Podsiec
-
Witam,
Mam glowna podsiec na adresach 192.168.4.0 ale firewal i pfBlockerNG oraz DNS nie widzi tej podsieci. Podziec jest na eero gdzie ustawilem jako serwer DNS 192.168.1.1 czyli Pfsense ale ale ja ignoruje. W tej podsieci wciaz dzila serwer DNS na adguard i wciaz z z nie kozysta. Jak zrobic aby ruch w tej posieci kozystal z serwera pfsense?
-
Chyba przyda się trochę więcej informacji. Przykładowo:
- jak skonfigurowane jest to eero (jako router, czy jest czymś przezroczystym ja access point)
- rozumiem, że sieć oparta o eero ma być połączona z pfsense, ale jak to jest zrobione fizycznie
Pewnie inne szczegóły też by się przydały. Ale do tego czasu rzucę kilka innych pomysłów:
- jeśli urządzenie eero działa jak router to pewnie jego WAN należy połączyć z siecią LAN pfsense
- jeśli pfsense jest umieszczony w tej sieci eero to wtedy należy na pfense utworzyć nowy LAN dla sieci 192.168.4.x i dodać reguły pozwalające na ruch z sieci 192.168.4.x do 192.168.1.1
To takie moje wstępne gdybanie, bo z pierwotnego opisu trudno ustalić topologię tej sieci i co gdzie jest połączone i jak ma docelowo działać.
-
Witam,
Dziieki za odpowiedz. Z tym DNS to pospieszylem powoli wszystkie urzadzenia zaczely odpytywac pfsense. Ale dales mi do myslenia. Pfsense fizycznie jest wpiety przed eero. Czy nie lepiej wpiac go do eero do sieci 192.168.4.x i wylaczyc DHCP? Czy bedzie spelnial swoje zadanie? -
Niestety nigdy nie używałem eero. Trudno więc mi wnioskować. Ogólnie jeśli masz dwa urządzenia działające jak router, to nie będzie chyba najszczęśliwsze połączenie, ale oczywiście może działać. Może to eero da się przełączyć w opcjach w tryb Access Point i wtedy pfsense przejmie wszystkie zadania routera.
Choć mam wrażenie, że nim to wypróbujesz, to lepiej się lekko cofnąć, zastanowić się i odpowiedzieć na pytanie "co się chce osiągnąć". Bo przynajmniej ja nie potrafię tego odgadnąć. Napotkałeś na jakieś problemy, ale zgaduję, że miałeś jakiś cel podczas realizacji i tego nie wiem. Bez tego trudno powiedzieć jaka droga jest najlepsza, bo trudno przewidzieć czy chcesz tylko naprawić pewien problem, czy doprowadzić sieć do jakiegoś konkretnego stanu/konfiguracji
-
Eero ma dzialac przedewszytkim jako przedluzacz wifi i dziala rewelacyjnie polecam, malem wczesniej dwa i to firmowe jeden padl zupelnie a drugi wicznie sie wieszal. Pfsense ma byc firewalem jego podstawowe zadanie, ktore jak widze spelnia. Jedynie i nie wiem czy mozna to ustawic jesli jest on w podsieci aby widzial urzadzenia w podsieci? a jesli go wrzuce do podsieci 192.168.4.x to chyba nie bedzie juz tak dobrze spelnial swojego zadania? Dobrze rozumuje? Nie jestem jakims zawodowcem Bawie sie tym hobistycznie
-
Nie wiem jaki masz model, ale na szybko szukając chyba da się włączyć "bridge mode", gdzie będzie to pracować jako Access Point z trybem mesh (rozumiem, że to używasz?) - https://support.eero.com/hc/en-us/articles/207621056-How-do-I-set-up-my-eero-if-I-want-to-keep-my-existing-router
Może znając konkretny model lub szukając w instrukcji obsługi coś się da znaleźć. Bo szybki google mówi, że nie działa to w typowym przezroczystym trybie Access Point i ten bridge to najbliższe temu by eero nie był routerem. Na pewno nie powinno się podłączać różnych urządzeń z różnymi adresami podsieci ze sobą lub do jednego switcha (a przynajmniej jeśli nie są w innej podsieci vlan).
A do czego potrzebujesz pfsense? Może samo eero wystarczy? Choć sam rozumiem potrzebę "zabawy z siecią". Sam nie potrzebuję tak złożonej jak mam
Nadal też nie wiem co chcesz osiągnąć. Nie tyle jakie adresowanie czy technikalia chcesz, ale jak ma być połączone i jak używane. Warto sobie zrobić mentalny projekt - łatwiej szukać problemów i rozwiązań. A przynajmniej mi się to sprawdziło. Ewentualnie może ktoś inny to czytający widzi lepsze rozwiązanie, które nie potrzebuje dokładnego opisu celu lub zna to urządzenie. Bo potencjalnych rozwiązań można by opisać na średniej grubości książkę
-
Mam eero Wi-Fi 6 I tak jak juz pisalem chcialbym widziec podsiec na roterze. Wiem ze to mozna zrobic ale zabardzo mi to nie wychodzi. A co do ochrony mojej sieci to ma na tym punkcie krecka. Mialem kiedy wlam do sieci i na moj komp. Taki niby znajomy z innego miasta wlazl na mojego kompa zrobil zrzut ekranu zawartosci moich plikow, wsciekly nawet nie zapytalem jak to zrobil
-
Z góry sorry za długi tekst :)
Podejście do konfiguracji samego eero opisują np pod tym linkiem oraz w artykułach, które są we wspomnianym artykule. Czyli albo przełączenie erro w tryb bridge (ale wg artykułu traci się część możliwości sterowania tymi urządzeniami), albo double NAT.By zrobić coś dalej przydadzą się informacje:
- gdzie podłączony jest kabel sieciowy od dostawcy internetu? Czy do portu WAN pfsense czy eero?
- jak aktualnie kablami połączony jest pfsense z eero? LAN pfsense z WAN eero, a może LAN eero z LAN pfsense, a może jeszcze inna konfiguracja
- co dotychczas zostało skonfigurowane w pfsense?
- czy sam pfsense bez eero pozwala na połączenie z internetem i działa tak jak tego chcesz?
od razu ostrzegam, że te odpowiedzi mogą zrodzić nowe pytania - niestety w kwestii bezpieczeństwa jest ten problem, że pfsense, a i same urządzenia sieciowe łatwo skonfigurować w niebezpieczny sposób jeśli człowiek nie do końca wie co robi. Ja z chęcią pomogę w miarę możliwości, ale (wiem, że robię się nudny) nadal nie do końca wiem co chcesz osiągnąć. Info o chęci połączenia dwóch podsieci to już coś, ale bez opisu fizycznego połączenia oraz wielu innych informacji muszę zakładać tak wiele informacji, że jest niemal nieuniknione, że zaproponuję coś groźnego. Stąd mimo iż bym mógł coś proponować od samego początku to wciąż dopytuję. Uważam, że dobrze zrobiłem skoro zależy Ci na bezpieczeństwie. Przykładowo pewnie bezpieczniej by użyć samo eero niż źle skonfigurowany pfsense - zgaduję, że uważasz, że pfsense coś Ci da, co polepszy sytuację.
Oczywiście opisywanie architektury jest cholernie irytujące, więc jeśli uważasz, że lubisz ryzyko to mogę od razu coś proponować tylko zgadując co potencjalnie masz u siebie i jak potencjalnie jest to ze sobą połączone. Tylko pewnie wtedy będziesz musiał korygować moje złe założenia i poniekąd podać to o co zapytałem wcześniej ;)
-
Raczej na te ograniczenia zmiana pracy eero odpada mialbym spore zamieszanie w sieci. WAN podlaczony jest do pfsense a nastepnie do eero. Pfsense bez eero mozna sie laczyc z internetem w ten sposob zrobilem wstepna konfiguracje. Konfiguracje przeprowadzilem wedlug tego gadatliwego gostka https://www.youtube.com/watch?v=slfMRQ77AMA. Pominalem tam polaczenia ktore proponowal do polacze z zewnatrz do pfsense bo tego nie potrzebuje. Doinstalowalem snort i pfblockerNG wydaje sie ze dobrze. Co che osiagnac tak abym widzial adresy 192.168.4.x i co sie tak dzieje na tych adresach i to wszytko.
-
Jeśli dobrze to rozumiem, to może być z tym problem. Masz klasyczny double NAT. Swój adres WAN eero dostaje zapewne od pfsense (jakiś 192.168.1.x). Ale ponieważ eero działa jako router to dla swojej sieci (192.168.4.x) robi NAT. Więc jakikolwiek ruch przychodzący z LAN eero zamieniany jest po stronie WAN eero (czyli LAN pfsense) na adres WAN eero plus jakiś losowy port czyli 192.168.1.x:port i w ten sposób pewnie widzisz w pfsense źródło wszelkiego ruchu sieciowego.
Zaś gdyby całą sieć połączyć z portami LAN obu urządzeń to by się zagryzły - nie bardzo da się mieć dwa routery dla tej samej podsieci. No chyba, że da się w eero wyłączyć DHCP oraz cokolwiek co by nakłaniało do ruchu przez to urządzenie. Wtedy pfsense i jego DHCP dawałby sieci adresy 192.168.4.x.
Przez to, że nie znam eero to nie wiem jakie problemy by to wygenerowało i czy się da
-
-
Niekoniecznie tylko bridge. Można też na pfsense zdefiniować tę samą sieć 192.168.4.1 i połączyć porty LAN obu urządzeń jednym switchem. Mamy w tym momencie dwa routery z tym samym adresem podsieci. Zakładam, że pfsense ma być docelowym routerem więc do portu WAN eero nic nie podłączamy. Teraz wszelkie DHCP należy wyłączyć w eero by czasem nie przyznawał adresów urządzeniom (lub na odwrót - wyłączasz w pfsense a zostawiasz w eero). Ogólnie to rzecz do zastanowienia bo nie wiem co poza przedłużaniem sieci wifi robi dla Ciebie to urządzenie (jak widzisz planowanie to dobra rzecz i w końcu wraca jeśli nie było planowania wczesniej ). Potem trzeba zadbać by w odpowiednich miejscach domyślną brama była ustawiona na adres LAN pfsense. Ponieważ to nietypowa konfiguracja, a nie wiem co masz podpięte do sieci i jak tego używasz, to spora szansa, że przez jakiś czas będziesz odkrywać, że jakąś małą rzecz trzeba lepiej skonfigurować lub zmienić. Potencjalnie coś pominąłem, ale wszelkie czynności mają sprawić, że tylko jedno urządzenie działa jak router, drugie ma wyłączone co się da, a co mogłoby źle kierować ruch.
-
Musze jeszcze sprawdzic jak dziala pfblocker z regulami adguard bo jego dzialania jak na ta chwile nie podoba mi sie. Reguly w feed stare nieuaktulniane lata, wiele z nich komunikat nie znaleziono. Gdzie na tym forum wyczytalem ze mozna dodac reguly z adguard. Jesli to sie nie sprawdzi to chyba zmienie cale podejscie