Пакаджи и pfsense



  • День добрый всем.Вопрос такой.Есть Две машины с ПФсенсом.На первой заеден инет и все прекрасно.Вторая машина находится на другом обьекте.Между ними поднята корпоративная сетка посредством adsl модемов.Люди на втором обьекте ходят в  инеь через первый пфсенс,посредством squid прокси.А теперь внимание основной вопрос уважаемые знатоки.Как сделать чтобы можно было загружать пакаджи на второй пфсенс с инета(как пустить пустую пфсенс через прокси другими словами.)
    Заранее спасибо.очень нужна помощь или совет в нужном направлении
    ![Lan for forum.jpg](/public/imported_attachments/1/Lan for forum.jpg)
    ![Lan for forum.jpg_thumb](/public/imported_attachments/1/Lan for forum.jpg_thumb)



  • думаю если сделать нормальный роутинг, то всё запоёт. Т.е. чтобы можно было без прокси интернет получать



  • @Shraik:

    думаю если сделать нормальный роутинг, то всё запоёт. Т.е. чтобы можно было без прокси интернет получать

    Тогда встречный вопрос.Как это сделать?Напрвьте по нужному пути



  • @djlexx:

    Тогда встречный вопрос.Как это сделать?Напрвьте по нужному пути

    Тогда давай точную схему с айпишниками итп



  • Вот схема с айпишниками.Клиенты под pfsense2 получают инет через прокси Pfsense1.надо чтобы можно было на pfsense 2 поставить пакаджи с инета.То есть прямого инета на втором шлюзе нет.

    ![Lan for forum.jpg](/public/imported_attachments/1/Lan for forum.jpg)
    ![Lan for forum.jpg_thumb](/public/imported_attachments/1/Lan for forum.jpg_thumb)



  • @djlexx:

    Вот схема с айпишниками.Клиенты под pfsense2 получают инет через прокси Pfsense1.надо чтобы можно было на pfsense 2 поставить пакаджи с инета.То есть прямого инета на втором шлюзе нет.

    А на pfsense 1 в файерволе 80 порт закрыт?
    открой на файере порт 80 только для pfsense 2

    Для чего нужен pfsense 2?

    В сквиде есть раздел access control, там в поле "Subnets that don't need authentication" можно попробовать добавить pfsense 2 туда.



  • Там все открыто.С компов через pfsense1 люди с корпоративки хлдят в инет,все нормально.Мне надо чтобы pfsense2 ходил в инет через прокси.с wan интерфейса.А второй pfsense нужен для учета трафа(нужно поставить squid,squidguard и lightsquid).редиректа портов всяких и тд и тп.без него никак.



  • Вы с режимом модемов ничего в схеме не напутали? Бридж вообще-то устройство канального уровня, откуда у него IP? И то, что у вас шлюзами (? "GT") указано.. 10.253.7.254, 10.253.8.254 - эти адреса кому принадлежат?



  • @rubic:

    Вы с режимом модемов ничего в схеме не напутали? Бридж вообще-то устройство канального уровня, откуда у него IP? И то, что у вас шлюзами (? "GT") указано.. 10.253.7.254, 10.253.8.254 - эти адреса кому принадлежат?

    модемы прозрачные.шлюзы (GT) принадлежат провайдеру.меня просто просили схему с точными айпишинками,вот и выдал.



  • ничего не понял, но не важно.. это бывает..
    а что у вас на pfsense1 в firewall->nat->outbound?



  • @djlexx:

    Там все открыто.С компов через pfsense1 люди с корпоративки хлдят в инет,все нормально.Мне надо чтобы pfsense2 ходил в инет через прокси.с wan интерфейса.А второй pfsense нужен для учета трафа(нужно поставить squid,squidguard и lightsquid).редиректа портов всяких и тд и тп.без него никак.

    С pfsense 2 192.168.0.32 пингуется? Если да, поставь его в качестве шлюза на pfsense 2 и закачай пакеты.

    Можно попробовать извратится и сделать заворот в portforwarding  pfsense 1 для pfsense 2 для порта 80 на 3128 и добавать в squid-е pfsense1 ip pfsense 2 в белый список, чтоб без авторизации ходил.
    Это при условии, что pfsense 2 видит 192.168.0.32.



  • @DasTieRR:

    @djlexx:

    Там все открыто.С компов через pfsense1 люди с корпоративки хлдят в инет,все нормально.Мне надо чтобы pfsense2 ходил в инет через прокси.с wan интерфейса.А второй pfsense нужен для учета трафа(нужно поставить squid,squidguard и lightsquid).редиректа портов всяких и тд и тп.без него никак.

    С pfsense 2 192.168.0.32 пингуется? Если да, поставь его в качестве шлюза на pfsense 2 и закачай пакеты.

    Можно попробовать извратится и сделать заворот в portforwarding  pfsense 1 для pfsense 2 для порта 80 на 3128 и добавать в squid-е pfsense1 ip pfsense 2 в белый список, чтоб без авторизации ходил.
    Это при условии, что pfsense 2 видит 192.168.0.32.

    будет пинговаться если openvpn поднять между ними.а в данный момент с pfsense2 192.168.0.32 не пингуется.



  • @rubic:

    ничего не понял, но не важно.. это бывает..
    а что у вас на pfsense1 в firewall->nat->outbound?

    WAN    192.168.0.0/24  *  *  *  *  *  NO
    Mels    192.168.0.0/24  *  *  *  *  *  NO
    Apanet    192.168.0.0/24  *  *  *  *  *  NO
    и стоит Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))



  • Люди добрые, ;D мне надо все гораздо проще.мне надо гдето прописать настройки прокси на wan интерфейс на втором pfsense.только в каком конфиге это дописать.вот в чем загвоздка



  • @djlexx:

    Люди добрые, ;D мне надо все гораздо проще.мне надо гдето прописать настройки прокси на wan интерфейс на втором pfsense.только в каком конфиге это дописать.вот в чем загвоздка

    Конфиги хранятся в *.inc файлах (в PfSense)

    Я всё равно не понимаю зачем тебе нужен pfsense 2, если весь инет идёт через pfsense 1 и связь с ним есть через адсл мост.

    Поставь на pfsense 2 шлюз 10.253.8.2 и он вылезет в инет без сквида.

    Настроек типа ifconfig eth1 "ходить через прокси логин 1 пароль 123" я не встречал. (может не дочитал чего то)



  • поставь еще:
    WAN    10.253.0.0/16     *    *    *    *    *    NO
    и отпишись что будет.. вообще все должно работать, меня только смущает что делает провайдер с пакетами pfsense2->pfsense1..
    в зависимости от того просто маршрутизирует он их или натит из 10.253.7.* в 10.253.8.* в этом правиле надо маску построже будет сделать



  • Настрой OpenVpn, так чтобы второму Pfsensу выдался ip из локальной сети первого pfsense. Тогда и инет начнет ходить на втором.  Я так делал подключаясь из дома на работу. Инет был.



  • @grab3:

    Настрой OpenVpn, так чтобы второму Pfsensу выдался ip из локальной сети первого pfsense. Тогда и инет начнет ходить на втором.  Я так делал подключаясь из дома на работу. Инет был.

    чтобы openvpn получил ip первой локалки?



  • @djlexx:

    @rubic:

    Вы с режимом модемов ничего в схеме не напутали? Бридж вообще-то устройство канального уровня, откуда у него IP? И то, что у вас шлюзами (? "GT") указано.. 10.253.7.254, 10.253.8.254 - эти адреса кому принадлежат?

    модемы прозрачные.шлюзы (GT) принадлежат провайдеру.меня просто просили схему с точными айпишинками,вот и выдал.

    понятно схема у него не прозрачная, рулит всем провайдер - ппц

    значит так, покажи, пожалуйста,
    traceroute со 2 pfsense (192.168.7.2) до 192.168.0.32



  • @zar0ku1:

    @djlexx:

    @rubic:

    Вы с режимом модемов ничего в схеме не напутали? Бридж вообще-то устройство канального уровня, откуда у него IP? И то, что у вас шлюзами (? "GT") указано.. 10.253.7.254, 10.253.8.254 - эти адреса кому принадлежат?

    модемы прозрачные.шлюзы (GT) принадлежат провайдеру.меня просто просили схему с точными айпишинками,вот и выдал.

    понятно схема у него не прозрачная, рулит всем провайдер - ппц

    значит так, покажи, пожалуйста,
    traceroute со 2 pfsense (192.168.7.2) до 192.168.0.32

    скорей всего не 192.168.7.2 а 192.168.1.2
    без поднятия openvpn выходит вот такое
    1    <1 мс    <1 мс    <1 мс  gns.afgas.ru [192.168.1.1]
    2    20 ms    21 ms    21 ms  10.253.7.254
    3  10.253.7.254  сообщает: Заданный узел недоступен.



  • @djlexx:

    скорей всего не 192.168.7.2 а 192.168.1.2
    без поднятия openvpn выходит вот такое
    1    <1 мс    <1 мс    <1 мс  gns.afgas.ru [192.168.1.1]
    2    20 ms    21 ms    21 ms  10.253.7.254
    3  10.253.7.254  сообщает: Заданный узел недоступен.

    ну дык скажи провайдеру, чтобы он прописал маршрут
    192.168.0.1 mask 255.255.255.0 10.235.8.1
    ну и наоборот
    192.168.1.1 mask 255.255.255.0 10.235.7.1



  • @zar0ku1:

    @djlexx:

    скорей всего не 192.168.7.2 а 192.168.1.2
    без поднятия openvpn выходит вот такое
    1    <1 мс    <1 мс    <1 мс  gns.afgas.ru [192.168.1.1]
    2    20 ms    21 ms    21 ms  10.253.7.254
    3  10.253.7.254  сообщает: Заданный узел недоступен.

    ну дык скажи провайдеру, чтобы он прописал маршрут
    192.168.0.1 mask 255.255.255.0 10.235.8.1
    ну и наоборот
    192.168.1.1 mask 255.255.255.0 10.235.7.1

    Это трудно сделать.так как провайдер в другом городе.А эта сетка 10.253.. выдается на все филиалы и головную контрору.
    Если поднять openvpn между моими точками,то с 2 pfsense пингуется 192.168.0.32.тоесть шлюз 1 pfsense



  • @djlexx:

    Это трудно сделать.так как провайдер в другом городе.А эта сетка 10.253.. выдается на все филиалы и головную контрору.
    Если поднять openvpn между моими точками,то с 2 pfsense пингуется 192.168.0.32.тоесть шлюз 1 pfsense

    ну тады только опенВПН, у меня была похожая ситуация, пять филиалов с такой же маршрутизацией, я писал письма провайдеру и он под меня маршруты прописывал
    потом все таки ушли на прозрачный влан и гемор закончился



  • @zar0ku1:

    @djlexx:

    Это трудно сделать.так как провайдер в другом городе.А эта сетка 10.253.. выдается на все филиалы и головную контрору.
    Если поднять openvpn между моими точками,то с 2 pfsense пингуется 192.168.0.32.тоесть шлюз 1 pfsense

    ну тады только опенВПН, у меня была похожая ситуация, пять филиалов с такой же маршрутизацией, я писал письма провайдеру и он под меня маршруты прописывал
    потом все таки ушли на прозрачный влан и гемор закончился

    Понятно.Либо до провайдера пытаться достучатся через головное начальство,либо опенВПН.Что из этого получится позже отпишусь.
    Спс всем за участие.


Locked