два Pfsense в одном Lan?



  • Доброго дня всем!

    в офисе установлен PfSense, есть там VPN с удаленным офисом, десятка 3 PPTP клиентов, с доступом к внутренним ресурсам, все работает. Возникла проблема - надо около у 100 новых удаленных пользователей  привязать доступ в интернет через офис по pptp с правилами начала и окончания работы и ограничением доступа к ресурсам интернет (белый список). Настроил второй PfSense, правила, все работает. Теперь надо этим пользователям дать доступ только к почтовому серверу и WEB серверу внутри основной  сети.
    основная LAN x.x.0.1/24, весь пул адресов занят, на втором PfSense по pptp раздается х.х.10.1/24. 
    Вопрос, как удаленному пользователю со второго PfSense "стукнуться" на почтовый сервер х.х.0.240? где и какую маршрутизацию прописать?



  • В 9999-ый раз - рисуйте схему!



  • схема сети.

    ![схема сети pptp.jpg](/public/imported_attachments/1/схема сети pptp.jpg)
    ![схема сети pptp.jpg_thumb](/public/imported_attachments/1/схема сети pptp.jpg_thumb)



  • Вопрос - зачем Вам ДВА pfsense в одной локальной сети? Можно настроить все то ,что на схеме и на одном.



  • пула адресов на основной сети не хватает, а менять всю настройку сети на другой класс нет желания, сетка то рабочая, бизнес…
    и новых пользователей нельзя пускать в основную сеть кроме как к почтовику...

    тут думаю или еще одну железяку ставить - маршрутизатор для объединения сетей или вторую карточку в почтовик... не хочется рушить всю систему ради экспериментов как-то хотелось бы с помощью 2-х PfSens'ov решить проблему

    да, и 100 пользователей будут работать одновременно



  • Адреса в локальной сети выдаются по DHCP pfsense-ом ? Если нет, то можно настроить выдачу и одним кликом в настройках DHCP сервера на pfsense выдавать нужные Вам сетевые параметры.
    Тем более, что при таком кол-ве раб. станций у вас точно доменная инфраструктура развернута. Если нет, то я даже не знаю что Вам сказать, кроме как можно скорее исправлять это дело. А в домене можно с помощью груп. политик "заставить" клиентов получать сетевые адреса автоматически (если до этого они были статическими).

    P.s. В кач-ве контроллера домена (и не только!) обратите внимание на такой продукт, как Zentyal.

    P.p.s. А если на Вашем "железе" возможно поднять гипервизор (Vmware, Xen, KVM (Proxmox)), то тут вообще широчайшие перспективы открываются  ;)



  • Да, адреса в локальной сети выдаются по DHCP pfsense-ом, развернута доменная структура на Win2008. Гипервизор железяка не потянет.
    Попробовал поэкспериментировать.. на втором  pfsense в LAN прописал статику,  ничего не получилось. неужели так сделать нереально? Картинки экспериментов прилагаю.

    может что-то в основном pfsense поправить надо?

    ![рис 1.jpg](/public/imported_attachments/1/рис 1.jpg)
    ![рис 1.jpg_thumb](/public/imported_attachments/1/рис 1.jpg_thumb)
    ![рис 2.jpg](/public/imported_attachments/1/рис 2.jpg)
    ![рис 2.jpg_thumb](/public/imported_attachments/1/рис 2.jpg_thumb)
    ![рис 3.jpg](/public/imported_attachments/1/рис 3.jpg)
    ![рис 3.jpg_thumb](/public/imported_attachments/1/рис 3.jpg_thumb)
    ![рис 4.jpg](/public/imported_attachments/1/рис 4.jpg)
    ![рис 4.jpg_thumb](/public/imported_attachments/1/рис 4.jpg_thumb)
    ![рис 5.jpg](/public/imported_attachments/1/рис 5.jpg)
    ![рис 5.jpg_thumb](/public/imported_attachments/1/рис 5.jpg_thumb)



  • Ну и правил понаписали :(

    Скрин 1 (сверху вниз ) :

    Зачем указываете явно GW ? Убрать. Самого верхнего правила достаточно. Или вы собираетесь PPTP-клиентов еще и в Инет выпускать через поднятый к вам сеанс? Откуда там взялся NAT ? Убирайте правила и здесь и в Port Forward.

    Скрин 2 :

    Убирайте правило с PPTP clients. Оно там даже работать не будет.

    Скрин 3 :

    Убрать все правила. Ибо ересь.

    Последний скрин :

    Вы говорите , что не хватает вам адресов в локалке, но упорно указываете маску /24 . Так укажите меньшую маску ! Думаю, что посчитаете сами.

    И да, не увидел скрин настроек DHCP на LAN

    P.s. Настройте по-людски и не нужен вам никакой второй pfsense. Не ищите себя проблем.



  • Спасибо, все понял!  :)
    тема закрыта