[РЕШЕНО]Вопрос по WANу



  • Имеется PfSensse c двумя сетевыми адаптерами. Один смотрит на LAN другой для интернета(айпи адрес получает от DHCP). Вообщем используется вот этот пакет http://ru.doc.pfsense.org/index.php/PPPoE_или_PPTP_на_WAN_c_DHCP
    При этом раскладе для поднятия PPTP используется интерфейс OPT1.
    А теперь вопрос. Как на WAN пустить интернет на конкретный айпи(знаю что такое не очень разумно, но нужно сделать).
    Вот какие правила я писал что б пустить трафик в LAN:
    Firewall: Rules:LAN
    ICMP    *    *    *    *    *
    TCP/UDP    *    *    *    53 (DNS)    *
    TCP/UDP    192.168.1.10    *    *    *    *
    TCP/UDP    192.168.1.20    *    *    *    *
    TCP/UDP    192.168.1.30    *    *    *    *

    Firewall: NAT: Outbound
    OPT1   192.168.9.0/24   *   * *    *   * NO

    Если кто знает как такое сделать на WANe буду рад помощи!



  • v konce dobav rule deny dlya lana budet puskat 10  20 i  30 ostolnix zablokiruet



  • @vardan:

    v konce dobav rule deny dlya lana budet puskat 10  20 i  30 ostolnix zablokiruet

    У меня трафик на LAN пускает, мне нужно его также пустить на WAN.



  • nat
    Firewall: NAT: Outbound
    OPT1    wan subnet/mask  *  *    *    *  *  NO

    poprobuy po moemu tak poluchitsya



  • a zachem tebe takoe?



  • @vardan:

    nat
    Firewall: NAT: Outbound
    OPT1     wan subnet/mask   *   *    *    *   *   NO

    poprobuy po moemu tak poluchitsya

    Уже такое пробовал, не получается.
    @vardan:

    a zachem tebe takoe?

    Долго обьяснять



  • SQUID PODOYDYOT// POSTAC S PACKGES NA INTERFACE WAN



  • KOGDA NAT OM PROBUESH LOGI CHTO GOVORYAT????



  • RULI POSTAVIL? ESLI IZ WANA TRACEROUTE SDELAT CHTO VIVODIT?



  • @vardan:

    RULI POSTAVIL? ESLI IZ WANA TRACEROUTE SDELAT CHTO VIVODIT?

    И парвила прописал.
    Вот мой фаервол:

    Firewall: NAT: Outbound
    OPT1  192.168.9.0/24 *  *  *  * *  NO
    OPT1  172.17.132.0/22 *  *  *  * *  NO

    Firewall: Rules:WAN
    ICMP         *       *  *  *  *    
    TCP 172.17.132.43  *  *  *  *



  • A RULI NA INTEFACE OPT1 PPTP ?



  • PING NA INTERNET S WANA EDET? ESLI NET V SYSTEM LOGS FIREWALL CHTO TO PISHET? POTOM POPROBUY TRACEROUTE NA KOKOY TO SITE POSMOTRI GDE PAKET OSTONAVLIVAETSYA I  PUSKAY NA ETOM INTERFACE E TCPDUMP ON JE PACET CAPTURE V WEB INTERFACE E



  • @vardan:

    A RULI NA INTEFACE OPT1 PPTP ?

    А зачем на OPT1 правила писать на LANe ж инет работает, токо WAN пока нехотит.
    @vardan:

    PING NA INTERNET S WANA EDET? ESLI NET V SYSTEM LOGS FIREWALL CHTO TO PISHET? POTOM POPROBUY TRACEROUTE NA KOKOY TO SITE POSMOTRI GDE PAKET OSTONAVLIVAETSYA I  PUSKAY NA ETOM INTERFACE E TCPDUMP ON JE PACET CAPTURE V WEB INTERFACE E

    Это с рабочих станций пинговать или с pfsensa? Если с pfsensa то как, если он со своей консоли пингует во всех направлениях, и лан и ван и opt1.



  • esli pingavat s pf a to pf po svoemu paketi napravit cherez defolt gateway nado pingavat i tracertnut s wan seti i posmotret kak paketi prxodyat i gde zastrevayut v firewall logax ne vidno nechego kogda pitaeshsya s wan seti chto to delat?



  • @vardan:

    esli pingavat s pf a to pf po svoemu paketi napravit cherez defolt gateway nado pingavat i tracertnut s wan seti i posmotret kak paketi prxodyat i gde zastrevayut v firewall logax ne vidno nechego kogda pitaeshsya s wan seti chto to delat?

    А как мне "nado pingavat i tracertnut s wan seti". Уточни. А то я немогу понять как это сделать.



  • Откуда у тебя на wan пользователи если это линк, на котором ты получаешь IP по DHCP от провайдера? Нарисуй диаграмму.. прямо ручкой!



  • @Evgeny:

    Откуда у тебя на wan пользователи если это линк, на котором ты получаешь IP по DHCP от провайдера? Нарисуй диаграмму.. прямо ручкой!

    Наша общага(в ней своя сеть) подключена к провайдеру и все в ней получают автоматический айпи(те кто пользуются услугами интернет). И мой пфсенс также подключен. Я его поставил для того чтобы раздавать инет. Безлимитный 100 Мгбитный инет не дешевый, не каждый себе позволит. Для того пользователи которым я буду раздать инет прописывают себе айпи вида 192.168.9.0/24(ЛАН интерфейс) но некоторые меня почему то не пингуют. Поэтому я хочу раздавать им на айпихи провайдра(которые они получают от DHCP провайдера), потому что я их пингую с ван-интерфейса. Такая практика себя оправдала с прокси который стоял на виндовс ХР.



  • @freak999:

    @Evgeny:

    Откуда у тебя на wan пользователи если это линк, на котором ты получаешь IP по DHCP от провайдера? Нарисуй диаграмму.. прямо ручкой!

    Наша общага(в ней своя сеть) подключена к провайдеру и все в ней получают автоматический айпи(те кто пользуются услугами интернет). И мой пфсенс также подключен. Я его поставил для того чтобы раздавать инет. Безлимитный 100 Мгбитный инет не дешевый, не каждый себе позволит. Для того пользователи которым я буду раздать инет прописывают себе айпи вида 192.168.9.0/24(ЛАН интерфейс) но некоторые меня почему то не пингуют. Поэтому я хочу раздавать им на айпихи провайдра(которые они получают от DHCP провайдера), потому что я их пингую с ван-интерфейса. Такая практика себя оправдала с прокси который стоял на виндовс ХР.

    не… бардак. Если пользователи получают IP от провайдера, значит им твой pfSense совершенно ни к чему для того, чтобы ходить в интернет. Зачем ты хочешь их заставить через себя ходить?



  • @Evgeny:

    @freak999:

    @Evgeny:

    Откуда у тебя на wan пользователи если это линк, на котором ты получаешь IP по DHCP от провайдера? Нарисуй диаграмму.. прямо ручкой!

    Наша общага(в ней своя сеть) подключена к провайдеру и все в ней получают автоматический айпи(те кто пользуются услугами интернет). И мой пфсенс также подключен. Я его поставил для того чтобы раздавать инет. Безлимитный 100 Мгбитный инет не дешевый, не каждый себе позволит. Для того пользователи которым я буду раздать инет прописывают себе айпи вида 192.168.9.0/24(ЛАН интерфейс) но некоторые меня почему то не пингуют. Поэтому я хочу раздавать им на айпихи провайдра(которые они получают от DHCP провайдера), потому что я их пингую с ван-интерфейса. Такая практика себя оправдала с прокси который стоял на виндовс ХР.

    не… бардак. Если пользователи получают IP от провайдера, значит им твой pfSense совершенно ни к чему для того, чтобы ходить в интернет. Зачем ты хочешь их заставить через себя ходить?

    Ну а как иначе их заставить. В этой сети бардак какой то творится. Когда они на этих айпихах 192.168.9.0/24 то не все меня пингуют(некоторые этажи да, некоторые нет).
    Зато когда на айпихах от провайдера то мой ван им доступен. Кстати айпи адреса которые они получают от DHCP в том числе и я, постоянный, они выдаются по мак-адресу.



  • @freak999:

    @Evgeny:

    @freak999:

    @Evgeny:

    Откуда у тебя на wan пользователи если это линк, на котором ты получаешь IP по DHCP от провайдера? Нарисуй диаграмму.. прямо ручкой!

    Наша общага(в ней своя сеть) подключена к провайдеру и все в ней получают автоматический айпи(те кто пользуются услугами интернет). И мой пфсенс также подключен. Я его поставил для того чтобы раздавать инет. Безлимитный 100 Мгбитный инет не дешевый, не каждый себе позволит. Для того пользователи которым я буду раздать инет прописывают себе айпи вида 192.168.9.0/24(ЛАН интерфейс) но некоторые меня почему то не пингуют. Поэтому я хочу раздавать им на айпихи провайдра(которые они получают от DHCP провайдера), потому что я их пингую с ван-интерфейса. Такая практика себя оправдала с прокси который стоял на виндовс ХР.

    не… бардак. Если пользователи получают IP от провайдера, значит им твой pfSense совершенно ни к чему для того, чтобы ходить в интернет. Зачем ты хочешь их заставить через себя ходить?

    Ну а как иначе их заставить. В этой сети бардак какой то творится. Когда они на этих айпихах 192.168.9.0/24 то не все меня пингуют(некоторые этажи да, некоторые нет).
    Зато когда на айпихах от провайдера то мой ван им доступен. Кстати айпи адреса которые они получают от DHCP в том числе и я, постоянный, они выдаются по мак-адресу.

    Два варианта:

    1. пользователь получил IP по DHCP и смело пошёл в интернет (нет?)
    2. разбирайся почему не видят твой lan, устрани бардак - нарисуй диаграмму со всеми свичами/хабами/кабелями и т.п. Сразу станет всё ясно.


  • 1. Откуда мне знать как устроена сеть в общаге и в каких комнатах стоят свичи(эта сеть была еще до меня).
    2. Если я включу DHCP сервер меня убьют) Вместо того что б получить айпи от провайдера они буду получать айпи от меня(не все будут ходить в инет через меня, это только 6 человек,а остальные 200 буду очень злыми когда не смогут подключится к инету)
    Я тут вижу токо один вариант, раздавать инет на йпи провайдер.
    Я ж говорю, на ХР это работает, даже с одной сетевой картой. Чем пфсенс хуже. Я думаю если на какой то винде такое реально то на пфсенсе тем более.



  • 1. Ты администрируешь эту сеть или нет? если да, то обязан разобраться где что стоит.
    2. Если на винде работает, зачем pfSense (никак не могу в толк взять)?



  • @Evgeny:

    1. Ты администрируешь эту сеть или нет? если да, то обязан разобраться где что стоит.
    2. Если на винде работает, зачем pfSense (никак не могу в толк взять)?

    1. Нет, эту сеть я не администрирую.
    2. Зачем мне винда. Я итак почти уже все сделал. Осталась только эта проблема. И буду очень благодарен за помощь.
    Знаю что такое делать это извращение, но другого пути я не вижу.



  • Обратись к администратору сети



  • @deutsche:

    Обратись к администратору сети

    В общаге нет админа, сеть делалась самими студентами.
    Так вы поможите решить проблему?



  • Для того пользователи которым я буду раздать инет прописывают себе айпи вида 192.168.9.0/24(ЛАН интерфейс) но некоторые меня почему то не пингуют. 
    

    Проверьте у пользователей, что Ваш pfSense прописан там шлюзом.



  • @dvserg:

    Для того пользователи которым я буду раздать инет прописывают себе айпи вида 192.168.9.0/24(ЛАН интерфейс) но некоторые меня почему то не пингуют. 
    

    Проверьте у пользователей, что Ваш pfSense прописан там шлюзом.

    Да, я прописывал.
    Я ж говорю, проще уже выходить с нашей сети на сеть провайдера(использовать его айпи) и раздавать инет на них. Но те кто видят эту сеть 192.168.9.0/24 будут получать там. Вообщем раздавать в двух направениях.



  • Вообще на пфсенсе что то такое реально сделать??? Я смогу инет раздавать на WAN???



  • @freak999:

    Вообще на пфсенсе что то такое реально сделать??? Я смогу инет раздавать на WAN???

    В сквиде включить опцию - проксить и lan и на wan. У клиентов прописать твой сервер в прокси.
    Я эту опцию в прошлом году тестил, вроде работало.

    Можно попробовать через VPN.
    Можно попробовать на wan виртуальный ip назначить, твоим клиентам присвоить дополнительные адреса.



  • @DasTieRR:

    @freak999:

    Вообще на пфсенсе что то такое реально сделать??? Я смогу инет раздавать на WAN???

    В сквиде включить опцию - проксить и lan и на wan. У клиентов прописать твой сервер в прокси.
    Я эту опцию в прошлом году тестил, вроде работало.

    Можно попробовать через VPN.
    Можно попробовать на wan виртуальный ip назначить, твоим клиентам присвоить дополнительные адреса.

    Прокси наверное отпадает в первую очередь, потому что мне еще нужно что б у них работали торрент клиенты.
    А нащед виртуальных айпи даже не знаю. Если можна обьясни немножко подробнее.



  • 1. Здесь на форуме кто-то подминал вопрос о присвоении wan интерфейсу дополнительного ip адреса. Поищи.
    2. Ты написал, что через винду ты это делал, какая была архитектура подключения?
    3. Воткни в свой провайдерский кабель свитч и лан кабель тоже, тогда на pfsense ничего мудрить не придётся, а клиенты через свитчи провайдера смогут видеть и тебя. IP только используй какие-нибудь другие, чтобы сеть не убить. (или в клиентах-виндах забить дополнительные ip во вкладке алтернативный ip адрес)

    Вариант 3, на мой взгляд, самый простой.



  • @DasTieRR:

    1. Здесь на форуме кто-то подминал вопрос о присвоении wan интерфейсу дополнительного ip адреса. Поищи.
    2. Ты написал, что через винду ты это делал, какая была архитектура подключения?
    3. Воткни в свой провайдерский кабель свитч и лан кабель тоже, тогда на pfsense ничего мудрить не придётся, а клиенты через свитчи провайдера смогут видеть и тебя. IP только используй какие-нибудь другие, чтобы сеть не убить. (или в клиентах-виндах забить дополнительные ip во вкладке алтернативный ip адрес)

    Вариант 3, на мой взгляд, самый простой.

    У меня итак все в свиче и провайдерский(ну провайдерским его не назовешь, он общаговский, просто где то в какой то свич подключен провайдер и так вся общага питается ним) и лан. На лане у меня итак другие айпи адреса, а от ван должен быть получен от провайдера иначе связь с другими пропадает, так мы видимся уже через шлюз провайдера который находится вне общаги.



  • @freak999:

    @DasTieRR:

    1. Здесь на форуме кто-то подминал вопрос о присвоении wan интерфейсу дополнительного ip адреса. Поищи.
    2. Ты написал, что через винду ты это делал, какая была архитектура подключения?
    3. Воткни в свой провайдерский кабель свитч и лан кабель тоже, тогда на pfsense ничего мудрить не придётся, а клиенты через свитчи провайдера смогут видеть и тебя. IP только используй какие-нибудь другие, чтобы сеть не убить. (или в клиентах-виндах забить дополнительные ip во вкладке алтернативный ip адрес)

    Вариант 3, на мой взгляд, самый простой.

    У меня итак все в свиче и провайдерский(ну провайдерским его не назовешь, он общаговский, просто где то в какой то свич подключен провайдер и так вся общага питается ним) и лан. На лане у меня итак другие айпи адреса, а от ван должен быть получен от провайдера иначе связь с другими пропадает, так мы видимся уже через шлюз провайдера который находится вне общаги.

    Кабель лан от pfsense тоже вставлен в общий свич?



  • @DasTieRR:

    @freak999:

    @DasTieRR:

    1. Здесь на форуме кто-то подминал вопрос о присвоении wan интерфейсу дополнительного ip адреса. Поищи.
    2. Ты написал, что через винду ты это делал, какая была архитектура подключения?
    3. Воткни в свой провайдерский кабель свитч и лан кабель тоже, тогда на pfsense ничего мудрить не придётся, а клиенты через свитчи провайдера смогут видеть и тебя. IP только используй какие-нибудь другие, чтобы сеть не убить. (или в клиентах-виндах забить дополнительные ip во вкладке алтернативный ip адрес)

    Вариант 3, на мой взгляд, самый простой.

    У меня итак все в свиче и провайдерский(ну провайдерским его не назовешь, он общаговский, просто где то в какой то свич подключен провайдер и так вся общага питается ним) и лан. На лане у меня итак другие айпи адреса, а от ван должен быть получен от провайдера иначе связь с другими пропадает, так мы видимся уже через шлюз провайдера который находится вне общаги.

    Кабель лан от pfsense тоже вставлен в общий свич?

    Да.



  • @freak999:

    @DasTieRR:

    @freak999:

    @DasTieRR:

    1. Здесь на форуме кто-то подминал вопрос о присвоении wan интерфейсу дополнительного ip адреса. Поищи.
    2. Ты написал, что через винду ты это делал, какая была архитектура подключения?
    3. Воткни в свой провайдерский кабель свитч и лан кабель тоже, тогда на pfsense ничего мудрить не придётся, а клиенты через свитчи провайдера смогут видеть и тебя. IP только используй какие-нибудь другие, чтобы сеть не убить. (или в клиентах-виндах забить дополнительные ip во вкладке алтернативный ip адрес)

    Вариант 3, на мой взгляд, самый простой.

    У меня итак все в свиче и провайдерский(ну провайдерским его не назовешь, он общаговский, просто где то в какой то свич подключен провайдер и так вся общага питается ним) и лан. На лане у меня итак другие айпи адреса, а от ван должен быть получен от провайдера иначе связь с другими пропадает, так мы видимся уже через шлюз провайдера который находится вне общаги.

    Кабель лан от pfsense тоже вставлен в общий свич?

    Да.

    Ну так присвой клиентам дополнительный IP из адресации PfSense Lan, на wan ничего менять не надо. Или даже сделай его основным (у клиентов).



  • @DasTieRR:

    @freak999:

    @DasTieRR:

    @freak999:

    @DasTieRR:

    1. Здесь на форуме кто-то подминал вопрос о присвоении wan интерфейсу дополнительного ip адреса. Поищи.
    2. Ты написал, что через винду ты это делал, какая была архитектура подключения?
    3. Воткни в свой провайдерский кабель свитч и лан кабель тоже, тогда на pfsense ничего мудрить не придётся, а клиенты через свитчи провайдера смогут видеть и тебя. IP только используй какие-нибудь другие, чтобы сеть не убить. (или в клиентах-виндах забить дополнительные ip во вкладке алтернативный ip адрес)

    Вариант 3, на мой взгляд, самый простой.

    У меня итак все в свиче и провайдерский(ну провайдерским его не назовешь, он общаговский, просто где то в какой то свич подключен провайдер и так вся общага питается ним) и лан. На лане у меня итак другие айпи адреса, а от ван должен быть получен от провайдера иначе связь с другими пропадает, так мы видимся уже через шлюз провайдера который находится вне общаги.

    Кабель лан от pfsense тоже вставлен в общий свич?

    Да.

    Ну так присвой клиентам дополнительный IP из адресации PfSense Lan, на wan ничего менять не надо. Или даже сделай его основным (у клиентов).

    Яж выше говорил что не все пингуют мой айпи на лане(бардак в сети), а когда они получают айпи от ДХЦП провайдера, то тогда WAN интерфейс пфсенса пингуется(там уже связь осуществляется через провайдера а не внутри общаги общаге).



  • Яж выше говорил что не все пингуют мой айпи на лане(бардак в сети), а когда они получают айпи от ДХЦП провайдера, то тогда WAN интерфейс пфсенса пингуется(там уже связь осуществляется через провайдера а не внутри общаги общаге).

    PfSense сам по себе бардаки не лечит. Вас может разделять какой-нибудь управляемый свич или ещё какой маршрутизатор, который рубит левые диапазоны ip. ХЗ. Попробуй сам поищи что и куда идёт, может будет проще свой кабель протянуть.

    Попробуй подними на WAN VPN сервер, pptp к примеру.



  • @DasTieRR:

    Яж выше говорил что не все пингуют мой айпи на лане(бардак в сети), а когда они получают айпи от ДХЦП провайдера, то тогда WAN интерфейс пфсенса пингуется(там уже связь осуществляется через провайдера а не внутри общаги общаге).

    PfSense сам по себе бардаки не лечит. Вас может разделять какой-нибудь управляемый свич или ещё какой маршрутизатор, который рубит левые диапазоны ip. ХЗ. Попробуй сам поищи что и куда идёт, может будет проще свой кабель протянуть.

    Попробуй подними на WAN VPN сервер, pptp к примеру.

    WAN VPN сервер оставлю на потом.
    Только что пробовал прокси. Прокси заработало, по страничкам перемещаюсь, но вот торрент клиент не работает, хотя правила на ване ставил те что и на лане, только уже с соответствующими апйи адресами.
    Правила на ване.
    TCP  172.17.132.43  *  *  *  *
    Когда конекчусь к веб морде или ssh все работает, а от торент клиент нет. Правило работает, но не совсем коректно.



  • DasTieRR, спасибо большое. С прокси была запара. Поставил впн сервер, прописал правила и все заработало.



  • @freak999:

    DasTieRR, спасибо большое. С прокси была запара. Поставил впн сервер, прописал правила и все заработало.

    Пожалуйста. Ты и сам много сделал.


Locked