Несколько подсетей за LAN. HELP ?
-
Добрый день.
Помогите организовать сеть (сети) за LAN по следующему алгоритму:
(Хотелось ограничиться только 2мя сетевыми картами и неуправляемым свитчем)
На входе Pf-Sense релиз 2.0.3-RELEASE
WAN - белый IP -все ок.
LAN - 192.168.10.0/24 (DHCP - OFF)
За LAN необходимо организовать 3-5 подсетей (192.168.50.0/24 -192.168.55.0/24)
-друг друга видеть не должны. (Только своя подсеть, шлюз и интернет)
-ходить в интернет через LAN (192.168.10.5)Vlan не могу использовать, т.к. свитч неуправляемый.
Я так понимаю, что нужно копать в сторону virtual ip на LAN интерфейсе.
Но как, что дальше? (Порядок действий)
Заранее благодарен. -
За LAN необходимо организовать 3-5 подсетей (192.168.50.0/24 -192.168.55.0/24)
-друг друга видеть не должны. (Только своя подсеть, шлюз и интернет)Извините, а что мешает Вашим клиентам в этом случае поставить маску 255.255.0.0 и "увидеть" то, что не должны видеть?
Ваш выбор - физическое разделение сетей. -
Главное!
Видеть друг друга не должны.
В идеале - это физическое разделение подсетей.Если 255.255.0.0 маску использовать.
Можно ли в этом случае настройками файрвола запретить обмен данными между подсетями ? -
Главное!
Видеть друг друга не должны.
В идеале - это физическое разделение подсетей.Если 255.255.0.0 маску использовать.
Можно ли в этом случае настройками файрвола запретить обмен данными между подсетями ?Файрвол может запретить только то, что проходит через него. А у Вас сеть физически одна.
-
Да, верно!!!
Не подумавши ляпнул. :-[Так как физически разделить подсети?
-
Да, верно!!!
Не подумавши ляпнул. :-[Так как физически разделить подсети?
[/quote]
Варианты:
1. На каждую сеть свой неуправляемый коммутатор + по одной сетевой карте pfSense (каждый коммутатор в свою сетевую карту)
2. На каждую сеть свой неуправляемый коммутатор + один корневой умный коммутатор > LAN pfSense -
Это хорошие варианты, но не в моем случае. :(
Что настроил (На тесте):
PfSense(192.168.10.5)
LAN - 192.168.10.0/24
Сеть №1 - 192.168.10.0/24
Сеть №2 - 192.168.50.0/241. Virtual IP на LAN (192.168.50.5) (скрин)
2. Добавил запись в Firewall: NAT: Outbound
и
3. Добавил правило в FireWall
и
Результат:
Сеть №2 видит всех и все
Сеть №1 видит всех и всеКаким образом можно сделать так, что бы сеть №2 (192.168.50.0/24) видела только все ПК в своей подсети, интернет и свой шлюз. ?
А сеть №1 (192.168.10.0/24) должна видеть все и всех. -
Каким образом можно сделать так, что бы сеть №2 (192.168.50.0/24) видела только все ПК в своей подсети, интернет и свой шлюз. ?
А сеть №1 (192.168.10.0/24) должна видеть все и всех.Варианты:
1. На каждую сеть свой неуправляемый коммутатор + по одной сетевой карте pfSense (каждый коммутатор в свою сетевую карту)
2. На каждую сеть свой неуправляемый коммутатор + один корневой умный коммутатор > LAN pfSenseКак вариант (врядли получится, нужно разделять сети на канальном уровне (VLAN) или вторую сетевую, как уже предлагали) - правило в fw :
source : 192.168.50.0/24 destination : LAN subnet - block
Только не забыть для сети 192.168.50.0/24 разрешить доступ к DNS, если DNS находится в LAN subnet и поставить это правило выше блокирующего.
-
Попробовал поиграться с правилами в файрволе - результат отрицательный.
Либо Сеть №2 - 192.168.50.0/24 видит все, либо ничего…..
Печаль... :'(
Данный инструмент годиться только если нужно объединить две подсети...Буду пытаться разруливать с помощью VLAN. :)
Каков тут порядок действий ? ??? -
Настроил Vlan.
Все отлично завелось.
Только:
Не могу разобраться как запретить видеть сети друг друга.
(Настройка Firewall)
Пока в настройках Firewall стоит any to any на каждом (VLAN)
А должно:
Только своя подсеть, шлюз и интернет.
Как правильно настроить правила в Firewall ?