Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    вопрос про вланы и доступ в интернет

    Scheduled Pinned Locked Moved Russian
    5 Posts 4 Posters 2.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      MasterMad
      last edited by

      Добрый день!
      после двух недельных разборок с пф сенс, осталось несколько вопросов. сетка счас у меня такая
      -wan(em1)-lan(em0)
                    \vlan 100(opt1)
                    \vlan 200(opt2)
      настроил так что vlan 100 невидит lan и vlan 200 - прописал в рулесах на интерфейчах в виде сетей
      настроил так что vlan 200 невидит lan, но видит 100.
      но вот ньюанс, в рулесах на каждом интерфейсе я в конце прописываю что
      интерфейс такойто, все порты, сорс - эни, дест - эни и правило пропускать
      после чего все ограничения выше срабатывают правильнои интернет ходит весьде. но подумав о том что vlan  у меня может быть до 4096, и прописыватьт потом на каждом что бы он не ходил в другие, … ето ужас. собственно вопрос как  разрешить любому влану выходить в интернет через ван. прописав правило
      пропуск - интерфейс opt2 - все протоколы, сорс - сеть opt2, дест - wan adress. интернета нет, но пинги ходят.
      счас пытаюсь разобратся как все таки сделать так что бы  
      1.правила оканчивались на "запретить все", а прописывать разрешения.тогда не придется на всех вланах запрешать хождениев другие сети.
      2.почему при строкгом разрешени прохождения трафика через ван -интернет не предоставляется.

      есть у кого нить какие советы?

      на скрине, я делал вариант что с сетки opt2  меня пускает на сетку вана(192,168,81,0), пингуется даже шлюз провайдера. но интернета нету, какое еще правило надо прописать?

      244.JPG
      244.JPG_thumb

      1 Reply Last reply Reply Quote 0
      • E
        Eugene
        last edited by

        1. Правило запретить всё в конце не нужно ставить, оно и так там есть, только его не видно.
        2. Для "хождения" в интернет, нужно как минимум разрешить UDP:53 и TCP:80 (можно ещё icmp), это для source=interface subnet, destination any (здесь можно алиасом исключить подсети на других интерфейсах).

        PS: поменяй 192.168.81.1 на 192.168.81.0 в правилах и убери gateway.

        http://ru.doc.pfsense.org

        1 Reply Last reply Reply Quote 0
        • D
          deutsche
          last edited by

          вместо udp 53 можно включить dns forwader.

          http://ru.doc.pfsense.org/

          1 Reply Last reply Reply Quote 0
          • M
            MasterMad
            last edited by

            попробывал так, но интернета нет.
            можете показать как именно должно выглядеть правлило что бы ходиол интернет? (вариант все можно везьде не катит 8)))

            123.JPG
            123.JPG_thumb
            124.JPG
            124.JPG_thumb
            123.JPG
            123.JPG_thumb
            125.JPG
            125.JPG_thumb

            1 Reply Last reply Reply Quote 0
            • D
              dvserg
              last edited by

              Обычно делается так:

              • На Wan(или др. внешнем интерфейсе) добавляешь  разрешающие общие правила для каждой локальной подсети (Lan/Opt)
                proto * src Subnet(iface) dest *

              • На Локальном интерфейсе открываешь правила для портов/протоколов

              • ICMP
              • DNS
              • HTTP, https (80/443)
              • …
              • проверяшь/создаешь правила NAT на внешнем интерфейсе (WAN/..)

              SquidGuardDoc EN  RU Tutorial
              Localization ru_PFSense

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.