Решено:Доступ к модему в режиме бриджа



  • Иногда возникает необходимость достучаться до ADSl модемов, работающих в режиме бриджа.
    Нашел статью
    http://forum.pfsense.org/index.php/topic,29919.msg155019.html#msg155019
    сходил по ссылке на
    http://wiki.lissyara.su/wiki/PfSense:%D0%94%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BA_ADSL_%D0%BC%D0%BE%D0%B4%D0%B5%D0%BC%D1%83_%D0%B8%D0%B7-%D0%B7%D0%B0_%D1%84%D0%B0%D0%B9%D1%80%D0%B2%D0%BE%D0%BB%D0%B0

    Одним из шагов является следующее:

    Чтобы это сделать, скачать резервную копию конфигурации через меню Diagnostics > Backup/restore, и откройте его в текстовом редакторе. Перед , добавьте следующую строку:
    <shellcmd>ifconfig em0 inet 192.168.1.1 netmask 255.255.255.0 alias</shellcmd>

    Однако в своей резервной копии я не нашел, вероятно статья относится к старой версии pfSense.

    Имеется лишь

    <system>Буду благодарен за подсказку правильного места вставки строки.</system>



  • @pigbrother:

    Иногда возникает необходимость достучаться до ADSl модемов, работающих в режиме бриджа.

    1. присвоить модему IP в диапазоне отличном от LAN

    2. LAN или WAN интерфейсу присвоить второй IP в диапазоне модема
    http://thin.kiev.ua/router-os/50-pfsense/455–ip-pfsense-20.html

    3. Потрфорвард с WAN на модем.
    http://thin.kiev.ua/router-os/50-pfsense/456-222.html
    http://thin.kiev.ua/router-os/50-pfsense/536-internet-g-wang-internet.html

    Как-то так.



  • 1. Интерфейсу WAN (или тому, какой у вас смотрит на модемы) в Virtual IP присвоить адрес из сети модема. Если надо , то в Interfaces: WAN:Private networks снять галку с Block private networks.
    2. В fw создать правило для хождения трафика на модемы из LAN.
    3. В Firewall: NAT: Outbound создать правило, к-ое будет натить все что идет на адреса модемов на созданный в первом пункте Virtual IP.  Желательно, поместить его первым (смотреть по-обстоятельствам).

    У меня все работает похожим образом.



  • Адрес модема 192.168.1.1
    Создал алиас 192.168.1.10 на интерфейсе, смотрящем в модем.
    Установил Shellcmd для создания этого алиаса  после перезагрузки.
    Настроил  virtual IP 192.168.1.10 на интерфейсе, смотрящем в модем.
    Создал Outbound правило.

    Из щелла pfSense могу пинговать и 192.168.1.10 и 192.168.1.1

    Из локальной сети пингуется только 192.168.1.10.



  • @pigbrother:

    Адрес модема 192.168.1.1
    Создал алиас 192.168.1.10 на интерфейсе, смотрящем в модем.
    Установил Shellcmd для создания этого алиаса  после перезагрузки.
    Настроил  virtual IP 192.168.1.10 на интерфейсе, смотрящем в модем.
    Создал Outbound правило.

    Из щелла pfSense могу пинговать и 192.168.1.10 и 192.168.1.1

    Из локальной сети пингуется только 192.168.1.10.

    1. Версия 2.0 ? Shellcmd - не надо?
    2. Правило в fw - сделали?
    3. Правило в NAT добавили?

    Пож-та, читайте внимательнее ! Я вам подробно все описал выше.



  • 1. Версия 2.0 ? Shellcmd - не надо?

    2.0.1-RELEASE (i386)

    Shellcmd устанавливать не нужно, правильно?

    2. Правило в fw - сделали?
    Честно говоря - не пойму, какое правило создать.
    Firewall->Rules->Lan а дальше впадаю в прострацию. Можно пример такого правила?

    3. Правило в NAT добавили?

    Firewall-> NAT-> Outbound

    По умолчанию выбрано Automatic outbound NAT rule generation
    Нужно переключиться в Manual Outbound NAT rule generation нажатием кнопки Save и создать правило, так?
    Следует\нужно ли после этого переключиться в Automatic outbound NAT rule generation.

    Прошу извинить за элементарные вопросы.



  • @pigbrother:

    1. Версия 2.0 ? Shellcmd - не надо?

    2.0.1-RELEASE (i386)

    Shellcmd устанавливать не нужно, правильно?

    2. Правило в fw - сделали?
    Честно говоря - не пойму, какое правило создать.
    Firewall->Rules->Lan а дальше впадаю в прострацию. Можно пример такого правила?

    3. Правило в NAT добавили?

    Firewall-> NAT-> Outbound

    По умолчанию выбрано Automatic outbound NAT rule generation
    Нужно переключиться в Manual Outbound NAT rule generation нажатием кнопки Save и создать правило, так?
    Следует\нужно ли после этого переключиться в Automatic outbound NAT rule generation.

    Прошу извинить за элементарные вопросы.

    1. Для этих целей - не надо. А так, оставляйте - отличный и нужный пакет.
    2. Firewall: Rules: LAN
    3. Переключиться в Manual Outbound NAT rule generation и сохранить такой режим нажатием Save. Создать новое правило и поместить его первым :






  • Спасибо за инструкции и скриншоты.

    Virtual IP:

    Firewall: Rules

    Firewall: NAT: Outbound

    Ни модем, ни Virtual IP не пингуются.
    Причем ответ о недоступности хоста приходит со шлюза провайдера

    Если в консоли делаю
    ifconfig xl0 inet 192.168.1.10 netmask 255.255.255.0 alias
    Могу пинговать Virtual IP, но не модем.



  • А сеть провайдера с сетью модема не перекликаются? Что у вас на WAN?
    И роутинг гляньте тоже.



  • @werter:

    А сеть провайдера с сетью модема не перекликаются? Что у вас на WAN?
    И роутинг гляньте тоже.

    Нет, сети не пересекаются. Оба WAN - PPPoE с "белыми" статическими IP.
    Локальная сеть 10.0.2.0/24
    Модемы - 192.168.1.1 (тот, до которого хочу достучаться) и 172.16.0.111



  • Модемы в сетевые на pf подключены или через свитч?
    Если напрямую, без свитча, то удалите Виртуал Ай-Пи, заходите в Interfaces: Assign network ports:Interface assignments, нажимайте на + и создавайте новый физ. интерфейс с сетевой на которой весит первый модем. Далее идем в новосозданный интерефейс, обзываем его MODEM1 , напр., и даем адрес из подсети первого модема. Аналогично со второй сетевой и вторым модемом.
    Затем идем в Firewall: NAT: Outbound и удаляем недавно созданное правило (то что было с Виртуал АЙ-ПИ). Далее, создаем два правила (по-одному на каждый модем) , где в кач-ве Interface выбираем созданные ранее интерфейсы. И не забываем про добавление правил в fw на LAN (одно у нас уже было - добавить второе ) !




  • @werter:

    Модемы в сетевые на pf подключены или через свитч?
    Если напрямую, без свитча, то удалите Виртуал Ай-Пи, заходите в Interfaces: Assign network ports:Interface assignments, нажимайте на + и создавайте новый физ. интерфейс с сетевой на которой весит первый модем. Далее идем в новосозданный интерефейс, обзываем его MODEM1 , напр., и даем адрес из подсети первого модема. Аналогично со второй сетевой и вторым модемом.
    Затем идем в Firewall: NAT: Outbound и удаляем недавно созданное правило (то что было с Виртуал АЙ-ПИ). Далее, создаем два правила (по-одному на каждый модем) , где в кач-ве Interface выбираем созданные ранее интерфейсы. И не забываем про добавление правил в fw на LAN (одно у нас уже было - добавить второе ) !

    Да, модемы подключены без свитча, непосредственно в сетевые карты.

    Да, так все работает, спасибо!

    Остается вопрос:

    Перевод Firewall: NAT: Outbound в режим Manual Outbound NAT rule generation.
    Чем это грозит мне в дальнейшем? Не появится ли необходимость создавать\редактировать в правила Outbound NAT при внесении изменений в Firewall, открытии портов и т.д



  • @pigbrother:

    Остается вопрос:

    Перевод Firewall: NAT: Outbound в режим Manual Outbound NAT rule generation.
    Чем это грозит мне в дальнейшем? Не появится ли необходимость создавать\редактировать в правила Outbound NAT при внесении изменений в Firewall, открытии портов и т.д

    В случае с пробросом портов правила в Firewall: Rules формируются автоматом. А так, возможно, прийдется прописывать правила в NAT вручную. Далеко не часто, но прийдется.


Locked