отказа - это каналы в Сеть в головном и филиале.
Северный пушной зверек приходит неожиданно. А спросят с вас.

max5775

@werter а типа при другом раскладе не 2 точки отказа?

werter

Добрый.

@max5775 said in Объединение двух Pfsense в один L2:

а типа при другом раскладе не 2 точки отказа

Представим ситуацию.
Вам ОЧЕНЬ нужно попасть в филиал, но в головном НЕТ инета, но есть вариант с др. каналом из стороннего места. Вы как в филиал попадете на нужное место, если в нем нет локальной сети (но есть инет)?

Ваши действия в ситуации выше ?

max5775

@werter Честно говоря разговор уже пошел не туда.
Я же написал - если есть проблемы в офисе - филиал отдыхает при любом раскладе. Там нет ничего, кроме клиентов для доступа к 1С, ни файлопомойки ни других сервисов. И да, у нас два канала интернет, если что.

werter

@max5775
Тогда все карты у вас на руках ) Ребята выше уже подсказывали как реализовать.