Решено:Доступ к модему в режиме бриджа
-
Иногда возникает необходимость достучаться до ADSl модемов, работающих в режиме бриджа.
Нашел статью
http://forum.pfsense.org/index.php/topic,29919.msg155019.html#msg155019
сходил по ссылке на
http://wiki.lissyara.su/wiki/PfSense:%D0%94%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BA_ADSL_%D0%BC%D0%BE%D0%B4%D0%B5%D0%BC%D1%83_%D0%B8%D0%B7-%D0%B7%D0%B0_%D1%84%D0%B0%D0%B9%D1%80%D0%B2%D0%BE%D0%BB%D0%B0Одним из шагов является следующее:
Чтобы это сделать, скачать резервную копию конфигурации через меню Diagnostics > Backup/restore, и откройте его в текстовом редакторе. Перед , добавьте следующую строку:
<shellcmd>ifconfig em0 inet 192.168.1.1 netmask 255.255.255.0 alias</shellcmd>Однако в своей резервной копии я не нашел, вероятно статья относится к старой версии pfSense.
Имеется лишь
<system>Буду благодарен за подсказку правильного места вставки строки.</system>
-
Иногда возникает необходимость достучаться до ADSl модемов, работающих в режиме бриджа.
1. присвоить модему IP в диапазоне отличном от LAN
2. LAN или WAN интерфейсу присвоить второй IP в диапазоне модема
http://thin.kiev.ua/router-os/50-pfsense/455–ip-pfsense-20.html3. Потрфорвард с WAN на модем.
http://thin.kiev.ua/router-os/50-pfsense/456-222.html
http://thin.kiev.ua/router-os/50-pfsense/536-internet-g-wang-internet.htmlКак-то так.
-
1. Интерфейсу WAN (или тому, какой у вас смотрит на модемы) в Virtual IP присвоить адрес из сети модема. Если надо , то в Interfaces: WAN:Private networks снять галку с Block private networks.
2. В fw создать правило для хождения трафика на модемы из LAN.
3. В Firewall: NAT: Outbound создать правило, к-ое будет натить все что идет на адреса модемов на созданный в первом пункте Virtual IP. Желательно, поместить его первым (смотреть по-обстоятельствам).У меня все работает похожим образом.
-
Адрес модема 192.168.1.1
Создал алиас 192.168.1.10 на интерфейсе, смотрящем в модем.
Установил Shellcmd для создания этого алиаса после перезагрузки.
Настроил virtual IP 192.168.1.10 на интерфейсе, смотрящем в модем.
Создал Outbound правило.Из щелла pfSense могу пинговать и 192.168.1.10 и 192.168.1.1
Из локальной сети пингуется только 192.168.1.10.
-
Адрес модема 192.168.1.1
Создал алиас 192.168.1.10 на интерфейсе, смотрящем в модем.
Установил Shellcmd для создания этого алиаса после перезагрузки.
Настроил virtual IP 192.168.1.10 на интерфейсе, смотрящем в модем.
Создал Outbound правило.Из щелла pfSense могу пинговать и 192.168.1.10 и 192.168.1.1
Из локальной сети пингуется только 192.168.1.10.
1. Версия 2.0 ? Shellcmd - не надо?
2. Правило в fw - сделали?
3. Правило в NAT добавили?Пож-та, читайте внимательнее ! Я вам подробно все описал выше.
-
1. Версия 2.0 ? Shellcmd - не надо?
2.0.1-RELEASE (i386)
Shellcmd устанавливать не нужно, правильно?
2. Правило в fw - сделали?
Честно говоря - не пойму, какое правило создать.
Firewall->Rules->Lan а дальше впадаю в прострацию. Можно пример такого правила?3. Правило в NAT добавили?
Firewall-> NAT-> Outbound
По умолчанию выбрано Automatic outbound NAT rule generation
Нужно переключиться в Manual Outbound NAT rule generation нажатием кнопки Save и создать правило, так?
Следует\нужно ли после этого переключиться в Automatic outbound NAT rule generation.Прошу извинить за элементарные вопросы.
-
1. Версия 2.0 ? Shellcmd - не надо?
2.0.1-RELEASE (i386)
Shellcmd устанавливать не нужно, правильно?
2. Правило в fw - сделали?
Честно говоря - не пойму, какое правило создать.
Firewall->Rules->Lan а дальше впадаю в прострацию. Можно пример такого правила?3. Правило в NAT добавили?
Firewall-> NAT-> Outbound
По умолчанию выбрано Automatic outbound NAT rule generation
Нужно переключиться в Manual Outbound NAT rule generation нажатием кнопки Save и создать правило, так?
Следует\нужно ли после этого переключиться в Automatic outbound NAT rule generation.Прошу извинить за элементарные вопросы.
1. Для этих целей - не надо. А так, оставляйте - отличный и нужный пакет.
2. Firewall: Rules: LAN
3. Переключиться в Manual Outbound NAT rule generation и сохранить такой режим нажатием Save. Создать новое правило и поместить его первым :
-
Спасибо за инструкции и скриншоты.
Virtual IP:
Firewall: Rules
Firewall: NAT: Outbound
Ни модем, ни Virtual IP не пингуются.
Причем ответ о недоступности хоста приходит со шлюза провайдераЕсли в консоли делаю
ifconfig xl0 inet 192.168.1.10 netmask 255.255.255.0 alias
Могу пинговать Virtual IP, но не модем.
-
А сеть провайдера с сетью модема не перекликаются? Что у вас на WAN?
И роутинг гляньте тоже.
-
А сеть провайдера с сетью модема не перекликаются? Что у вас на WAN?
И роутинг гляньте тоже.Нет, сети не пересекаются. Оба WAN - PPPoE с "белыми" статическими IP.
Локальная сеть 10.0.2.0/24
Модемы - 192.168.1.1 (тот, до которого хочу достучаться) и 172.16.0.111
-
Модемы в сетевые на pf подключены или через свитч?
Если напрямую, без свитча, то удалите Виртуал Ай-Пи, заходите в Interfaces: Assign network ports:Interface assignments, нажимайте на + и создавайте новый физ. интерфейс с сетевой на которой весит первый модем. Далее идем в новосозданный интерефейс, обзываем его MODEM1 , напр., и даем адрес из подсети первого модема. Аналогично со второй сетевой и вторым модемом.
Затем идем в Firewall: NAT: Outbound и удаляем недавно созданное правило (то что было с Виртуал АЙ-ПИ). Далее, создаем два правила (по-одному на каждый модем) , где в кач-ве Interface выбираем созданные ранее интерфейсы. И не забываем про добавление правил в fw на LAN (одно у нас уже было - добавить второе ) !
-
Модемы в сетевые на pf подключены или через свитч?
Если напрямую, без свитча, то удалите Виртуал Ай-Пи, заходите в Interfaces: Assign network ports:Interface assignments, нажимайте на + и создавайте новый физ. интерфейс с сетевой на которой весит первый модем. Далее идем в новосозданный интерефейс, обзываем его MODEM1 , напр., и даем адрес из подсети первого модема. Аналогично со второй сетевой и вторым модемом.
Затем идем в Firewall: NAT: Outbound и удаляем недавно созданное правило (то что было с Виртуал АЙ-ПИ). Далее, создаем два правила (по-одному на каждый модем) , где в кач-ве Interface выбираем созданные ранее интерфейсы. И не забываем про добавление правил в fw на LAN (одно у нас уже было - добавить второе ) !Да, модемы подключены без свитча, непосредственно в сетевые карты.
Да, так все работает, спасибо!
Остается вопрос:
Перевод Firewall: NAT: Outbound в режим Manual Outbound NAT rule generation.
Чем это грозит мне в дальнейшем? Не появится ли необходимость создавать\редактировать в правила Outbound NAT при внесении изменений в Firewall, открытии портов и т.д
-
Остается вопрос:
Перевод Firewall: NAT: Outbound в режим Manual Outbound NAT rule generation.
Чем это грозит мне в дальнейшем? Не появится ли необходимость создавать\редактировать в правила Outbound NAT при внесении изменений в Firewall, открытии портов и т.дВ случае с пробросом портов правила в Firewall: Rules формируются автоматом. А так, возможно, прийдется прописывать правила в NAT вручную. Далеко не часто, но прийдется.
