Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Пробросить белый ip. Нужен совет.

    Russian
    7
    38
    15153
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      RED last edited by

      Опишу ситуацию:
      wan - pppoe. внешнему интерфейсу присваивается адрес xxx.xxx.xxx.231, шлюз ххх.ххх.ххх.1.
      lan - static 10.90.90.1/24
      pfSense 2.0.1
      Провайдером предоставлен пул внешних адресов: xxx.xxx.yyy.112/29.

      Требуется предоставить внутри сети хотя бы один белый адрес. (для какого-то тунеля)

      Пробовал NAT 1:1  - не то.

      Имеет ли смысл устанавливать третью сетевую? и как ее сконфигурить.

      Как бы вы подошли к решению?
      Или может я не то средство выбрал.

      1 Reply Last reply Reply Quote 0
      • D
        dvserg last edited by

        Внутри сети кому?

        1 Reply Last reply Reply Quote 0
        • R
          RED last edited by

          другому роутеру (вроде cisco). Он сам и все что за ним не моей власти.
          Это принципиально?

          1 Reply Last reply Reply Quote 0
          • R
            rubic last edited by

            Создать Virtual IP: xxx.xxx.yyy.113/29, интерфейс: LAN, тип: IP Alias
            циске дать адрес: xxx.xxx.yyy.114/29

            1 Reply Last reply Reply Quote 0
            • R
              RED last edited by

              Спасибо за подсказку.
              на самом деле указанное я уже пробовал сегодня, только мне помешали настроенные правила NATа попавшие на этот адрес.

              Удалил все правила, сделал роут на xxx.xxx.yyy.114/29 на внутренний интерфейс и узел стал доступен снаружи.  :)

              Подскажите еще, плз, как быть с Outbound?
              Когда ковырялся с 1:1 - все получалось, а сейчас как не кручу, но все обращения наружу с xxx.xxx.yyy.114/29 показывают xxx.xxx.xxx.231.
              Хотя даже само правило выглядит как-то нелепо:
              на wan источник - xxx.xxx.yyy.114 представляться как - xxx.xxx.yyy.114

              1 Reply Last reply Reply Quote 0
              • R
                rubic last edited by

                @RED:

                сделал роут на xxx.xxx.yyy.114/29 на внутренний интерфейс и узел стал доступен снаружи.  :)

                Если под "роут" вы имеете ввиду статический маршрут, то все должно работать и без него. У вас классическая схема "сеть за сетью", pfsense после создания Alias IP на LAN интерфейсе сама знает, что xxx.xxx.yyy.112/29 находится на LAN.

                Подскажите еще, плз, как быть с Outbound?
                Когда ковырялся с 1:1 - все получалось, а сейчас как не кручу, но все обращения наружу с xxx.xxx.yyy.114/29 показывают xxx.xxx.xxx.231.
                Хотя даже само правило выглядит как-то нелепо:
                на wan источник - xxx.xxx.yyy.114 представляться как - xxx.xxx.yyy.114

                В NAT outbound не должно быть ничего касающегося xxx.xxx.yyy.112/29 (все удалить), ковыряйте правила брандмауэра на интерфейсе LAN. По аналогии с LAN subnet, нужно сделать правило пускающее сеть xxx.xxx.yyy.112/29 по любому протоколу на любой порт куда угодно.

                1 Reply Last reply Reply Quote 0
                • R
                  RED last edited by

                  Спасибо большое!
                  Кто бы мог подумать, что требуемое делается в 3 движения.
                  При чем все это я уже делал, но мешало мне, то что я уже пытался наворотить через NAT и routing.
                  Спасибо еще раз.

                  1 Reply Last reply Reply Quote 0
                  • A
                    almo2006 last edited by

                    @rubic:

                    Создать Virtual IP: xxx.xxx.yyy.113/29, интерфейс: LAN, тип: IP Alias
                    циске дать адрес: xxx.xxx.yyy.114/29

                    Столкнулся с аналогичной проблемой "пробросить белый IP", сделал как выше указано, но провайдер выдал диапазон адресов xxx.xxx.xxx.32 xxx.xxx.xxx.33 xxx.xxx.xxx.34 маска 255.255.255.0 шлюз xxx.xxx.xxx.254 нужно пробросить адреса на компы с Windows XP. Что-то я сделал не так (новичок я, однако…) и когда пытаюсь прописать адрес xxx.xxx.xxx.32 на компе с Windows, получаю ответ: такой адрес уже есть в сети. Буду очень признателен если напишете мне строки, аналогичные вышеприведенным для моей ситуации.

                    1 Reply Last reply Reply Quote 0
                    • R
                      rubic last edited by

                      2almo2006
                      Мало информации. Нет никакой уверенности, что у вас тот же случай, что и у RED. Поэтому все, что дал вам провайдер напишите сюда. Что за адрес у вас на WAN? xxx.xxx.xxx.32 xxx.xxx.xxx.33 xxx.xxx.xxx.34 - "серые" адреса?

                      1 Reply Last reply Reply Quote 0
                      • A
                        almo2006 last edited by

                        @rubic:

                        2almo2006
                        Мало информации. Нет никакой уверенности, что у вас тот же случай, что и у RED. Поэтому все, что дал вам провайдер напишите сюда. Что за адрес у вас на WAN? xxx.xxx.xxx.32 xxx.xxx.xxx.33 xxx.xxx.xxx.34 - "серые" адреса?

                        В том то и дело, провайдер выдал эти 3 адреса, шлюз и 2 DNS, могу их привести полностью, но не хотелось бы, может в личку? Провайдер: г. Харьков, Триолан - может это прояснит ситуацию?

                        1 Reply Last reply Reply Quote 0
                        • A
                          almo2006 last edited by

                          адрес на WAN xxx.xxx.xxx.34, провайдер указал его, как основной, ну я и подсунул его pfSense, как адрес WAN

                          1 Reply Last reply Reply Quote 0
                          • R
                            rubic last edited by

                            Продолжайте, адреса все-таки "белые" или "серые"? (я просто не могу понять вашу фразу: "когда пытаюсь прописать адрес xxx.xxx.xxx.32 на компе с Windows, получаю ответ: такой адрес уже есть в сети"… этот "комп с Windows" за pfSense находился, или напрямую к кабелю провайдера подключали?).
                            Вообще, зачем вам пробрасывать белые ip в локальную сеть? Объясните цель, что вам это должно дать по-вашему?
                            Судя по всему, провайдер выдал вам "плоскую" подсеть, решение и тут есть, но все же надо бы сначала понять суть задачи.

                            1 Reply Last reply Reply Quote 0
                            • A
                              almo2006 last edited by

                              Провайдер утверждает, что адреса "белые": 37.xxx.yyy.234 - основной и два дополнительных: 37.xxx.yyy.232 и 37.xxx.yyy.233. Эти два последних адреса мне нужно прописать на компах с Windows XP (они "за pfSense"), это компы арендатором, и зачем им это нужно, они мне не говорят, я предлагал пробросить порт: "Нет, нам нужен IP адрес!" - вот такой вот был диалог на днях.

                              1 Reply Last reply Reply Quote 0
                              • A
                                almo2006 last edited by

                                Уточню ситуацию: есть комп с pfSense, подключенный к провайдеру, он раздает Интернет арендаторам и владельцам всего этого "хозяйства", все было нормально, у арендаторов были адреса: 192.168.0.xxx, два арендатора добавились, и они требуют "реальные IP-адреса", "разведка доложила", что у одного из них обмен данными с сервером в Киеве, а у второго "контрразведка" облаяла мою "разведку" и ничего не сказала. Вот сижу и смотрю на все это глазами мышки, которая какает! А сделать им эти чертовы адреса надо, а опыта нет. Вот такая ситуёвина.

                                1 Reply Last reply Reply Quote 0
                                • R
                                  rubic last edited by

                                  Для того чтобы дать даже одному арендатору реальный адрес прямо на его машину, вам нужно иметь минимум 4 реальных IP от провайдера.
                                  1 - сеть
                                  2 - шлюз (ваш pfsense)
                                  3 - машина арендатора
                                  5 - широковещательный

                                  итого 8 белых IP на 2-х арендаторов

                                  плюсом либо 2 отдельных кабеля от pfsense до арендаторов, либо vlan'ы

                                  это если они не согласны ни на что кроме реального IP прямо на их машинах
                                  если согласны на серые адреса, можно поставить все 3 ваших IP на WAN и натить 1:1 на арендаторов два из них.

                                  Вообще вам нужно их грамотно послать. Идите к своему начальству и объясняйте, что такие требования удовлетворить нет технической возможности (денег попросите на адреса и оборудование - подействует)
                                  а арендаторы пусть идут к провайдеру за отдельным договором и тянут себе отдельные кабеля

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    almo2006 last edited by

                                    О-о-о-о! Это именно то, что я искал, я догадывался, что такие адреса простым способом я не раздам! Начальство я озадачу, но, похоже, с провайдером буду разбираться сам. У меня в связи с этим 2 вопроса: 1) в случае, если я добьюсь от провайдера IP-адреса четверками, приведенный в начале ветки рецепт сработает в моем случае? 2) можете мне написать подробнее настройки VLAN для моего нынешнего случая, чтобы я мог хоть что-то предъявить уже сейчас? (извините за назойливость, но уж очень сильно меня допекли начальнички+арендаторы)

                                    1 Reply Last reply Reply Quote 0
                                    • R
                                      rubic last edited by

                                      Для того чтобы отдать сеть арендатору VLAN'ом нужно чтобы между ним и pfsense стоял умный свитч, который VLAN'ы понимает. Либо тупой свитч, но тогда сетевая карта арендатора должна понимать VLAN (где-то в ее свойствах в диспетчере оборудования). Во втором случае возможны варианты, информация противоречивая. В теории тупой свитч должен пропускать VLAN, но, говорят, некоторые и дропают.

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        almo2006 last edited by

                                        @rubic:

                                        Для того чтобы отдать сеть арендатору VLAN'ом нужно чтобы между ним и pfsense стоял умный свитч, который VLAN'ы понимает. Либо тупой свитч, но тогда сетевая карта арендатора должна понимать VLAN (где-то в ее свойствах в диспетчере оборудования). Во втором случае возможны варианты, информация противоречивая. В теории тупой свитч должен пропускать VLAN, но, говорят, некоторые и дропают.

                                        Буду исходить из того, что, что свич у меня умный (есть еще 2, может какой-то и подойдет). Какие мои дальнейшие действия? И есть ли какая методика проверки свича на "интеллект" :)?

                                        1 Reply Last reply Reply Quote 0
                                        • R
                                          rubic last edited by

                                          Просто модель свитча озвучте.

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            almo2006 last edited by

                                            Я сейчас в другой конторе собрал "сеть" из компа-pfSense + компа-WindowsXP, буду пытаться передать компу с Windows "реальный" IP. Очень бы хотелось получить подсказку, что и где надо прописывать, а то уже "крыша едет", вроде бы и в файерволл надо залезть, и в NAT, видимо еще куда-то, о чем я и не догадываюсь.

                                            1 Reply Last reply Reply Quote 0
                                            • A
                                              almo2006 last edited by

                                              Если я правильно Вас понял, то мне нужно реализовать этот механизм, поправьте, если не так: http://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense

                                              1 Reply Last reply Reply Quote 0
                                              • R
                                                rubic last edited by

                                                Нет, это из другой оперы что-то. Вам нужно вот что: сделать еще один интерфейс (не важно как вы этого добьетесь - вставите в pfSense еще одну сетевую карту и соедините ее отдельным кабелем с арендатором, или на существующей карте LAN сделаете VLAN и настроите свитч так, чтобы арендатор был в этом VLAN'е). Затем взять 4 IP, которые вам даст провайдер (скажем, x.x.x.32, x.x.x.33, x.x.x.34 и x.x.x.35), назначить второй из них (x.x.x.33) новому интерфейсу pfSense, третий (x.x.x.34) - компу арендатора, маска подсети и там и там: 255.255.255.252 (т.е. /30). Назначить шлюзом на компе арендатора адрес нового интерфейса pfSense (x.x.x.33) и настроить firewall (никакого NAT не надо, если есть - убрать!). Это - все!

                                                1 Reply Last reply Reply Quote 0
                                                • A
                                                  almo2006 last edited by

                                                  Но это случай, когда на каждую клиентскую машину провайдер выдает четверку IP, с ним мне все понятно (надеюсь :-). А я сейчас хочу сделать хоть что-то с тем, что у меня есть, а именно: 3 адреса и шлюз - один на всех. Это реально или я бьюсь впустую?
                                                  Я нашел вот такой вариант: http://thin.kiev.ua/router-os/50-pfsense/455–ip-pfsense-20.html или это тоже не то? (правда и этот вариант у меня не работает)

                                                  1 Reply Last reply Reply Quote 0
                                                  • D
                                                    dr.gopher last edited by

                                                    @almo2006:

                                                    Я нашел вот такой вариант: http://thin.kiev.ua/router-os/50-pfsense/455–ip-pfsense-20.html или это тоже не то? (правда и этот вариант у меня не работает)

                                                    Данная статья называется - Несколько ip адресов на одном интерфейсе в Pfsense 2.0

                                                    Вы конечно можете попробовать присвоить WAN интерфейсу три дополнительных IP и сделать портфорвард всех портов на локальный 
                                                    IP ваших арендаторов. Возможно что-то и получится похожее на белый IP.

                                                    1 Reply Last reply Reply Quote 0
                                                    • A
                                                      almo2006 last edited by

                                                      Собственно, я нечто подобное и имел в виду, но… пока ничего не работает, то ли мозгов не хватает, то ли это принципиально нереализуемо (это меня и бесит, что не знаю "Правильным путем идет товарищ...", то есть я, или нет, и опять пытаюсь создать из г... пулю!?)

                                                      1 Reply Last reply Reply Quote 0
                                                      • D
                                                        dr.gopher last edited by

                                                        @almo2006:

                                                        Собственно, я нечто подобное и имел в виду, но… пока ничего не работает, то ли мозгов не хватает, то ли это принципиально нереализуемо

                                                        Реализуемо http://thin.kiev.ua/router-os/50-pfsense/608-portforvard-nat.html

                                                        Пробуйте.

                                                        1 Reply Last reply Reply Quote 0
                                                        • A
                                                          almo2006 last edited by

                                                          Спасибо, буду пробовать, если получится - хоть что-то смогу предъявить.

                                                          1 Reply Last reply Reply Quote 0
                                                          • A
                                                            almo2006 last edited by

                                                            Ага! Собрал модель из двух компов pfSense + WIndows XP и… сработало! Завтра проверю на реальном "железе". Большое человеческое "угу" всем откликнувшимся на мой стон. Вот только не знаю, как убедиться, что комп с Windows XP "откликается" на тот адрес, который я задал, как alias IP в pfSense, можно как-то простым способом это посмотреть?

                                                            1 Reply Last reply Reply Quote 0
                                                            • werter
                                                              werter last edited by

                                                              @almo2006:

                                                              Ага! Собрал модель из двух компов pfSense + WIndows XP и… сработало! Завтра проверю на реальном "железе". Большое человеческое "угу" всем откликнувшимся на мой стон. Вот только не знаю, как убедиться, что комп с Windows XP "откликается" на тот адрес, который я задал, как alias IP в pfSense, можно как-то простым способом это посмотреть?

                                                              Откл. (временно) встроенный брэндмауэр или др. аналогичное ПО в системе, разрешите (временно) удаленный доступ на нем (RDP). Затем извне телнет на 3389. Если пройдет - все ок, нет -значит что-то не так. Это первое , что пришло в голову. Ну и пинг проверьте.

                                                              1 Reply Last reply Reply Quote 0
                                                              • D
                                                                dr.gopher last edited by

                                                                @almo2006:

                                                                Вот только не знаю, как убедиться, что комп с Windows XP "откликается" на тот адрес, который я задал, как alias IP в pfSense, можно как-то простым способом это посмотреть?

                                                                Если все порты открыты - пинг на белый айпи. Если локальную машину отключить - пинги пропадут. Еще можно  пуск - выполнить-
                                                                \ белый-ip - Enter

                                                                1 Reply Last reply Reply Quote 0
                                                                • werter
                                                                  werter last edited by

                                                                  2 almo2006
                                                                  Ну теперь готовьтесь  ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
                                                                  Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • D
                                                                    dr.gopher last edited by

                                                                    @werter:

                                                                    2 almo2006
                                                                    Ну теперь готовьтесь  ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
                                                                    Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.

                                                                    У человека арендаторы. Пробросит айпишник и предупредит. А там пусть сами парятся с безопасностью. Я бы в такой ситуации, делал физически отделенную локальную сеть - для таких смелых (недопонимающих) Дабы не навредить своей сетке. :-)

                                                                    А в доке про пробросу IP, имеется предупреждение на этот счёт.

                                                                    1 Reply Last reply Reply Quote 0
                                                                    • werter
                                                                      werter last edited by

                                                                      @dr.gopher:

                                                                      @werter:

                                                                      2 almo2006
                                                                      Ну теперь готовьтесь  ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
                                                                      Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.

                                                                      У человека арендаторы. Пробросит айпишник и предупредит. А там пусть сами парятся с безопасностью. Я бы в такой ситуации, делал физически отделенную локальную сеть - для таких смелых (недопонимающих) Дабы не навредить своей сетке. :-)

                                                                      А в доке про пробросу IP, имеется предупреждение на этот счёт.

                                                                      Тогда уж отдельная сетевая + VLAN. И как недорогой вариант  - dir-100 в кач-ве L2-свитча с этим справится.

                                                                      1 Reply Last reply Reply Quote 0
                                                                      • A
                                                                        almo2006 last edited by

                                                                        Ура! Все работает, всем откликнувшимся большое спасибо! Мне кажется, содержимое этой ветки форума (я имею в виду рекомендации rubic + dr.gopher, а не свои "вопли и сопли") - вполне готовый HOWTO, я заметил, многие так или иначе сталкиваются с этой проблемой: "пробросить IP", а им чаще всего рекомендуют пробросить порт, и только здесь я получил исчерпывающую инфу, "что надо делать и чего не надо". Еще раз спасибо, полагаю, что тема УСПЕШНО закрыта.

                                                                        1 Reply Last reply Reply Quote 0
                                                                        • T
                                                                          time18 last edited by

                                                                          @werter:

                                                                          2 almo2006
                                                                          Ну теперь готовьтесь  ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
                                                                          Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.

                                                                          А вот кстати вопрос на тему: в мане http://doc.pfsense.org/index.php/1:1_NAT на 1:1 нат написано "To allow traffic in from the Internet, you must add a firewall rule…."
                                                                          И вот тут http://forum.pfsense.org/index.php/topic,49229.0.html тоже пишут что по умолчанию закрыто снаружи
                                                                          Так ли это или я неправильно понимаю? Выглядит как безопасное решение? Т.е. наружу идет, а во внутрь только после настройки фаера?
                                                                          А то тоже вот прокидывать белый IP собираюсь пользователю свой сети..

                                                                          1 Reply Last reply Reply Quote 0
                                                                          • D
                                                                            dvserg last edited by

                                                                            Т.е. наружу идет, а во внутрь только после настройки фаера?

                                                                            Трафик свободно идет наружу из (изнутри) самого pfSense , а во-внутрь pfSense на всех интерфейсах требуется настройка правил

                                                                            1 Reply Last reply Reply Quote 0
                                                                            • T
                                                                              time18 last edited by

                                                                              @dvserg:

                                                                              Т.е. наружу идет, а во внутрь только после настройки фаера?

                                                                              Трафик свободно идет наружу из (изнутри) самого pfSense , а во-внутрь pfSense на всех интерфейсах требуется настройка правил

                                                                              Т.е. в сумме с галочкой о блокировки локального трафика это вполне себе безопасное решение?
                                                                              Наружу лишнего не светится, внутрь изначально закрыто.
                                                                              Просто слишком уж просто все выглядит :) Ощущение подвоха не оставляет меня как новичка в теме.

                                                                              1 Reply Last reply Reply Quote 0
                                                                              • D
                                                                                dr.gopher last edited by

                                                                                @time18:

                                                                                Т.е. в сумме с галочкой о блокировки локального трафика это вполне себе безопасное решение?
                                                                                Наружу лишнего не светится, внутрь изначально закрыто.
                                                                                Просто слишком уж просто все выглядит :) Ощущение подвоха не оставляет меня как новичка в теме.

                                                                                Из лан в инет ПФ автоматически открывает запрошенные порты.
                                                                                Из ван в лан вы настраиваете в брендмауере.
                                                                                И на практическом опыте могли бы проверить.

                                                                                1 Reply Last reply Reply Quote 0
                                                                                • First post
                                                                                  Last post

                                                                                Products

                                                                                • Platform Overview
                                                                                • TNSR
                                                                                • pfSense
                                                                                • Appliances

                                                                                Services

                                                                                • Training
                                                                                • Professional Services

                                                                                Support

                                                                                • Subscription Plans
                                                                                • Contact Support
                                                                                • Product Lifecycle
                                                                                • Documentation

                                                                                News

                                                                                • Media Coverage
                                                                                • Press
                                                                                • Events

                                                                                Resources

                                                                                • Blog
                                                                                • FAQ
                                                                                • Find a Partner
                                                                                • Resource Library
                                                                                • Security Information

                                                                                Company

                                                                                • About Us
                                                                                • Careers
                                                                                • Partners
                                                                                • Contact Us
                                                                                • Legal
                                                                                Our Mission

                                                                                We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                                                                Subscribe to our Newsletter

                                                                                Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                                                                © 2021 Rubicon Communications, LLC | Privacy Policy