Пакаджи и pfsense

djlexx

День добрый всем.Вопрос такой.Есть Две машины с ПФсенсом.На первой заеден инет и все прекрасно.Вторая машина находится на другом обьекте.Между ними поднята корпоративная сетка посредством adsl модемов.Люди на втором обьекте ходят в инеь через первый пфсенс,посредством squid прокси.А теперь внимание основной вопрос уважаемые знатоки.Как сделать чтобы можно было загружать пакаджи на второй пфсенс с инета(как пустить пустую пфсенс через прокси другими словами.)
Заранее спасибо.очень нужна помощь или совет в нужном направлении
![Lan for forum.jpg](/public/imported_attachments/1/Lan for forum.jpg)
![Lan for forum.jpg_thumb](/public/imported_attachments/1/Lan for forum.jpg_thumb)

Shraik

думаю если сделать нормальный роутинг, то всё запоёт. Т.е. чтобы можно было без прокси интернет получать

djlexx

@Shraik:

думаю если сделать нормальный роутинг, то всё запоёт. Т.е. чтобы можно было без прокси интернет получать

Тогда встречный вопрос.Как это сделать?Напрвьте по нужному пути

zar0ku1

@djlexx:

Тогда встречный вопрос.Как это сделать?Напрвьте по нужному пути

Тогда давай точную схему с айпишниками итп

djlexx

Вот схема с айпишниками.Клиенты под pfsense2 получают инет через прокси Pfsense1.надо чтобы можно было на pfsense 2 поставить пакаджи с инета.То есть прямого инета на втором шлюзе нет.

![Lan for forum.jpg](/public/imported_attachments/1/Lan for forum.jpg)
![Lan for forum.jpg_thumb](/public/imported_attachments/1/Lan for forum.jpg_thumb)

DasTieRR

@djlexx:

Вот схема с айпишниками.Клиенты под pfsense2 получают инет через прокси Pfsense1.надо чтобы можно было на pfsense 2 поставить пакаджи с инета.То есть прямого инета на втором шлюзе нет.

А на pfsense 1 в файерволе 80 порт закрыт?
открой на файере порт 80 только для pfsense 2

Для чего нужен pfsense 2?

В сквиде есть раздел access control, там в поле "Subnets that don't need authentication" можно попробовать добавить pfsense 2 туда.

djlexx

Там все открыто.С компов через pfsense1 люди с корпоративки хлдят в инет,все нормально.Мне надо чтобы pfsense2 ходил в инет через прокси.с wan интерфейса.А второй pfsense нужен для учета трафа(нужно поставить squid,squidguard и lightsquid).редиректа портов всяких и тд и тп.без него никак.

rubic

Вы с режимом модемов ничего в схеме не напутали? Бридж вообще-то устройство канального уровня, откуда у него IP? И то, что у вас шлюзами (? "GT") указано.. 10.253.7.254, 10.253.8.254 - эти адреса кому принадлежат?

djlexx

@rubic:

Вы с режимом модемов ничего в схеме не напутали? Бридж вообще-то устройство канального уровня, откуда у него IP? И то, что у вас шлюзами (? "GT") указано.. 10.253.7.254, 10.253.8.254 - эти адреса кому принадлежат?

модемы прозрачные.шлюзы (GT) принадлежат провайдеру.меня просто просили схему с точными айпишинками,вот и выдал.

rubic

ничего не понял, но не важно.. это бывает..
а что у вас на pfsense1 в firewall->nat->outbound?

DasTieRR

@djlexx:

Там все открыто.С компов через pfsense1 люди с корпоративки хлдят в инет,все нормально.Мне надо чтобы pfsense2 ходил в инет через прокси.с wan интерфейса.А второй pfsense нужен для учета трафа(нужно поставить squid,squidguard и lightsquid).редиректа портов всяких и тд и тп.без него никак.

С pfsense 2 192.168.0.32 пингуется? Если да, поставь его в качестве шлюза на pfsense 2 и закачай пакеты.

Можно попробовать извратится и сделать заворот в portforwarding pfsense 1 для pfsense 2 для порта 80 на 3128 и добавать в squid-е pfsense1 ip pfsense 2 в белый список, чтоб без авторизации ходил.
Это при условии, что pfsense 2 видит 192.168.0.32.

djlexx

@DasTieRR:

@djlexx:

Там все открыто.С компов через pfsense1 люди с корпоративки хлдят в инет,все нормально.Мне надо чтобы pfsense2 ходил в инет через прокси.с wan интерфейса.А второй pfsense нужен для учета трафа(нужно поставить squid,squidguard и lightsquid).редиректа портов всяких и тд и тп.без него никак.

С pfsense 2 192.168.0.32 пингуется? Если да, поставь его в качестве шлюза на pfsense 2 и закачай пакеты.

Можно попробовать извратится и сделать заворот в portforwarding pfsense 1 для pfsense 2 для порта 80 на 3128 и добавать в squid-е pfsense1 ip pfsense 2 в белый список, чтоб без авторизации ходил.
Это при условии, что pfsense 2 видит 192.168.0.32.

будет пинговаться если openvpn поднять между ними.а в данный момент с pfsense2 192.168.0.32 не пингуется.

djlexx

@rubic:

ничего не понял, но не важно.. это бывает..
а что у вас на pfsense1 в firewall->nat->outbound?

WAN 192.168.0.0/24 * * * * * NO
Mels 192.168.0.0/24 * * * * * NO
Apanet 192.168.0.0/24 * * * * * NO
и стоит Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))

djlexx

Люди добрые, ;D мне надо все гораздо проще.мне надо гдето прописать настройки прокси на wan интерфейс на втором pfsense.только в каком конфиге это дописать.вот в чем загвоздка

DasTieRR

@djlexx:

Люди добрые, ;D мне надо все гораздо проще.мне надо гдето прописать настройки прокси на wan интерфейс на втором pfsense.только в каком конфиге это дописать.вот в чем загвоздка

Конфиги хранятся в *.inc файлах (в PfSense)

Я всё равно не понимаю зачем тебе нужен pfsense 2, если весь инет идёт через pfsense 1 и связь с ним есть через адсл мост.

Поставь на pfsense 2 шлюз 10.253.8.2 и он вылезет в инет без сквида.

Настроек типа ifconfig eth1 "ходить через прокси логин 1 пароль 123" я не встречал. (может не дочитал чего то)

rubic

поставь еще:
WAN 10.253.0.0/16 * * * * * NO
и отпишись что будет.. вообще все должно работать, меня только смущает что делает провайдер с пакетами pfsense2->pfsense1..
в зависимости от того просто маршрутизирует он их или натит из 10.253.7.* в 10.253.8.* в этом правиле надо маску построже будет сделать

grab3

Настрой OpenVpn, так чтобы второму Pfsensу выдался ip из локальной сети первого pfsense. Тогда и инет начнет ходить на втором. Я так делал подключаясь из дома на работу. Инет был.

djlexx

@grab3:

Настрой OpenVpn, так чтобы второму Pfsensу выдался ip из локальной сети первого pfsense. Тогда и инет начнет ходить на втором. Я так делал подключаясь из дома на работу. Инет был.

чтобы openvpn получил ip первой локалки?

zar0ku1

@djlexx:

@rubic:

Вы с режимом модемов ничего в схеме не напутали? Бридж вообще-то устройство канального уровня, откуда у него IP? И то, что у вас шлюзами (? "GT") указано.. 10.253.7.254, 10.253.8.254 - эти адреса кому принадлежат?

модемы прозрачные.шлюзы (GT) принадлежат провайдеру.меня просто просили схему с точными айпишинками,вот и выдал.

понятно схема у него не прозрачная, рулит всем провайдер - ппц

значит так, покажи, пожалуйста,
traceroute со 2 pfsense (192.168.7.2) до 192.168.0.32

djlexx

@zar0ku1:

@djlexx:

@rubic:

Вы с режимом модемов ничего в схеме не напутали? Бридж вообще-то устройство канального уровня, откуда у него IP? И то, что у вас шлюзами (? "GT") указано.. 10.253.7.254, 10.253.8.254 - эти адреса кому принадлежат?

модемы прозрачные.шлюзы (GT) принадлежат провайдеру.меня просто просили схему с точными айпишинками,вот и выдал.

понятно схема у него не прозрачная, рулит всем провайдер - ппц

значит так, покажи, пожалуйста,
traceroute со 2 pfsense (192.168.7.2) до 192.168.0.32

скорей всего не 192.168.7.2 а 192.168.1.2
без поднятия openvpn выходит вот такое
1 <1 мс <1 мс <1 мс gns.afgas.ru [192.168.1.1]
2 20 ms 21 ms 21 ms 10.253.7.254
3 10.253.7.254 сообщает: Заданный узел недоступен.