два Pfsense в одном Lan?
-
Доброго дня всем!
в офисе установлен PfSense, есть там VPN с удаленным офисом, десятка 3 PPTP клиентов, с доступом к внутренним ресурсам, все работает. Возникла проблема - надо около у 100 новых удаленных пользователей привязать доступ в интернет через офис по pptp с правилами начала и окончания работы и ограничением доступа к ресурсам интернет (белый список). Настроил второй PfSense, правила, все работает. Теперь надо этим пользователям дать доступ только к почтовому серверу и WEB серверу внутри основной сети.
основная LAN x.x.0.1/24, весь пул адресов занят, на втором PfSense по pptp раздается х.х.10.1/24.
Вопрос, как удаленному пользователю со второго PfSense "стукнуться" на почтовый сервер х.х.0.240? где и какую маршрутизацию прописать? -
В 9999-ый раз - рисуйте схему!
-
схема сети.
![схема сети pptp.jpg](/public/imported_attachments/1/схема сети pptp.jpg)
![схема сети pptp.jpg_thumb](/public/imported_attachments/1/схема сети pptp.jpg_thumb) -
Вопрос - зачем Вам ДВА pfsense в одной локальной сети? Можно настроить все то ,что на схеме и на одном.
-
пула адресов на основной сети не хватает, а менять всю настройку сети на другой класс нет желания, сетка то рабочая, бизнес…
и новых пользователей нельзя пускать в основную сеть кроме как к почтовику...тут думаю или еще одну железяку ставить - маршрутизатор для объединения сетей или вторую карточку в почтовик... не хочется рушить всю систему ради экспериментов как-то хотелось бы с помощью 2-х PfSens'ov решить проблему
да, и 100 пользователей будут работать одновременно
-
Адреса в локальной сети выдаются по DHCP pfsense-ом ? Если нет, то можно настроить выдачу и одним кликом в настройках DHCP сервера на pfsense выдавать нужные Вам сетевые параметры.
Тем более, что при таком кол-ве раб. станций у вас точно доменная инфраструктура развернута. Если нет, то я даже не знаю что Вам сказать, кроме как можно скорее исправлять это дело. А в домене можно с помощью груп. политик "заставить" клиентов получать сетевые адреса автоматически (если до этого они были статическими).P.s. В кач-ве контроллера домена (и не только!) обратите внимание на такой продукт, как Zentyal.
P.p.s. А если на Вашем "железе" возможно поднять гипервизор (Vmware, Xen, KVM (Proxmox)), то тут вообще широчайшие перспективы открываются ;)
-
Да, адреса в локальной сети выдаются по DHCP pfsense-ом, развернута доменная структура на Win2008. Гипервизор железяка не потянет.
Попробовал поэкспериментировать.. на втором pfsense в LAN прописал статику, ничего не получилось. неужели так сделать нереально? Картинки экспериментов прилагаю.может что-то в основном pfsense поправить надо?
![рис 1.jpg](/public/imported_attachments/1/рис 1.jpg)
![рис 1.jpg_thumb](/public/imported_attachments/1/рис 1.jpg_thumb)
![рис 2.jpg](/public/imported_attachments/1/рис 2.jpg)
![рис 2.jpg_thumb](/public/imported_attachments/1/рис 2.jpg_thumb)
![рис 3.jpg](/public/imported_attachments/1/рис 3.jpg)
![рис 3.jpg_thumb](/public/imported_attachments/1/рис 3.jpg_thumb)
![рис 4.jpg](/public/imported_attachments/1/рис 4.jpg)
![рис 4.jpg_thumb](/public/imported_attachments/1/рис 4.jpg_thumb)
![рис 5.jpg](/public/imported_attachments/1/рис 5.jpg)
![рис 5.jpg_thumb](/public/imported_attachments/1/рис 5.jpg_thumb) -
Ну и правил понаписали :(
Скрин 1 (сверху вниз ) :
Зачем указываете явно GW ? Убрать. Самого верхнего правила достаточно. Или вы собираетесь PPTP-клиентов еще и в Инет выпускать через поднятый к вам сеанс? Откуда там взялся NAT ? Убирайте правила и здесь и в Port Forward.
Скрин 2 :
Убирайте правило с PPTP clients. Оно там даже работать не будет.
Скрин 3 :
Убрать все правила. Ибо ересь.
Последний скрин :
Вы говорите , что не хватает вам адресов в локалке, но упорно указываете маску /24 . Так укажите меньшую маску ! Думаю, что посчитаете сами.
И да, не увидел скрин настроек DHCP на LAN
P.s. Настройте по-людски и не нужен вам никакой второй pfsense. Не ищите себя проблем.
-
Спасибо, все понял! :)
тема закрыта