Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Несколько подсетей за LAN. HELP ?

    Russian
    3
    10
    5306
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      Ficus666 last edited by

      Добрый день.
      Помогите организовать сеть (сети) за LAN по следующему алгоритму:
      (Хотелось ограничиться только 2мя сетевыми картами и неуправляемым свитчем)
      На входе Pf-Sense релиз 2.0.3-RELEASE
      WAN - белый IP -все ок.
      LAN - 192.168.10.0/24 (DHCP - OFF)
      За LAN необходимо организовать 3-5 подсетей (192.168.50.0/24 -192.168.55.0/24)
      -друг друга видеть не должны. (Только своя подсеть, шлюз и интернет)
      -ходить в интернет через LAN (192.168.10.5)

      Vlan не могу использовать, т.к. свитч неуправляемый.
      Я так понимаю, что нужно копать в сторону virtual ip на LAN интерфейсе.
      Но как, что дальше? (Порядок действий)
      Заранее благодарен.

      1 Reply Last reply Reply Quote 0
      • D
        dvserg last edited by

        @Ficus666:

        За LAN необходимо организовать 3-5 подсетей (192.168.50.0/24 -192.168.55.0/24)
        -друг друга видеть не должны. (Только своя подсеть, шлюз и интернет)

        Извините, а что мешает Вашим клиентам в этом случае поставить маску 255.255.0.0 и "увидеть" то, что не должны видеть?
        Ваш выбор - физическое разделение сетей.

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • F
          Ficus666 last edited by

          Главное!
          Видеть друг друга не должны.
          В идеале - это физическое разделение подсетей.

          Если 255.255.0.0 маску использовать.
          Можно ли в этом случае настройками файрвола запретить обмен данными между подсетями ?

          1 Reply Last reply Reply Quote 0
          • D
            dvserg last edited by

            @Ficus666:

            Главное!
            Видеть друг друга не должны.
            В идеале - это физическое разделение подсетей.

            Если 255.255.0.0 маску использовать.
            Можно ли в этом случае настройками файрвола запретить обмен данными между подсетями ?

            Файрвол может запретить только то, что проходит через него. А у Вас сеть физически одна.

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • F
              Ficus666 last edited by

              Да, верно!!!
              Не подумавши ляпнул.  :-[

              Так как физически разделить подсети?

              1 Reply Last reply Reply Quote 0
              • D
                dvserg last edited by

                @Ficus666:

                Да, верно!!!
                Не подумавши ляпнул.  :-[

                Так как физически разделить подсети?

                [/quote]
                Варианты:
                1. На каждую сеть свой неуправляемый коммутатор + по одной сетевой карте pfSense (каждый коммутатор в свою сетевую карту)
                2. На каждую сеть свой неуправляемый коммутатор + один корневой умный коммутатор > LAN pfSense

                SquidGuardDoc EN  RU Tutorial
                Localization ru_PFSense

                1 Reply Last reply Reply Quote 0
                • F
                  Ficus666 last edited by

                  Это хорошие варианты, но не в моем случае. :(
                  Что настроил (На тесте):
                  PfSense(192.168.10.5)
                  LAN - 192.168.10.0/24
                  Сеть №1 - 192.168.10.0/24
                  Сеть №2 - 192.168.50.0/24

                  1. Virtual IP на LAN (192.168.50.5) (скрин)

                  2. Добавил запись в Firewall: NAT: Outbound

                  и

                  3. Добавил правило в FireWall

                  и

                  Результат:
                  Сеть №2 видит всех и все
                  Сеть №1 видит всех и все

                  Каким образом можно сделать так, что бы сеть №2 (192.168.50.0/24) видела только все ПК в своей подсети, интернет и свой шлюз. ?
                  А сеть №1 (192.168.10.0/24) должна видеть все и всех.

                  1 Reply Last reply Reply Quote 0
                  • werter
                    werter last edited by

                    @Ficus666:

                    Каким образом можно сделать так, что бы сеть №2 (192.168.50.0/24) видела только все ПК в своей подсети, интернет и свой шлюз. ?
                    А сеть №1 (192.168.10.0/24) должна видеть все и всех.

                    Варианты:
                    1. На каждую сеть свой неуправляемый коммутатор + по одной сетевой карте pfSense (каждый коммутатор в свою сетевую карту)
                    2. На каждую сеть свой неуправляемый коммутатор + один корневой умный коммутатор > LAN pfSense

                    Как вариант (врядли получится, нужно разделять сети на канальном уровне (VLAN) или вторую сетевую, как уже предлагали) - правило в fw :

                    source : 192.168.50.0/24  destination : LAN subnet - block

                    Только не забыть для сети 192.168.50.0/24 разрешить доступ к DNS, если DNS находится в LAN subnet и поставить это правило выше блокирующего.

                    1 Reply Last reply Reply Quote 0
                    • F
                      Ficus666 last edited by

                      Попробовал поиграться с правилами в файрволе - результат отрицательный.
                      Либо Сеть №2 - 192.168.50.0/24 видит все, либо ничего…..
                      Печаль... :'(
                      Данный инструмент годиться только если нужно объединить две подсети...

                      Буду пытаться разруливать с помощью VLAN. :)
                      Каков тут порядок действий ?  ???

                      1 Reply Last reply Reply Quote 0
                      • F
                        Ficus666 last edited by

                        Настроил Vlan.
                        Все отлично завелось.
                        Только:
                        Не могу разобраться как запретить видеть сети друг друга.
                        (Настройка Firewall)
                        Пока в настройках Firewall стоит any to any на каждом (VLAN)
                        А должно:
                        Только своя подсеть, шлюз и интернет.
                        Как правильно настроить правила в Firewall ?

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post