Виртуальный шлюз



  • Доброго времени суток:)
    Нужна помощь по настройке VM VirtualBox и pfSense.
    Ситуация какая была, надо было ограничить доступ людей на некоторый список сайтов. Соответственно посоветовали поставить pfsense и, т.к. ресурсов было ограничено, поставить ее на виртуальную машину.
    Хост система Windows Server 2008 R2. На сервере стоит 2 сетевые карты. В одну карту приходит интернет со статическим ip, а из второй работает как локальная сеть.
    Поставил я pfSense на VirtualBox. Настроил как в http://www.seczone.ru/index.php/stati/12-virtualization/31-pfsense. Теперь интернет работает только на сервере, а дальше не идет. (потом понял что как раз на компьютере и должен быть интернет и никуда он не пойдет)

    Как направить интернет в лок.сеть?
    Какие настройки нужно подправить в pfSense?





  • покажите ipconfig /all сервера и ifconfig -a с PFS.
    если у вас один реальный адрес для доступа в интернет, то он должен быть назначен на интерфейс PFS, а его (PFS) второй интерфейс будет шлюзом по умолчанию для сервера и всех клиентов.
    и у 2008 R2 есть свой гипервизор Hyper-V (правда, я не уверен, что FreeBSD будет на нём стабильно работать)



  • @Anahaym:

    покажите ipconfig /all сервера и ifconfig -a с PFS.
    если у вас один реальный адрес для доступа в интернет, то он должен быть назначен на интерфейс PFS, а его (PFS) второй интерфейс будет шлюзом по умолчанию для сервера и всех клиентов.
    и у 2008 R2 есть свой гипервизор Hyper-V (правда, я не уверен, что FreeBSD будет на нём стабильно работать)

    Так-с, ок, как буду у сервера напишу результаты этих команд.
    а в PFS вводить эту команду как я понял в VM(где есть выбор некоторых команд)?
    Этот гипервизор меня не устроил :D
    Приложил картинку как настроен WAN в web-интерфейсе PFS.




  • Этот гипервизор меня не устроил

    Присмотритесь к Proxmox (KVM manager). Все отлично работает - и Win и *nix и *BSD.
    Мигрировать Win можно с помощью того же Xen- или Vmware-конвертеров, т.е. сперва в .ova, затем в .qcow - http://www.jamescoyle.net/how-to/1218-upload-ova-to-proxmox-kvm , http://edoceo.com/notabene/ova-to-vmdk-to-qcow2



  • @Gedbro:

    ресурсов было ограничено, поставить ее на виртуальную машину.

    Неужели нет свободного "тазика"? Не поверю.
    Иначе геморно все с Виртуал бокс.

    В ситуации если ваш сервер поддерживает виртуализацию. Я бы потратил время и  (если всё так критично с железом)

    1. Создал образ всего диск Акронисом (Гостом, Симантеком)
    2. Установите на сервер ESXI (можно на флешку)
    3. Восстановил вин 2008 в ESXI.
    4. Настроил PfSense.
    5. И забыл.

    даже если вы никогда не работали с ESX, достаточно посмотреть пару видеороликов и почитать пару статей
    http://www.thin.kiev.ua/vmware-/81-esxi.html



  • Этот гипервизор меня не устроил

    а какая вам разница? вам главное это работа сети. и везде она на уровне.

    Так-с, ок, как буду у сервера напишу результаты этих команд.
    а в PFS вводить эту команду как я понял в VM(где есть выбор некоторых команд)?

    подключаетесь по SSH к PFS и выполняете там ifconfig -a



  • @  dr.gopher , Gedbro
    Не советовал бы . Особенно версию 5.5, в к-ой оставили драйвера только для очень нового и дорого железа. И про HCL VMware опять не стоит забывать.

    Сдается мне , что у ТС далеко не новое брендовое железо, а самосбор.  Так что сперва 5.1 ставим (да, верно, лучше на флэшку), а затем обновляемся до
    последней версии.

    Proxmox же в этом плане наааамного менее требователен. Плюс , есть возможность поднять его на Software RAID . А чего стоит возможность создавать бэкапы "из-коробки" и по расписанию ? Это же прелесть и без танцев с бубнами как в Vmware (ghettoVCB скрипты etc.). А HA, а Cluster  двумя-тремя командами ?
    Сам работаю на нем и радуюсь :)

    @  Anahaym

    а какая вам разница? вам главное это работа сети. и везде она на уровне.

    А вы пробовали\работаете с pfsense на MS Hyper-V ?



  • @werter:

    @  Anahaym

    а какая вам разница? вам главное это работа сети. и везде она на уровне.

    А вы пробовали\работаете с pfsense на MS Hyper-V ?

    так я и писал:
    @Anahaym:

    (правда, я не уверен, что FreeBSD будет на нём стабильно работать)

    ну т.е. она то там работает, а вот сам PFS не знаю. надо будет проверить.
    Если Debian там без проблем работает, не вижу причин для не работы FreeBSD. но проверю.



  • @ Anahaym

    Если Debian там без проблем работает, не вижу причин для не работы FreeBSD. но проверю.

    Давайте не будем гадать. На данный момент стабильный pfsense - это ветка FreeBSD 8.3, с к-ой есть проблемы - https://forum.pfsense.org/index.php?topic=56565.165https://forum.pfsense.org/index.php?topic=73258.0 . Надеюсь, что вер. 2.2 (FreeBSD 10.x) будет работать из коробки.



  • У меня на ESXi 4.1 все живет уже 3-й год, будут ресурсы - перееду на 5.1 хотя бы. Но естественно, сначала попробую 5.5 поставить. ;) Хотелось бы за-против promox еще услышать.



  • У меня на ESXi 4.1 все живет уже 3-й год, будут ресурсы - перееду на 5.1 хотя бы

    Не понял про ресурсы. В чем проблема взять и просто обновиться до последней? Драйвера-то на имеющееся оборудование не удаляться при обновление.
    Только не советую создавать виртуальные машины вер. 10, ибо "рулить" ими можно только через Web-клиент\vCSA , к-ый триально-платный.

    Хотелось бы за-против promox еще услышать

    Сплошные плюсы, как по мне. Единственный "минус", если надумаете поднимать на Soft-RAIDe (советую 10-ый + отдельно винт для бэкапов или NFS-хранилище (FreeNAS\NAS4Free)), то сперва прийдется установить debian 7.x, а затем поверх накатывать Proxmox. Благо инструкций в Сети по этому делу более чем много.

    При этом получаете независимость и крайнюю легкость переноса на др. оборудование (др. мат. плата или полностью вся система, напр. ) в случае выхода из строя имеющегося железа. В отличие от ESXI с "железным"raid-контроллером, потому как Вы попробуйте найти этот самый контроллер года через три , а если найдете, то не факт что ваш массив корректно перенесется. Плюс пляски с бубном (скрипты ghettoVCB) для организации создания резервных копий на free-версии Vmware ESXI - у Proxmox эта возможность идет "из-коробки".

    В общем, если Вам не базами данных ворочать под сотни Гб на Вашем гипервизоре, то Proxmox - лучшее решение.



  • @werter:

    если Вам не базами данных ворочать под сотни Гб на Вашем гипервизоре, то Proxmox - лучшее решение.

    Т.е. с proxmox можно будет обойтись и без VM с Pfsense?



  • @Gedbro:

    Т.е. с proxmox можно будет обойтись и без VM с Pfsense?

    Мы отдалились от темы в сторону обсуждения виртуальных сред.



  • @Gedbro:

    Т.е. с proxmox можно будет обойтись и без VM с Pfsense?

    "Слышал где звон , да не знаю где он" (с) народное.
    Proxmox для того и разворачивают, чтобы удобно работать с KVM. В том числе - и с ВМ , на борту к-ой pfsense.



  • @werter:

    @Gedbro:

    Т.е. с proxmox можно будет обойтись и без VM с Pfsense?

    "Слышал где звон , да не знаю где он" (с) народное.
    Proxmox для того и разворачивают, чтобы удобно работать с KVM. В том числе - и с ВМ , на борту к-ой pfsense.

    Не так давно начал занимать деятельностью с сетью, многого еще не знаю, извините.



  • @Gedbro:

    Не так давно начал занимать деятельностью с сетью, многого еще не знаю

    Посему - найдите свободный тазик (устаревший десктоп) и установите на него Pfsense. :-)



  • @dr.gopher:

    @Gedbro:

    Не так давно начал занимать деятельностью с сетью, многого еще не знаю

    Посему - найдите свободный тазик (устаревший десктоп) и установите на него Pfsense. :-)

    В процессе :)



  • @Anahaym:

    покажите ipconfig /all сервера и ifconfig -a с PFS.

    Наконец-то дорвался до тамошнего сервера.

    
    Microsoft Windows [Версия 6.0.6002]
    (C) Корпорация Майкрософт, 2006\. Все права защищены.
    
    C:\Users\Администратор>ipconfig /all
    
    Настройка протокола IP для Windows
    
       Имя компьютера  . . . . . . . . . : WIN-77ON2AQDVQN
       Основной DNS-суффикс  . . . . . . :
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
    
    Ethernet adapter Подключение по локальной сети 2:
    
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connectio
    n #2
       Физический адрес. . . . . . . . . : 00-25-90-7B-31-2E
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::50:e0a1:f77e:d138%11(Основной)
       Автонастройка IPv4-адреса . . . . : 169.254.209.56(Основной)
       Маска подсети . . . . . . . . . . : 255.255.0.0
       Основной шлюз. . . . . . . . . :
       IAID DHCPv6 . . . . . . . . . . . : 268445072
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1A-CC-7B-EC-00-25-90-7B-31-2F
    
       DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
                                           fec0:0:0:ffff::2%1
                                           fec0:0:0:ffff::3%1
       NetBios через TCP/IP. . . . . . . . : Включен
    
    Ethernet adapter VirtualBox Host-Only Network:
    
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : VirtualBox Host-Only Ethernet Adapter
       Физический адрес. . . . . . . . . : 08-00-27-00-38-8F
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::a90f:2d29:49b6:c08f%13(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.56.1(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : fe80::a00:27ff:fee1:c871%13
                                           192.168.56.2
       IAID DHCPv6 . . . . . . . . . . . : 201850919
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1A-CC-7B-EC-00-25-90-7B-31-2F
    
       DNS-серверы. . . . . . . . . . . : 192.168.56.2
       NetBios через TCP/IP. . . . . . . . : Включен
    
    Туннельный адаптер Подключение по локальной сети* 13:
    
       Состояние носителя. . . . . . . . : Носитель отключен
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
    
    Туннельный адаптер Подключение по локальной сети* 8:
    
       Состояние носителя. . . . . . . . : Носитель отключен
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : isatap.{04591F53-7588-4DE0-8A0D-0FE0D5FF8
    BF1}
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
    
    Туннельный адаптер Подключение по локальной сети* 12:
    
       Состояние носителя. . . . . . . . : Носитель отключен
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 02-00-54-55-4E-01
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
    
    Туннельный адаптер Подключение по локальной сети* 14:
    
       Состояние носителя. . . . . . . . : Носитель отключен
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
    
    
    
    login as:admin
    Using keyboard-interactive authentication.
    Password:
    *** Welcome to pfSense 2.1.1-RELEASE-pfSense (amd64) on pfSense ***
    
     WAN (wan)       -> em0        -> v4: 46.8.127.150/24
     LAN (lan)       -> em1        -> v4: 192.168.56.2/24
    
     0) Logout (SSH only)                  8) Shell
     1) Assign Interfaces                  9) pfTop
     2) Set interface(s) IP address       10) Filter Logs
     3) Reset webConfigurator password    11) Restart webConfigurator
     4) Reset to factory defaults         12) pfSense Developer Shell
     5) Reboot system                     13) Upgrade from console
     6) Halt system                       14) Disable Secure Shell (sshd)
     7) Ping host                         15) Restore recent configuration
    
    Enter an option:
    
    


  • @dr.gopher:

    найдите  и установите

    Допустим нашел и установил!
    Настраивать так же как и в виртуальной машине?
    Это ведь получится что компьютер(где была VM) станет таким же пользователем?



  • @Gedbro:

    @dr.gopher:

    найдите  и установите

    Допустим нашел и установил!
    Настраивать так же как и в виртуальной машине?
    Это ведь получится что компьютер(где была VM) станет таким же пользователем?

    Старый-новый (устаревший) системный блок с двумя сетевыми интерфейсами. Установите на него Pfsense. Один сетевой интерфейс в интернет, второй в локальную сеть.



  • @dr.gopher:

    Старый-новый (устаревший) системный блок с двумя сетевыми интерфейсами. Установите на него Pfsense. Один сетевой интерфейс в интернет, второй в локальную сеть.

    И интернет раздастся в свитч?



  • @Gedbro:

    И интернет раздастся в свитч?

    Надеюсь не придется схему рисовать? :-(



  • @dr.gopher:

    Надеюсь не придется схему рисовать? :-(

    Неееет :) :) :) :)
    Просто на машине, где установлен pfsense на VM, еще установлен Deskwork.
    Будет ли доступ к нему?



    • Делайте бэкап конфига, заливайте его на новую машину с pf, переназначьте интерфейсы на этой машине (если требуется),
    • удаляйте VirtBox\VmWare на старой, перезагружайте старую, проверьте\исправьте правильность сетевых параметров на ней.