4. Решено:Доступ к модему в режиме бриджа

Решено:Доступ к модему в режиме бриджа

  • P

    Иногда возникает необходимость достучаться до ADSl модемов, работающих в режиме бриджа.
    Нашел статью
    http://forum.pfsense.org/index.php/topic,29919.msg155019.html#msg155019
    сходил по ссылке на
    http://wiki.lissyara.su/wiki/PfSense:%D0%94%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BA_ADSL_%D0%BC%D0%BE%D0%B4%D0%B5%D0%BC%D1%83_%D0%B8%D0%B7-%D0%B7%D0%B0_%D1%84%D0%B0%D0%B9%D1%80%D0%B2%D0%BE%D0%BB%D0%B0

    Одним из шагов является следующее:

    Чтобы это сделать, скачать резервную копию конфигурации через меню Diagnostics > Backup/restore, и откройте его в текстовом редакторе. Перед , добавьте следующую строку:
    <shellcmd>ifconfig em0 inet 192.168.1.1 netmask 255.255.255.0 alias</shellcmd>

    Однако в своей резервной копии я не нашел, вероятно статья относится к старой версии pfSense.

    Имеется лишь

    <system>Буду благодарен за подсказку правильного места вставки строки.</system>

    0
  • D

    @pigbrother:

    Иногда возникает необходимость достучаться до ADSl модемов, работающих в режиме бриджа.

    1. присвоить модему IP в диапазоне отличном от LAN

    2. LAN или WAN интерфейсу присвоить второй IP в диапазоне модема
    http://thin.kiev.ua/router-os/50-pfsense/455–ip-pfsense-20.html

    3. Потрфорвард с WAN на модем.
    http://thin.kiev.ua/router-os/50-pfsense/456-222.html
    http://thin.kiev.ua/router-os/50-pfsense/536-internet-g-wang-internet.html

    Как-то так.

    0
  • W

    1. Интерфейсу WAN (или тому, какой у вас смотрит на модемы) в Virtual IP присвоить адрес из сети модема. Если надо , то в Interfaces: WAN:Private networks снять галку с Block private networks.
    2. В fw создать правило для хождения трафика на модемы из LAN.
    3. В Firewall: NAT: Outbound создать правило, к-ое будет натить все что идет на адреса модемов на созданный в первом пункте Virtual IP.  Желательно, поместить его первым (смотреть по-обстоятельствам).

    У меня все работает похожим образом.

    0
  • P

    Адрес модема 192.168.1.1
    Создал алиас 192.168.1.10 на интерфейсе, смотрящем в модем.
    Установил Shellcmd для создания этого алиаса  после перезагрузки.
    Настроил  virtual IP 192.168.1.10 на интерфейсе, смотрящем в модем.
    Создал Outbound правило.

    Из щелла pfSense могу пинговать и 192.168.1.10 и 192.168.1.1

    Из локальной сети пингуется только 192.168.1.10.

    0
  • W

    @pigbrother:

    Адрес модема 192.168.1.1
    Создал алиас 192.168.1.10 на интерфейсе, смотрящем в модем.
    Установил Shellcmd для создания этого алиаса  после перезагрузки.
    Настроил  virtual IP 192.168.1.10 на интерфейсе, смотрящем в модем.
    Создал Outbound правило.

    Из щелла pfSense могу пинговать и 192.168.1.10 и 192.168.1.1

    Из локальной сети пингуется только 192.168.1.10.

    1. Версия 2.0 ? Shellcmd - не надо?
    2. Правило в fw - сделали?
    3. Правило в NAT добавили?

    Пож-та, читайте внимательнее ! Я вам подробно все описал выше.

    0
  • P

    1. Версия 2.0 ? Shellcmd - не надо?

    2.0.1-RELEASE (i386)

    Shellcmd устанавливать не нужно, правильно?

    2. Правило в fw - сделали?
    Честно говоря - не пойму, какое правило создать.
    Firewall->Rules->Lan а дальше впадаю в прострацию. Можно пример такого правила?

    3. Правило в NAT добавили?

    Firewall-> NAT-> Outbound

    По умолчанию выбрано Automatic outbound NAT rule generation
    Нужно переключиться в Manual Outbound NAT rule generation нажатием кнопки Save и создать правило, так?
    Следует\нужно ли после этого переключиться в Automatic outbound NAT rule generation.

    Прошу извинить за элементарные вопросы.

    0
  • W

    @pigbrother:

    1. Версия 2.0 ? Shellcmd - не надо?

    2.0.1-RELEASE (i386)

    Shellcmd устанавливать не нужно, правильно?

    2. Правило в fw - сделали?
    Честно говоря - не пойму, какое правило создать.
    Firewall->Rules->Lan а дальше впадаю в прострацию. Можно пример такого правила?

    3. Правило в NAT добавили?

    Firewall-> NAT-> Outbound

    По умолчанию выбрано Automatic outbound NAT rule generation
    Нужно переключиться в Manual Outbound NAT rule generation нажатием кнопки Save и создать правило, так?
    Следует\нужно ли после этого переключиться в Automatic outbound NAT rule generation.

    Прошу извинить за элементарные вопросы.

    1. Для этих целей - не надо. А так, оставляйте - отличный и нужный пакет.
    2. Firewall: Rules: LAN
    3. Переключиться в Manual Outbound NAT rule generation и сохранить такой режим нажатием Save. Создать новое правило и поместить его первым :




    0
  • P

    Спасибо за инструкции и скриншоты.

    Virtual IP:

    Firewall: Rules

    Firewall: NAT: Outbound

    Ни модем, ни Virtual IP не пингуются.
    Причем ответ о недоступности хоста приходит со шлюза провайдера

    Если в консоли делаю
    ifconfig xl0 inet 192.168.1.10 netmask 255.255.255.0 alias
    Могу пинговать Virtual IP, но не модем.

    0
  • W

    А сеть провайдера с сетью модема не перекликаются? Что у вас на WAN?
    И роутинг гляньте тоже.

    0
  • P

    @werter:

    А сеть провайдера с сетью модема не перекликаются? Что у вас на WAN?
    И роутинг гляньте тоже.

    Нет, сети не пересекаются. Оба WAN - PPPoE с "белыми" статическими IP.
    Локальная сеть 10.0.2.0/24
    Модемы - 192.168.1.1 (тот, до которого хочу достучаться) и 172.16.0.111

    0
  • W

    Модемы в сетевые на pf подключены или через свитч?
    Если напрямую, без свитча, то удалите Виртуал Ай-Пи, заходите в Interfaces: Assign network ports:Interface assignments, нажимайте на + и создавайте новый физ. интерфейс с сетевой на которой весит первый модем. Далее идем в новосозданный интерефейс, обзываем его MODEM1 , напр., и даем адрес из подсети первого модема. Аналогично со второй сетевой и вторым модемом.
    Затем идем в Firewall: NAT: Outbound и удаляем недавно созданное правило (то что было с Виртуал АЙ-ПИ). Далее, создаем два правила (по-одному на каждый модем) , где в кач-ве Interface выбираем созданные ранее интерфейсы. И не забываем про добавление правил в fw на LAN (одно у нас уже было - добавить второе ) !


    0
  • P

    @werter:

    Модемы в сетевые на pf подключены или через свитч?
    Если напрямую, без свитча, то удалите Виртуал Ай-Пи, заходите в Interfaces: Assign network ports:Interface assignments, нажимайте на + и создавайте новый физ. интерфейс с сетевой на которой весит первый модем. Далее идем в новосозданный интерефейс, обзываем его MODEM1 , напр., и даем адрес из подсети первого модема. Аналогично со второй сетевой и вторым модемом.
    Затем идем в Firewall: NAT: Outbound и удаляем недавно созданное правило (то что было с Виртуал АЙ-ПИ). Далее, создаем два правила (по-одному на каждый модем) , где в кач-ве Interface выбираем созданные ранее интерфейсы. И не забываем про добавление правил в fw на LAN (одно у нас уже было - добавить второе ) !

    Да, модемы подключены без свитча, непосредственно в сетевые карты.

    Да, так все работает, спасибо!

    Остается вопрос:

    Перевод Firewall: NAT: Outbound в режим Manual Outbound NAT rule generation.
    Чем это грозит мне в дальнейшем? Не появится ли необходимость создавать\редактировать в правила Outbound NAT при внесении изменений в Firewall, открытии портов и т.д

    0
  • W

    @pigbrother:

    Остается вопрос:

    Перевод Firewall: NAT: Outbound в режим Manual Outbound NAT rule generation.
    Чем это грозит мне в дальнейшем? Не появится ли необходимость создавать\редактировать в правила Outbound NAT при внесении изменений в Firewall, открытии портов и т.д

    В случае с пробросом портов правила в Firewall: Rules формируются автоматом. А так, возможно, прийдется прописывать правила в NAT вручную. Далеко не часто, но прийдется.

    0
Locked
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy