Вопросы по начальному конфигурированию
-
Привет всем!
Поставил для себя задачу научится создать(пока что на виртуальных машинах) работоспособную сеть с выходом в нет. Углублённых знаний особо не имею. Для шлюза выбрал Pfsense, ибо функционален.
В своей виртуальной сети создал 2 клиента на Windows 7 и Xp. Плюс сервер, контроллер домена на Win Server 2008 R2. На нем же подняты службы DNS и DHCP. Адреса в сети из пространства 192.168.0.xxx. Адрес контроллера домена 192.168.0.1. Отдельно создал машину с Pfsense, установил. WAN сетевая у меня соответственно NAT от WMware, вторая обычная LAN. Обе их сконфигурировал на этапе установки. Так как у меня в сети есть DHCP, и пространство адресов не совпадает с 192.168.1.1 я через начальную менюшку(2.Set interface IP address) изменил LAN адрес на 192.168.0.10. В свойствах своего DHCP прописал чтобы он клиентам давал этот адрес как дефолтовый шлюз. После загрузки клиента и получения сетевых настроек доступ в интернет отсутствует. Я так понимаю что в варианте "из коробки" без изменения настроек все работает. Проверял. Но как только я изменяю адрес внутреннего адаптера и отключаю DHCP доступ к интернету отрезает. Объясните нубу куда копать.
И еще вопрос - в начальном визарде предлагают Allow DNS server list to be overridden by DHCP/PPP jn WAN, я так понял что это пересылка запросов DNS на сервера провайдера. Если у меня на контроллере домена в свойствах DNS уже стоят адреса на пересылку, нужно ли мне оставлять эту опцию включенной?Извините за простыню текста.
-
Начнем с головы. Сам pfsense выходит в интернент?
-
-
ага
-
ага
Интернет видит. В локалке сервер пингует, а клиента нет(Win7. Xp видит без проблем). С клиента(Win7) на вебморду захожу без проблем.
-
Гуглим "Первоначальная настройка pfsense". Cтатей на русском море.
-
Гуглим "Первоначальная настройка pfsense". Cтатей на русском море.
Гугл не помог. Ставил то по сути как в руководствах написано, тут http://climber89.blogspot.com/2012/08/pfsense.html и тут http://www.iceflatline.com/2010/08/install-and-configure-pfsense-in-your-home-network/. Я так понимаю что сходу все должно работать, но по факту не работает.
-
я советую саму простую схему:машина-клиент и машина-pfsense. Вручную дать адрес клиенту 192.168.0.2, default gw 192.168.0.1 , DNS 8.8.8.8 На LAN pfsense повесить адрес 192.168.0.1 В Rules на LAN надо разрешить все.
Если клиент выйдет в интернет, до можно уже баловаться и с DHCP, и с отдельным DNS сервером. -
я советую саму простую схему:машина-клиент и машина-pfsense. Вручную дать адрес клиенту 192.168.0.2, default gw 192.168.0.1 , DNS 8.8.8.8 На LAN pfsense повесить адрес 192.168.0.1 В Rules на LAN надо разрешить все.
Если клиент выйдет в интернет, до можно уже баловаться и с DHCP, и с отдельным DNS сервером.Сделал это:
я советую саму простую схему:машина-клиент и машина-pfsense. Вручную дать адрес клиенту 192.168.0.2, default gw 192.168.0.1 , DNS 8.8.8.8 На LAN pfsense повесить адрес 192.168.0.1
Работает.
Значит проблема в настройках которые приходят от DHCP моего сервера когда он включен. Мне кажется что проблема может быть в моих серверах DNS. Я их указываю как дефолтные для клиентов. Может такое быть что DNS в локалке не могут соединится с серверами пересылки серверов провайдера и по этому нет конекта? -
тут уже проблема твоих серверов а не pfs. Пусть твой ДНС сервер сам делает ДНС запросы на pfs.
-
тут уже проблема твоих серверов а не pfs. Пусть твой ДНС сервер сам делает ДНС запросы на pfs.
Все починил. Проблема была в том что на контроллере не был прописан шлюз(facepalm).
Тему не сносите, мне ещё нужно с прокси и шейпером разобраться) -
Новый вопрос.
Как можно ограничить некоторым пользователям доступ в интернет?
Допустим у нас в сети 10 пользователей, но интернет должен быть доступен только 3м. В сети домен AD и DHCP сервер.
Я так понял что есть два варианта:
1й - в правилах фаервола запретить трафик на порты 80 и 443. Получается все клиенты не смогут получить доступ в нет, кроме тех кому в свойствах браузера/программы не будет прописан ручками данные прокси IP:port. Запретить изменять эти данные можно будет средствами AD.
2й - вариант, назначить в свойствах DHCP статические адреса для тех то будет иметь доступ в нет, в настройках фаервола создать алиас для такой группы, всем же остальным адресам запретить. Правда не могу понять как организовать порядок правил, если в конфиге прокси будут прописаны адреса которые ходят вне его.
Оба варианты работоспособны? Какие ещё есть простые способы? -
Для этого существует на pfs captive portal. Кому положено -тот через ввод пароля пользуется интернетом.
-
Captive Portal не подходит. Нужно чтобы доступ в интернет для конечного пользователя был "прозрачен". Чтобы пользователь не знал и не понимал почему у него есть интернет, а у соседа по отделу нету. А пароли и логины в Captive Portal лишняя морока.
Те варианты что я описал выше я попытаться смоделировать. Первый у меня получился, а вот с алиасами нет. Создал алиас, добавил туда IP клиента, отключил стандартное правило в фаерволе(доступ для всех внутри сети), и создал новое в котором разрешил все для ранее созданного алиаса, но интернет у клиента не работает. ЧЯДНТ? -
Дайте посмотреть.
-
Ещё вариант. Прописал всех юзеров которым нужен интернет в DHCP сервера(создал им стат IP адреса с привязкой к MAC). В правилах фаервола в Pfsense вторым правилом поставил запрет любого трафика применительно к алиас(диапазон 192.168.0.30-192.168.0.254, то есть все кому раздаются адреса динамически.) В таком режиме получается остается работать "прозрачный" прокси, и не нужно нигде ничего прописывать на клиентах. Да и статистика Lightsquid начинает показывать цифри по реальным IP а не с надписью "И кто это?".
-
получилось?
-
получилось?
Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.
-
-
получилось?
Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.
Ну squd, squidGuard понятно, а HAVP вам зачем? Чтобы тормозил? Прискорбно, что нет ему альтернативы.
Хочу увидеть насколько он тормозит.