Пробросить белый ip. Нужен совет.



  • Опишу ситуацию:
    wan - pppoe. внешнему интерфейсу присваивается адрес xxx.xxx.xxx.231, шлюз ххх.ххх.ххх.1.
    lan - static 10.90.90.1/24
    pfSense 2.0.1
    Провайдером предоставлен пул внешних адресов: xxx.xxx.yyy.112/29.

    Требуется предоставить внутри сети хотя бы один белый адрес. (для какого-то тунеля)

    Пробовал NAT 1:1  - не то.

    Имеет ли смысл устанавливать третью сетевую? и как ее сконфигурить.

    Как бы вы подошли к решению?
    Или может я не то средство выбрал.



  • Внутри сети кому?



  • другому роутеру (вроде cisco). Он сам и все что за ним не моей власти.
    Это принципиально?



  • Создать Virtual IP: xxx.xxx.yyy.113/29, интерфейс: LAN, тип: IP Alias
    циске дать адрес: xxx.xxx.yyy.114/29



  • Спасибо за подсказку.
    на самом деле указанное я уже пробовал сегодня, только мне помешали настроенные правила NATа попавшие на этот адрес.

    Удалил все правила, сделал роут на xxx.xxx.yyy.114/29 на внутренний интерфейс и узел стал доступен снаружи.  :)

    Подскажите еще, плз, как быть с Outbound?
    Когда ковырялся с 1:1 - все получалось, а сейчас как не кручу, но все обращения наружу с xxx.xxx.yyy.114/29 показывают xxx.xxx.xxx.231.
    Хотя даже само правило выглядит как-то нелепо:
    на wan источник - xxx.xxx.yyy.114 представляться как - xxx.xxx.yyy.114



  • @RED:

    сделал роут на xxx.xxx.yyy.114/29 на внутренний интерфейс и узел стал доступен снаружи.  :)

    Если под "роут" вы имеете ввиду статический маршрут, то все должно работать и без него. У вас классическая схема "сеть за сетью", pfsense после создания Alias IP на LAN интерфейсе сама знает, что xxx.xxx.yyy.112/29 находится на LAN.

    Подскажите еще, плз, как быть с Outbound?
    Когда ковырялся с 1:1 - все получалось, а сейчас как не кручу, но все обращения наружу с xxx.xxx.yyy.114/29 показывают xxx.xxx.xxx.231.
    Хотя даже само правило выглядит как-то нелепо:
    на wan источник - xxx.xxx.yyy.114 представляться как - xxx.xxx.yyy.114

    В NAT outbound не должно быть ничего касающегося xxx.xxx.yyy.112/29 (все удалить), ковыряйте правила брандмауэра на интерфейсе LAN. По аналогии с LAN subnet, нужно сделать правило пускающее сеть xxx.xxx.yyy.112/29 по любому протоколу на любой порт куда угодно.



  • Спасибо большое!
    Кто бы мог подумать, что требуемое делается в 3 движения.
    При чем все это я уже делал, но мешало мне, то что я уже пытался наворотить через NAT и routing.
    Спасибо еще раз.



  • @rubic:

    Создать Virtual IP: xxx.xxx.yyy.113/29, интерфейс: LAN, тип: IP Alias
    циске дать адрес: xxx.xxx.yyy.114/29

    Столкнулся с аналогичной проблемой "пробросить белый IP", сделал как выше указано, но провайдер выдал диапазон адресов xxx.xxx.xxx.32 xxx.xxx.xxx.33 xxx.xxx.xxx.34 маска 255.255.255.0 шлюз xxx.xxx.xxx.254 нужно пробросить адреса на компы с Windows XP. Что-то я сделал не так (новичок я, однако…) и когда пытаюсь прописать адрес xxx.xxx.xxx.32 на компе с Windows, получаю ответ: такой адрес уже есть в сети. Буду очень признателен если напишете мне строки, аналогичные вышеприведенным для моей ситуации.



  • 2almo2006
    Мало информации. Нет никакой уверенности, что у вас тот же случай, что и у RED. Поэтому все, что дал вам провайдер напишите сюда. Что за адрес у вас на WAN? xxx.xxx.xxx.32 xxx.xxx.xxx.33 xxx.xxx.xxx.34 - "серые" адреса?



  • @rubic:

    2almo2006
    Мало информации. Нет никакой уверенности, что у вас тот же случай, что и у RED. Поэтому все, что дал вам провайдер напишите сюда. Что за адрес у вас на WAN? xxx.xxx.xxx.32 xxx.xxx.xxx.33 xxx.xxx.xxx.34 - "серые" адреса?

    В том то и дело, провайдер выдал эти 3 адреса, шлюз и 2 DNS, могу их привести полностью, но не хотелось бы, может в личку? Провайдер: г. Харьков, Триолан - может это прояснит ситуацию?



  • адрес на WAN xxx.xxx.xxx.34, провайдер указал его, как основной, ну я и подсунул его pfSense, как адрес WAN



  • Продолжайте, адреса все-таки "белые" или "серые"? (я просто не могу понять вашу фразу: "когда пытаюсь прописать адрес xxx.xxx.xxx.32 на компе с Windows, получаю ответ: такой адрес уже есть в сети"… этот "комп с Windows" за pfSense находился, или напрямую к кабелю провайдера подключали?).
    Вообще, зачем вам пробрасывать белые ip в локальную сеть? Объясните цель, что вам это должно дать по-вашему?
    Судя по всему, провайдер выдал вам "плоскую" подсеть, решение и тут есть, но все же надо бы сначала понять суть задачи.



  • Провайдер утверждает, что адреса "белые": 37.xxx.yyy.234 - основной и два дополнительных: 37.xxx.yyy.232 и 37.xxx.yyy.233. Эти два последних адреса мне нужно прописать на компах с Windows XP (они "за pfSense"), это компы арендатором, и зачем им это нужно, они мне не говорят, я предлагал пробросить порт: "Нет, нам нужен IP адрес!" - вот такой вот был диалог на днях.



  • Уточню ситуацию: есть комп с pfSense, подключенный к провайдеру, он раздает Интернет арендаторам и владельцам всего этого "хозяйства", все было нормально, у арендаторов были адреса: 192.168.0.xxx, два арендатора добавились, и они требуют "реальные IP-адреса", "разведка доложила", что у одного из них обмен данными с сервером в Киеве, а у второго "контрразведка" облаяла мою "разведку" и ничего не сказала. Вот сижу и смотрю на все это глазами мышки, которая какает! А сделать им эти чертовы адреса надо, а опыта нет. Вот такая ситуёвина.



  • Для того чтобы дать даже одному арендатору реальный адрес прямо на его машину, вам нужно иметь минимум 4 реальных IP от провайдера.
    1 - сеть
    2 - шлюз (ваш pfsense)
    3 - машина арендатора
    5 - широковещательный

    итого 8 белых IP на 2-х арендаторов

    плюсом либо 2 отдельных кабеля от pfsense до арендаторов, либо vlan'ы

    это если они не согласны ни на что кроме реального IP прямо на их машинах
    если согласны на серые адреса, можно поставить все 3 ваших IP на WAN и натить 1:1 на арендаторов два из них.

    Вообще вам нужно их грамотно послать. Идите к своему начальству и объясняйте, что такие требования удовлетворить нет технической возможности (денег попросите на адреса и оборудование - подействует)
    а арендаторы пусть идут к провайдеру за отдельным договором и тянут себе отдельные кабеля



  • О-о-о-о! Это именно то, что я искал, я догадывался, что такие адреса простым способом я не раздам! Начальство я озадачу, но, похоже, с провайдером буду разбираться сам. У меня в связи с этим 2 вопроса: 1) в случае, если я добьюсь от провайдера IP-адреса четверками, приведенный в начале ветки рецепт сработает в моем случае? 2) можете мне написать подробнее настройки VLAN для моего нынешнего случая, чтобы я мог хоть что-то предъявить уже сейчас? (извините за назойливость, но уж очень сильно меня допекли начальнички+арендаторы)



  • Для того чтобы отдать сеть арендатору VLAN'ом нужно чтобы между ним и pfsense стоял умный свитч, который VLAN'ы понимает. Либо тупой свитч, но тогда сетевая карта арендатора должна понимать VLAN (где-то в ее свойствах в диспетчере оборудования). Во втором случае возможны варианты, информация противоречивая. В теории тупой свитч должен пропускать VLAN, но, говорят, некоторые и дропают.



  • @rubic:

    Для того чтобы отдать сеть арендатору VLAN'ом нужно чтобы между ним и pfsense стоял умный свитч, который VLAN'ы понимает. Либо тупой свитч, но тогда сетевая карта арендатора должна понимать VLAN (где-то в ее свойствах в диспетчере оборудования). Во втором случае возможны варианты, информация противоречивая. В теории тупой свитч должен пропускать VLAN, но, говорят, некоторые и дропают.

    Буду исходить из того, что, что свич у меня умный (есть еще 2, может какой-то и подойдет). Какие мои дальнейшие действия? И есть ли какая методика проверки свича на "интеллект" :)?



  • Просто модель свитча озвучте.



  • Я сейчас в другой конторе собрал "сеть" из компа-pfSense + компа-WindowsXP, буду пытаться передать компу с Windows "реальный" IP. Очень бы хотелось получить подсказку, что и где надо прописывать, а то уже "крыша едет", вроде бы и в файерволл надо залезть, и в NAT, видимо еще куда-то, о чем я и не догадываюсь.



  • Если я правильно Вас понял, то мне нужно реализовать этот механизм, поправьте, если не так: http://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense



  • Нет, это из другой оперы что-то. Вам нужно вот что: сделать еще один интерфейс (не важно как вы этого добьетесь - вставите в pfSense еще одну сетевую карту и соедините ее отдельным кабелем с арендатором, или на существующей карте LAN сделаете VLAN и настроите свитч так, чтобы арендатор был в этом VLAN'е). Затем взять 4 IP, которые вам даст провайдер (скажем, x.x.x.32, x.x.x.33, x.x.x.34 и x.x.x.35), назначить второй из них (x.x.x.33) новому интерфейсу pfSense, третий (x.x.x.34) - компу арендатора, маска подсети и там и там: 255.255.255.252 (т.е. /30). Назначить шлюзом на компе арендатора адрес нового интерфейса pfSense (x.x.x.33) и настроить firewall (никакого NAT не надо, если есть - убрать!). Это - все!



  • Но это случай, когда на каждую клиентскую машину провайдер выдает четверку IP, с ним мне все понятно (надеюсь :-). А я сейчас хочу сделать хоть что-то с тем, что у меня есть, а именно: 3 адреса и шлюз - один на всех. Это реально или я бьюсь впустую?
    Я нашел вот такой вариант: http://thin.kiev.ua/router-os/50-pfsense/455–ip-pfsense-20.html или это тоже не то? (правда и этот вариант у меня не работает)



  • @almo2006:

    Я нашел вот такой вариант: http://thin.kiev.ua/router-os/50-pfsense/455–ip-pfsense-20.html или это тоже не то? (правда и этот вариант у меня не работает)

    Данная статья называется - Несколько ip адресов на одном интерфейсе в Pfsense 2.0

    Вы конечно можете попробовать присвоить WAN интерфейсу три дополнительных IP и сделать портфорвард всех портов на локальный 
    IP ваших арендаторов. Возможно что-то и получится похожее на белый IP.



  • Собственно, я нечто подобное и имел в виду, но… пока ничего не работает, то ли мозгов не хватает, то ли это принципиально нереализуемо (это меня и бесит, что не знаю "Правильным путем идет товарищ...", то есть я, или нет, и опять пытаюсь создать из г... пулю!?)



  • @almo2006:

    Собственно, я нечто подобное и имел в виду, но… пока ничего не работает, то ли мозгов не хватает, то ли это принципиально нереализуемо

    Реализуемо http://thin.kiev.ua/router-os/50-pfsense/608-portforvard-nat.html

    Пробуйте.



  • Спасибо, буду пробовать, если получится - хоть что-то смогу предъявить.



  • Ага! Собрал модель из двух компов pfSense + WIndows XP и… сработало! Завтра проверю на реальном "железе". Большое человеческое "угу" всем откликнувшимся на мой стон. Вот только не знаю, как убедиться, что комп с Windows XP "откликается" на тот адрес, который я задал, как alias IP в pfSense, можно как-то простым способом это посмотреть?



  • @almo2006:

    Ага! Собрал модель из двух компов pfSense + WIndows XP и… сработало! Завтра проверю на реальном "железе". Большое человеческое "угу" всем откликнувшимся на мой стон. Вот только не знаю, как убедиться, что комп с Windows XP "откликается" на тот адрес, который я задал, как alias IP в pfSense, можно как-то простым способом это посмотреть?

    Откл. (временно) встроенный брэндмауэр или др. аналогичное ПО в системе, разрешите (временно) удаленный доступ на нем (RDP). Затем извне телнет на 3389. Если пройдет - все ок, нет -значит что-то не так. Это первое , что пришло в голову. Ну и пинг проверьте.



  • @almo2006:

    Вот только не знаю, как убедиться, что комп с Windows XP "откликается" на тот адрес, который я задал, как alias IP в pfSense, можно как-то простым способом это посмотреть?

    Если все порты открыты - пинг на белый айпи. Если локальную машину отключить - пинги пропадут. Еще можно  пуск - выполнить-
    \ белый-ip - Enter



  • 2 almo2006
    Ну теперь готовьтесь  ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
    Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.



  • @werter:

    2 almo2006
    Ну теперь готовьтесь  ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
    Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.

    У человека арендаторы. Пробросит айпишник и предупредит. А там пусть сами парятся с безопасностью. Я бы в такой ситуации, делал физически отделенную локальную сеть - для таких смелых (недопонимающих) Дабы не навредить своей сетке. :-)

    А в доке про пробросу IP, имеется предупреждение на этот счёт.



  • @dr.gopher:

    @werter:

    2 almo2006
    Ну теперь готовьтесь  ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
    Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.

    У человека арендаторы. Пробросит айпишник и предупредит. А там пусть сами парятся с безопасностью. Я бы в такой ситуации, делал физически отделенную локальную сеть - для таких смелых (недопонимающих) Дабы не навредить своей сетке. :-)

    А в доке про пробросу IP, имеется предупреждение на этот счёт.

    Тогда уж отдельная сетевая + VLAN. И как недорогой вариант  - dir-100 в кач-ве L2-свитча с этим справится.



  • Ура! Все работает, всем откликнувшимся большое спасибо! Мне кажется, содержимое этой ветки форума (я имею в виду рекомендации rubic + dr.gopher, а не свои "вопли и сопли") - вполне готовый HOWTO, я заметил, многие так или иначе сталкиваются с этой проблемой: "пробросить IP", а им чаще всего рекомендуют пробросить порт, и только здесь я получил исчерпывающую инфу, "что надо делать и чего не надо". Еще раз спасибо, полагаю, что тема УСПЕШНО закрыта.



  • @werter:

    2 almo2006
    Ну теперь готовьтесь  ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
    Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.

    А вот кстати вопрос на тему: в мане http://doc.pfsense.org/index.php/1:1_NAT на 1:1 нат написано "To allow traffic in from the Internet, you must add a firewall rule…."
    И вот тут http://forum.pfsense.org/index.php/topic,49229.0.html тоже пишут что по умолчанию закрыто снаружи
    Так ли это или я неправильно понимаю? Выглядит как безопасное решение? Т.е. наружу идет, а во внутрь только после настройки фаера?
    А то тоже вот прокидывать белый IP собираюсь пользователю свой сети..



  • Т.е. наружу идет, а во внутрь только после настройки фаера?

    Трафик свободно идет наружу из (изнутри) самого pfSense , а во-внутрь pfSense на всех интерфейсах требуется настройка правил



  • @dvserg:

    Т.е. наружу идет, а во внутрь только после настройки фаера?

    Трафик свободно идет наружу из (изнутри) самого pfSense , а во-внутрь pfSense на всех интерфейсах требуется настройка правил

    Т.е. в сумме с галочкой о блокировки локального трафика это вполне себе безопасное решение?
    Наружу лишнего не светится, внутрь изначально закрыто.
    Просто слишком уж просто все выглядит :) Ощущение подвоха не оставляет меня как новичка в теме.



  • @time18:

    Т.е. в сумме с галочкой о блокировки локального трафика это вполне себе безопасное решение?
    Наружу лишнего не светится, внутрь изначально закрыто.
    Просто слишком уж просто все выглядит :) Ощущение подвоха не оставляет меня как новичка в теме.

    Из лан в инет ПФ автоматически открывает запрошенные порты.
    Из ван в лан вы настраиваете в брендмауере.
    И на практическом опыте могли бы проверить.


Log in to reply