2 PfSense друг за другом



  • Есть такая схема

    Wan1 (PPPoE) -
                            >(Pfsense1(Failover) -  (LAN 192.168.200.0/24)) - (WAN(DHCP) PfSense2 - LAN(192.168.100.0/24(DHCP))) - 100 ПК.
    Wan2 (DHCP)  -

    Доступа к инету из-за второго Pfsense нет - даже "своим " пингом не видит. Куда копать, - подскажите пожалуйста.



  • @artemvst:

    Есть такая схема

    Wan1 (PPPoE) -
                            >(Pfsense1(Failover) -  (LAN 192.168.200.0/24)) - (WAN(DHCP) PfSense2 - LAN(192.168.100.0/24(DHCP))) - 100 ПК.
    Wan2 (DHCP)  -

    Доступа к инету из-за второго Pfsense нет - даже "своим " пингом не видит. Куда копать, - подскажите пожалуйста.

    Копать настройки WAN, RULES, NAT в pfSense 2.



  • Копать настройки WAN, RULES, NAT в pfSense 2.

    В том то и дело - я там ничего не трогал(все по дефолту). Казалось какая ему разница - инет пришел на WAN Pf2 - и пошел дальше в LAN. Может маршрутизация всему виной?



  • Смотря что WAN получает по DHCP. Первое проверить шлюзы и DNS.



  • у второй пфсенсе на wan интерфейсе галки блокировать приват.сети сними



  • А в чём прикол иметь два pfSense здесь?



  • для меня это иногда отладка-эксперименты на реальном железе.



  • @Evgeny:

    А в чём прикол иметь два pfSense здесь?

    Если я правильно понял то squid и иже с ним guard не поддерживают мультиван в одной куче, по крайней мере в 1.2.3.. Так надеюсь решить эту проблему.

    Всем спасибо за советы - на днях займусь.



  • @artemvst:

    @Evgeny:

    А в чём прикол иметь два pfSense здесь?

    Если я правильно понял то squid и иже с ним guard не поддерживают мультиван в одной куче, по крайней мере в 1.2.3.. Так надеюсь решить эту проблему.

    Всем спасибо за советы - на днях займусь.

    Ну тогда должно работать. Хоть три подряд… -)



  • Продолжу тему. Интернет появился после прописания DNS вышестоящего PfSense. Captive portal и squidguard стоят выше, поэтому ничего дополнительно тут ничего  не ставил, кроме собственно squid.
    Два вопроса.
    1. Wan "нижнего" Pf - это LAN для других, тех кто "выше". Можно ли получить доступ к webморде через WAN? Как?
    2. Что нужно прописать чтобы с из-за последнего PF видеть ПК перед ним?



  • Ну тогда должно работать. Хоть три подряд… -)

    Спасибо, с этим разобрался, а вот с доступом из wan - никак.

    firewall - rules - wan :

    Proto    Source  Port    Destination      Port              Gateway    Description
    (pass) TCP      *      *    WAN address      22 (SSH)      *            ssh
    (pass) TCP      *      *    WAN address      80 (http)      *            http

    так делал, - мож где ошибка?

    Да что же это такое!!! Через DynDns из Инета я СПОКОЙНО подключил доступ!!!
    А с Lan никак не выходит!!! Где ошибка???

    И еще. Про балансировку. В теме http://forum.pfsense.org/index.php/topic,28955 писалось : "Проверил какой у меня внешний IP - он постоянно меняется. То внешний IP одного провайдера, то внешний IP другого провайдера. Меня это нефига не устраивает. Нужно чтобы смена была если отвалится быстрый провайдер, или как минимум чтобы трафик раскидывался на оба соединения." . У меня тоже самое. IP меняется после каждого "рефреша". Проблема с сайтами которые требуют поддержания постоянной сессии. Подскажите что не так?!?




  • Подниму тему - реально что-то непонятное. Имеется локалка, управляемая pfSense (DHCP, NAT и все дела). Для простоты понимания - домашняя. Собираю клиенту еще один pfSense, подключил его внутри локалки (т.е. они стоят друг за другом), на WAN-порту второго пока стоит получение адреса по DHCP. Адрес то он получает…а вот работать с первым pfSense отказывается - не пингует его IP, не имеет его в ARP-table. При этом другие IP-адреса в домашней локалке пингуются исправно.

    Я в мистику не верю, но уже голову сломал в поисках причины, почему второй pfSense видит все, кроме первого ?

    P.S. Галки на блокировку серых сетей на втором pfSense убраны. Версии - 2.0 RC3.



  • на WAN интерфейсе блокировку приватных сетей отключи.



  • @NegoroX:

    на WAN интерфейсе блокировку приватных сетей отключи.

    Повторяю. Рация - на бронепоезде (С)  :D

    @sweep4:

    … P.S. Галки на блокировку серых сетей на втором pfSense убраны. Версии - 2.0 RC3.



  • @artemvst:

    1. Wan "нижнего" Pf - это LAN для других, тех кто "выше". Можно ли получить доступ к webморде через WAN? Как?

    В WAN добавить правила для каких IP можно всё.
    @artemvst:

    2. Что нужно прописать чтобы с из-за последнего PF видеть ПК перед ним?

    Снять галку в WAN на опции Disable the userland FTP-Proxy application.



  • Выложите скриншоты правил/нат pfsense2, ы?



  • @dvserg:

    Выложите скриншоты правил/нат pfsense2, ы?

    Если речь про мой случай - все по дефолту, никакие правила специально не прописаны. Клиенту собранный роутер отдал, он работает кстати. Намечается сборка еще одного роутера, обязательно сравню ощущения и попозже отпишусь, повторится ситуация или нет  :)


Log in to reply