Объединение ресурсов разных подсетей(вро



  • Доброго времени суток.
    Есть DHCP сервер на Ubuntu server 10.04, на нём SQUID + DHCP, сетка предположим 192.168.1.1
    Появилась задача, сделать доступ на закрытые сайты некоторому кол-ву компьютеров:)
    Настроил на компьютере с двумя сетевыми pfsense 2, купил VPN Доступ на hideme.ru, настроил подключение к своей проксе на убунте (используется в качестве шлюза) и по PPTP к серверам Hideme.ru, раздаче этого всего анонимного траффика по DHCP серверу к компьютерам. Естественно, эти некоторые компьютеры подключенные к pfsense получают другие IP, предположим 192.168.2.1

    Проблема:
    Не могу обьединить эти подсети, что бы был доступ из каждой подсети в ресурс другой подсети.
    Вроде бы создал бридж между WAN и LAN, и даже из подсети Pfsense пингуется подсеть ubuntu, но наоборот (с убунты) pfsense сеть не пингуется, компьютеры не видятся.
    Беда!
    Помогите:)



  • неужто никто не в курсе?



  • Рисуйте схему.



  • по ходу именно этот вопрос пока отпал:) ибо pptp соединение падает через сутки
    то ли я криво настроил, то ли hideme.ru сервера умирают, то ли эр-телеком решил позакрывать доступ:)

    схема:
    Роутер смотрящий к провайдеру, получает доступ в инет по PPOE
    К роутеру подключен сервачек с двумя сетевыми, на нём Ubuntu 10.04 сервер, на нем DHCP+SQUID, прокся прозрачная, раздаёт все сама, настроен белый список сайтов для гостей и доступ куда угодно для персонала. Подсеть 192.168.1.1.  Во вторую сетевую подключен свитч, к нему порядка 20 компьютеров.

    К нему подключен комп с pfSense 2.0, двумя сетевушками, естественно IP pfSense входит в группу персонала, для получения доступа куда угодно.
    на нем поднят DHCP сервер + PPTP соединение с сервисами Hideme.ru. Подсеть 192.168.2.1. Во вторую сетевую воткнут свич, в который втыкаются 8 компьютеров.

    Создал бридж, указал порты WAN-LAN. В итоге, с LAN(pfSense), WAN(Ubuntu) пингуется, наоборот нет.
    Это конечно пригодится, но в связи с тем, что у меня интерфейс OPT1 (который PPTP) падает раз в сутки, ненаю почему, а потом самое что интересное, нивкакую не подымается, я решил перейти пока на самую свежую версию пффсенса. Посмотрим как там PPTP Работает, в другом офисе вроде все пашет, вот только настроил.
    Но! Решил попробовать OpenVPN подключение к ресурсам Hideme.ru, создал соединение, создал интерфейс (OPT2),  но не понимаю что в нем указывать, там есть static, dhcp, ppoe, pptp, l2tp, none. Настраиваю по аналогии с PPTP, наверно в этом и косяки:) Само соединение горит зеленым, но IP не получаю от хайдми.
    Есть у кого мысли?



  • @ bidjo
    На кой нужно звено в виде Убунты ? Поднимите все,  что Вам надо на pfsense (если это возможно) . И роутер Ваш убрать как уст-во, поднимающее линк - пускай pfsense всем "рулит". Нужен wi-fi ? Просто переведите роутер в режим простой AP или просто отключите на нем DHCP и воткните его LAN-ом в одну сеть с pfsense.

    Не стоит городить огород из 3-ех железок, к-ые дублируют друг друга. Ибо запутаетесь c написанием правил и двойным-тройным NAT-ом.

    P.s. Роутер - модель ?



  • @werter:

    @ bidjo
    На кой нужно звено в виде Убунты ? Поднимите все,  что Вам надо на pfsense (если это возможно) . И роутер Ваш убрать как уст-во, поднимающее линк - пускай pfsense всем "рулит". Нужен wi-fi ? Просто переведите роутер в режим простой AP или просто отключите на нем DHCP и воткните его LAN-ом в одну сеть с pfsense.

    Не стоит городить огород из 3-ех железок, к-ые дублируют друг друга. Ибо запутаетесь c написанием правил и двойным-тройным NAT-ом.

    P.s. Роутер - модель ?

    dir100 :)
    нужен серый инет на несколько компьютеров, на остальных все должно ходить по белым спискам.
    с убунтой горя не имею, 2 года работает, только раз в месяц ребучу.



  • нужен серый инет на несколько компьютеров, на остальных все должно ходить по белым спискам

    В чем проблема сделать тоже на pfsense ?

    Повторюсь , что не стоит городить огород из 3-ех железок, к-ые дублируют друг друга. Ибо запутаетесь c написанием правил и двойным-тройным NAT-ом.
    Если нравится создавать проблемы, а затем их героически преодолевать - Ваше право, но я бы всё упростил. Тем более в Вашем случае - это реально.



  • @werter:

    нужен серый инет на несколько компьютеров, на остальных все должно ходить по белым спискам

    В чем проблема сделать тоже на pfsense ?

    Повторюсь , что не стоит городить огород из 3-ех железок, к-ые дублируют друг друга. Ибо запутаетесь c написанием правил и двойным-тройным NAT-ом.
    Если нравится создавать проблемы, а затем их героически преодолевать - Ваше право, но я бы всё упростил. Тем более в Вашем случае - это реально.

    сделал по вашему совету, подключил напрямую к дир 100 сервачек с pfsens, и вы знаете….
    вместо arpresolve: can't allocate llinfo for 10.0.0.1 он начал писать arpresolve: can't allocate llinfo for 192.168.0.1
    :o



  • сделал по вашему совету, подключил напрямую к дир 100 сервачек с pfsens, и вы знаете….

    Я вроде советовал сделать pfsense уст-вом, поднимающим линк и рулящим всем , не ? Причем здесь dir-100 ?



  • @werter:

    сделал по вашему совету, подключил напрямую к дир 100 сервачек с pfsens, и вы знаете….

    Я вроде советовал сделать pfsense уст-вом, поднимающим линк и рулящим всем , не ? Причем здесь dir-100 ?

    мне надо нагородить огород, сделать доступным 1 комп из сети пфсенса в сети убунты.
    если вы можете помочь советом, прошу вас
    если вам охота покритиковать других людей, пишите посты в курилке, если она тут есть



  • если вы можете помочь советом, прошу вас

    Так вроде Вам никто кроме меня и не помогает. Разве нет?

    P.s. Повторюсь в к-ый раз. Если в Вашей ситуации возможно оставить только pfsense, избавившись от остальных устройств - избавляйтесь.

    P.p.s. И да, вьюноша, не стоит сразу пытаться послать куда по-дальше. Ибо останитесь со своим "огородом" и своей глупостью наедине.



  • @werter:

    P.s. Повторюсь в к-ый раз. Если в Вашей ситуации возможно оставить только pfsense, избавившись от остальных устройств - избавляйтесь.

    P.p.s. И да, вьюноша, не стоит сразу пытаться послать куда по-дальше. Ибо останитесь со своим "огородом" и своей глупостью наедине.

    оставить невозможно, слишком мало использую пфсенс что бы ему безусловно доверять.
    приходится копать грядки!
    если я вас чем то задел, извиняюсь:)
    вчера создал правило, могу заходить на веб морду пфсенсы, а теперь осталось разобратся, как из сети пфсенса сделать доступ сети убунты, на один лишь комп, и доступ таким образом, что бы можно было лишь заходить в расшаренную папку убунтового клиента, с машинки под управлением Win7. Вроде как надо открыть доступ к ip xx.xx.xx.122 по портам NetBios и еще чего то там.  Главное что бы широковещательные запросы с другой сети не просачивались, а то создал бридж+интерфейс…ребут компа клиента....вуаля, DHCP сервер бубунты просочился в сеть пфсенсы и давай им там свои IP присваивать ;D
    ужс