Вопросы по начальному конфигурированию



  • Привет всем!
    Поставил для себя задачу научится создать(пока что на виртуальных машинах) работоспособную сеть с выходом в нет. Углублённых знаний особо не имею. Для шлюза выбрал Pfsense, ибо функционален.
    В своей виртуальной сети создал 2 клиента на Windows 7 и Xp. Плюс сервер, контроллер домена на Win Server 2008 R2. На нем же подняты службы DNS и DHCP. Адреса в сети из пространства 192.168.0.xxx. Адрес контроллера домена 192.168.0.1. Отдельно создал машину с Pfsense, установил. WAN сетевая у меня соответственно NAT от WMware, вторая обычная LAN. Обе их сконфигурировал на этапе установки. Так как у меня в сети есть DHCP, и пространство адресов не совпадает с 192.168.1.1 я через начальную менюшку(2.Set interface IP address) изменил LAN адрес на 192.168.0.10. В свойствах своего DHCP прописал чтобы он клиентам давал этот адрес как дефолтовый шлюз. После загрузки клиента и получения сетевых настроек доступ в интернет отсутствует. Я так понимаю что в варианте "из коробки" без изменения настроек все работает. Проверял. Но как только я изменяю адрес внутреннего адаптера и отключаю DHCP доступ к интернету отрезает. Объясните нубу куда копать.
    И еще вопрос - в начальном визарде предлагают Allow DNS server list to be overridden by DHCP/PPP jn WAN, я так понял что это пересылка запросов DNS на сервера провайдера. Если у меня на контроллере домена в свойствах DNS уже стоят адреса на пересылку, нужно ли мне оставлять эту опцию включенной?

    Извините за простыню текста.



  • Начнем с головы. Сам pfsense выходит в интернент?



  • @netormoz:

    Начнем с головы. Сам pfsense выходит в интернет?

    Как это проверить?
    С помощью Ping host?



  • ага



  • @netormoz:

    ага

    Интернет видит. В локалке сервер пингует, а клиента нет(Win7. Xp видит без проблем). С клиента(Win7) на вебморду захожу без проблем.



  • Гуглим "Первоначальная настройка pfsense". Cтатей на русском море.



  • @netormoz:

    Гуглим "Первоначальная настройка pfsense". Cтатей на русском море.

    Гугл не помог. Ставил то по сути как в руководствах написано, тут http://climber89.blogspot.com/2012/08/pfsense.html и тут http://www.iceflatline.com/2010/08/install-and-configure-pfsense-in-your-home-network/. Я так понимаю что сходу все должно работать, но по факту не работает.



  • я советую саму простую схему:машина-клиент и машина-pfsense. Вручную дать адрес клиенту 192.168.0.2, default gw 192.168.0.1 , DNS 8.8.8.8  На LAN pfsense повесить адрес 192.168.0.1 В Rules на LAN надо разрешить все.
    Если клиент выйдет в интернет, до можно уже баловаться и с DHCP, и с отдельным DNS сервером.



  • @netormoz:

    я советую саму простую схему:машина-клиент и машина-pfsense. Вручную дать адрес клиенту 192.168.0.2, default gw 192.168.0.1 , DNS 8.8.8.8  На LAN pfsense повесить адрес 192.168.0.1 В Rules на LAN надо разрешить все.
    Если клиент выйдет в интернет, до можно уже баловаться и с DHCP, и с отдельным DNS сервером.

    Сделал это:

    я советую саму простую схему:машина-клиент и машина-pfsense. Вручную дать адрес клиенту 192.168.0.2, default gw 192.168.0.1 , DNS 8.8.8.8  На LAN pfsense повесить адрес 192.168.0.1

    Работает.
    Значит проблема в настройках которые приходят от DHCP моего сервера когда он включен. Мне кажется что проблема может быть в моих серверах DNS. Я их указываю как дефолтные для клиентов. Может такое быть что DNS  в локалке не могут соединится с серверами пересылки серверов провайдера и по этому нет конекта?



  • тут уже проблема твоих серверов а не pfs. Пусть твой ДНС сервер  сам делает ДНС запросы на pfs.



  • @netormoz:

    тут уже проблема твоих серверов а не pfs. Пусть твой ДНС сервер  сам делает ДНС запросы на pfs.

    Все починил. Проблема была в том что на контроллере не был прописан шлюз(facepalm).
    Тему не сносите, мне ещё нужно с прокси и шейпером разобраться)



  • Новый вопрос.
    Как можно ограничить некоторым пользователям доступ в интернет?
    Допустим у нас в сети 10 пользователей, но интернет должен быть доступен только 3м. В сети домен AD и DHCP сервер.
    Я так понял что есть два варианта:
    - в правилах фаервола запретить трафик на порты 80 и 443. Получается все клиенты не смогут получить доступ в нет, кроме тех кому в свойствах браузера/программы не будет прописан ручками данные прокси IP:port. Запретить изменять эти данные можно будет средствами AD.
    -  вариант, назначить в свойствах DHCP статические адреса для тех то будет иметь доступ в нет, в настройках фаервола создать алиас для такой группы, всем же остальным адресам запретить. Правда не могу понять как организовать порядок правил, если в конфиге прокси будут прописаны адреса которые ходят вне его.
    Оба варианты работоспособны? Какие ещё есть простые способы?



  • Для этого существует на pfs captive portal. Кому положено -тот через ввод пароля пользуется интернетом.



  • Captive Portal не подходит. Нужно чтобы доступ в интернет для конечного пользователя был "прозрачен". Чтобы пользователь не знал и не понимал почему у него есть интернет, а у соседа по отделу нету. А пароли и логины в Captive Portal лишняя морока.
    Те варианты что я описал выше я попытаться смоделировать. Первый у меня получился, а вот с алиасами нет. Создал алиас, добавил туда IP клиента, отключил стандартное правило в фаерволе(доступ для всех внутри сети), и создал новое в котором разрешил все для ранее созданного алиаса, но интернет у клиента не работает. ЧЯДНТ?



  • Дайте посмотреть.



  • Ещё вариант. Прописал всех юзеров которым нужен интернет в DHCP сервера(создал им стат IP адреса с привязкой к MAC). В правилах фаервола в Pfsense вторым правилом поставил запрет любого трафика применительно к алиас(диапазон 192.168.0.30-192.168.0.254, то есть все кому раздаются адреса динамически.) В таком режиме получается остается работать "прозрачный" прокси, и не нужно нигде ничего прописывать на клиентах. Да и статистика Lightsquid начинает показывать цифри по реальным IP а не с надписью "И кто это?".



  • получилось?



  • @netormoz:

    получилось?

    Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.



  • @ultra:

    @netormoz:

    получилось?

    Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.

    Ну squd, squidGuard понятно, а HAVP вам зачем? Чтобы тормозил? Прискорбно, что нет ему альтернативы.



  • @dvserg:

    @ultra:

    @netormoz:

    получилось?

    Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.

    Ну squd, squidGuard понятно, а HAVP вам зачем? Чтобы тормозил? Прискорбно, что нет ему альтернативы.

    Хочу увидеть насколько он тормозит.



  • @ultra:

    @dvserg:

    @ultra:

    @netormoz:

    получилось?

    Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.

    Ну squd, squidGuard понятно, а HAVP вам зачем? Чтобы тормозил? Прискорбно, что нет ему альтернативы.

    Хочу увидеть насколько он тормозит.

    Ну тогда хоть памяти от гектара поставьте и ХДД пошире



  • @dvserg:

    @ultra:

    @dvserg:

    @ultra:

    @netormoz:

    получилось?

    Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.

    Ну squd, squidGuard понятно, а HAVP вам зачем? Чтобы тормозил? Прискорбно, что нет ему альтернативы.

    Хочу увидеть насколько он тормозит.

    Ну тогда хоть памяти от гектара поставьте и ХДД пошире

    Посмотрел, память действительно жрёт прилично. Я на виртуалке поставил 512 вот её почти всю и задействовало. Да и swap почти полностью занят. Как для больших сетей не вариант.
    А вот с squidguard траблы, применяю  фильтры а он их не задействует. Вернее задействует но мне пришлось перезагружать полностью как саму машину с pfsense так и клиента. Просто перезагрузка сервиса не помогает. Это так и должно быть?



  • @ultra:

    Посмотрел, память действительно жрёт прилично. Я на виртуалке поставил 512 вот её почти всю и задействовало. Да и swap почти полностью занят. Как для больших сетей не вариант.
    А вот с squidguard траблы, применяю  фильтры а он их не задействует. Вернее задействует но мне пришлось перезагружать полностью как саму машину с pfsense так и клиента. Просто перезагрузка сервиса не помогает. Это так и должно быть?

    :-\ Там на первой странице специальная кнопочка с индикатором есть.



  • @dvserg:

    @ultra:

    Посмотрел, память действительно жрёт прилично. Я на виртуалке поставил 512 вот её почти всю и задействовало. Да и swap почти полностью занят. Как для больших сетей не вариант.
    А вот с squidguard траблы, применяю  фильтры а он их не задействует. Вернее задействует но мне пришлось перезагружать полностью как саму машину с pfsense так и клиента. Просто перезагрузка сервиса не помогает. Это так и должно быть?

    :-\ Там на первой странице специальная кнопочка с индикатором есть.

    Разобрался. Ещё заметил такую недоработку. Если был установлен и включен HAVP, а затем его выключили, то прокси перестанет работать. Нужно заходить в свойства squid и удалить 2 строчки перенаправления, которые создал HAVP при включении, в поле Custom options.

    Вопрос по шейперу. Я так понимаю когда выставляешь ограничени полосы пропускания на вкладке squid, то лимитирование идёт только по 443 и 80 порту. Если же включить Limiter  в опциях Traffic shaper тогда канал лимитируеться не зависимо от того  на какой порт он идёт. То-есть весь трафик работает в предлах лимитированного канала. Верно?



  • @ultra:

    Вопрос по шейперу. Я так понимаю когда выставляешь ограничени полосы пропускания на вкладке squid, то лимитирование идёт только по 443 и 80 порту. Если же включить Limiter  в опциях Traffic shaper тогда канал лимитируеться не зависимо от того  на какой порт он идёт. То-есть весь трафик работает в предлах лимитированного канала. Верно?

    В целом да.



  • @dvserg:

    @ultra:

    Вопрос по шейперу. Я так понимаю когда выставляешь ограничени полосы пропускания на вкладке squid, то лимитирование идёт только по 443 и 80 порту. Если же включить Limiter  в опциях Traffic shaper тогда канал лимитируеться не зависимо от того  на какой порт он идёт. То-есть весь трафик работает в предлах лимитированного канала. Верно?

    В целом да.

    Ясно. Спасибо.

    Теперь вопрос в том на какое железо ставить. Исходить приходится из того что старых/незадействованных ПК нету, комплектующих тоже. То-есть нужно купить ПК под чистую установку на голое железо. Покупать любой ПК начального уровня с двумя гигабитными картами, или взять http://hotline.ua/network-servery/hp-proliant-n40l-658553-421/ с дополнительной сетевой? Как вообще PFsense дружит с современным железом?



  • Я бы лучше собрал отдельно на АМД Socket FM2 (http://hotline.ua/computer-materinskie-platy/asus-f2a85-m/) + Athlon II 740  + 4 Gb DDR3 1600 + отдельную сетевую Intel на гигабит (http://hotline.ua/computer/kontrollery-platy/38179-40710-38191-38198-38235/) + 2 винта (на Ваше усмотрение) + недорогой корпус.
    Затем установил бы на все это дело гипервизор Proxmox в software raid1 , а pfsense использовал бы уже в виде виртуальной машины.

    Таким образом вы получите не только pfsense, но и отличное поле для дальнейших экспериментов за немного большие деньги. Ну и плюс опыт ;)



  • @werter:

    Я бы лучше собрал отдельно на АМД Socket FM2 (ITX, m-ATX) + Athlon II 740  + 4 Gb DDR3 1600 + отдельную сетевую Intel на гигабит + 2 винта (на Ваше усмотрение) + недорогой корпус.
    Затем установил бы на все это дело гипервизор Proxmox в software raid1 , а pfsense использовал бы уже в виде виртуальной машины.

    Таким образом вы получите не только pfsense, но и отличное поле для дальнейших экспериментов за немного большие деньги. Ну и плюс опыт ;)

    Ого, это уже целый комбайн получиться!) Мне бы по проще, одна машина - одна задача. В данном случае нужен только шлюз. Просто вариант в том, собирать самому лень, заказывать на стороне сборку(зная как фирмы к этому относятся) не очень то горю желанием, а вот взять уже готовую систему от производителя. всё же хоть как-то выглядит.



  • Если так - возьмите что-то бэушное 2-3 летней давности + доп. сетевую.



  • @werter:

    Я бы лучше собрал отдельно на АМД Socket FM2 (http://hotline.ua/computer-materinskie-platy/asus-f2a85-m/) + Athlon II 740  + 4 Gb DDR3 1600 + отдельную сетевую Intel на гигабит (http://hotline.ua/computer/kontrollery-platy/38179-40710-38191-38198-38235/) + 2 винта (на Ваше усмотрение) + недорогой корпус.
    Затем установил бы на все это дело гипервизор Proxmox в software raid1 , а pfsense использовал бы уже в виде виртуальной машины.

    Таким образом вы получите не только pfsense, но и отличное поле для дальнейших экспериментов за немного большие деньги. Ну и плюс опыт ;)

    самое главное в proxmox - это познать сетевую идеологию подключения VM. К примеру, авторы Proxmox заявляют, что с 2.0 можно пропустить на VM через Vmbr целое стадо виланов в транке. У меня до сих пор это не получается, то есть приходится растегировать виланы на proxmox как bond0.1 bond0.2 bond100, делать столько же vmbr и соответственно opt-интерфейсов на vm pfs внутри. Хотелось, чтобы vmbr пропуcкал trunk, а виланами занимался сам pfs.



  • Это все прекрасно, но зачем мне усложнять себе жизнь? Задачи стоят простые, вот и исходя из этих задач и подбираю железо. Если бы это было для дома, тогда бы таких вопросов не было. Так как это для предприятия, где не проходит фишка с б/у, тогда приходится думать о новых решениях. За подбор конфига, езду на своих двух по городу и сборку ПК мне никто не платит. Так что нужно определиться - готовое железо от вендора либо самосбор от фирмы. Главное чтобы Pfsense туда ещё встал, а то тут смотрю список поддерживаемого оборудования не слишком широк((((



  • Берешь cd c pfs - перед покупкой компа грузишься с него. Если загрузка прошла и сетевухи увидел - бери.



  • @netormoz:

    Берешь cd c pfs - перед покупкой компа грузишься с него. Если загрузка прошла и сетевухи увидел - бери.

    Как-то об этом не подумал. Спасибо!



  • Новый вопрос в копилку.
    Есть машина в сети на которой работают с системой клиент-банк. Возможно ли зарубить доступ в нет по всем адресам, кроме тех которые необходимы для синхронизации банковского ПО?



  • @ultra:

    Возможно ли зарубить доступ в нет по всем адресам, кроме тех которые необходимы для синхронизации банковского ПО?

    Создайте два правила в самом верху Firewall
    1. Разрешает с IP клиентбанка к IP клиент банк сервера.
    2. Запрещает с IP клиентбанка  везде (*)

    Firewall: Rules

    Source откуда
    Destination куда



  • народ всем привет, не хочу создавать новую тему, напишу сюда, извиняюсь заранее если кто посчитает, что "насрал" в чужой теме ))))
    В общем не особо я силен в сетях, поставил роутер с вайфай в сеть, все настройки на автомат получение параметров, dhcp на роутере завел в 0-ю подсеть, основная подсеть 1-я. Пфсенс получается висит на адресе 192,168,1,1 а все кто на роутере с вафлей получают диапазон 192,168,0,* так вот, сама морда открывается, т.е. на машине с адресом 192,168,0,2 на адрес 192,168,1,1 заходит без проблем, но вот на др сайты - болт. Проблема решилась только после того как прописал на роутере DNS провайдера, хотя на машинах которые сидят в подсети 192,168,1,* ничего прописывать не надо - все получается автоматом. Не то чтобы это великая проблема (роутер то всего один), но все же, мож кто знает как победить ???

    ![Image 3.jpg](/public/imported_attachments/1/Image 3.jpg)
    ![Image 3.jpg_thumb](/public/imported_attachments/1/Image 3.jpg_thumb)
    ![Image 2.jpg](/public/imported_attachments/1/Image 2.jpg)
    ![Image 2.jpg_thumb](/public/imported_attachments/1/Image 2.jpg_thumb)



  • Поставить пф первым , ви-фи роутер перевести в режим ТД и пускай всем рулит пф. Иначе двойной НАТ и др. заморочки вам обеспечены.



  • @werter:

    Поставить пф первым , ви-фи роутер перевести в режим ТД и пускай всем рулит пф. Иначе двойной НАТ и др. заморочки вам обеспечены.

    Спасибо ОГРОМЕННОЕ !!! Что то даже и не допер сначала это сделать ))) Это даже намного удобнее!



  • Народ еще пара вопросов:
    1. Возможно ли сделать шару ??? Сейчас в системе один винт на 250 гиг, ставил все по умолчанию с полным форматом вроде, вот возможно ли от него как то откусить чуть чуть или может даже уже стандартными средствами там есть папка пользователя, сделать общий доступ на нее в локалке.

    2. Возможно ли поставить торрент качалку ?

    Версия 2.0.1-RELEASE (amd64)
    built on Mon Dec 12 18:16:13 EST 2011
    FreeBSD 8.1-RELEASE-p6

    Заранее благодарен.