настройка firewall pfsense 2.1.5 если локальные сети за пров

CheBurashka

Здравствуйте, хотелось бы получить помощь в настройке файервола, ситуация следующая: есть центральный офис с внутренней сетью (192.168.0.0/24), есть филиалы со своими подсетями (192.168.2.0/24, 10.0.105.0/24), в качестве шлюза хочу поставить pfsense (2 сетевые карты - wan (интернет), lan(локалка центрального офиса)), провайдер сделал vlan для наших филиалов, сказав что необходимо настроить наш фаервол для связи центрального офиса с филиалами и всё, но пока что-то не выходит это сделать… пробовал создать vlan на сеть 192.168.2.0/24, повесив на wan, и добавил правила для прохождения всех пакетов из этой сети до 192.168.0.0/24, не прокатило... пока затупаю...

вот такая схема сети:

werter

Доброе время суток.
Покажите скрины настроек VLAN, правил fw.

P.s.
http://www.iceflatline.com/2013/09/how-to-create-and-configure-vlans-in-pfsense/
http://networktechnical.blogspot.ru/2007/04/pfsense-how-to-setup-vlans.html
https://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense
https://forum.pfsense.org/index.php/topic,70702.msg386111.html
http://www.youtube.com/watch?v=-Nf_XsmMmWo

CheBurashka

вот скрины, я пока добавлял одну подсеть для тестов, пинги не проходили, спасибо за ссылки, ознакомлюсь
в первом сообщении добавил картинку схемы

werter

У вас маска подсети интерфейса DACHA - /32 ! Смените на правильную для Ваших условий -  /24, например.

Далее, у вас на WAN - реалтековская сетевая. Она вообще VLAN умеет ? Проверяйте. И меняйте , если нет, на что-то от Intel \ Broadcom.
На LAN вам VLAN зачем ? Есть ли на LAN у Вас свитчи , к-ые тегированный трафик пропускают? Если нет - можете не мучаться c VLAN на LAN.
В помощь. Сам пользую - http://xgu.ru/wiki/VLAN

Следующее, у вас на WAN - неверные правила. Второе сверху должно быть в fw на LAN ! И отключите блокирование "серых" сетей на WAN.
У вас же там будет висеть VLAN c "серыми" адресами.

И покажите правила fw на LAN.

P.s. Смотрю, а на LAN у вас Broadcom :) Попробуйте переназначить интефейсы. После этого - играйтесь с VLAN.

CheBurashka

большое спасибо за советы, к сожалению поиграться смогу только после праздников =( по результатам отпишусь

WY6EPT

кстати, если у вас коммутатор управляемый, и карты pci \pci-ex, то можно купить интеловую карту за "40" баксов.
воткнуть провайдера в коммутатор и расшить все подсети вланами, а инет оставить не тегированным.
получится более правильное решение, к тому же нормальная сетевуха проц будет меньше грузить =)

только, что заметил, что LAN сидит на брудкоме, лучше будет его для vlan использовать, если он путёвый.

CheBurashka

шлюз делается на стареньком серваке hp proliant серии ml с одной встроенной сетевушкой, была куплена вторая pci фирмы tp-link для wan, на след. неделе попробую поменять местами wan и lan

WY6EPT

150 еще небось =)
у них вшитая брудкомовая сетевуха, она нормальная.

управляемого коммутатора нет?

CheBurashka

стоят циски 3 штуки (одна каталист 2960 и 2 small bisness sg-200) после шлюза, но настройкой цисок никогда пока не занимался

werter

@CheBurashka:

стоят циски 3 штуки (одна каталист 2960 и 2 small bisness sg-200) после шлюза, но настройкой цисок никогда пока не занимался

А прийдется …

CheBurashka

Всем здравствуйте, вот наконец снова приступаю к настройке шлюза после другой срочной работы, итак - собрал такую тестовую схему на картинке, то есть попытался симулировать провайдерскую сеть. Решил пока не заморачиваться с вланами, а сделать с помощью virtualip (то есть повесил ip 192.168.3.1 на wan), так как на шлюзе рабочем на debian примерно так и сделано и работает (сделано так было ещё до меня, в интерфейсе дебиана в настройках сети навешаны ip на WAN для внешних локалок, и в правилах iptables такой бардак, что разобраться очень не просто, поэтому решил с нуля разобраться и перенастроить).  Итак, пинги между подсетями ходят через pfsense, теперь пытаюсь вывести в инет эти две подсети: .1.1/24 в инет ходит, а .3.1/24 в инет не идёт, пока не могу понять почему, надеюсь наведёте на путь истинный


CheBurashka

Добавлю, что пинги с хоста IP 192.168.3.3 firewall на 8.8.8.8 пропускает (судя по логам), но на самом хосте ответов на пинг нет, где ещё подкрутить кроме firewall? nat (сейчас там автомат стоит)?


werter

Выполните


CheBurashka

да я пробовал отключать, не помогает

werter

Какие адреса зарезервированы IANA как "серые"?
В каком порядке читаются правила fw в pfsense?

Если правильно ответите - решите задачу.

P.s. Я надеюсь, что правила fw , предназначенные для LAN Вы не пытаетесь использовать для WAN ? Правда же?

P.p.s.

что пинги с хоста IP 192.168.3.3 firewall на 8.8.8.8 пропускает

На схеме нет.

Кабель от провайдера напрямую приходит на WAN pfsense или есть еще какая железка (свитч etc)?

Мой вам совет. Узнайте поддерживает ли ваша сетевая VLAN. И если да, то сделайте так, что бы на WAN у вас была нормальная сетевая (броадком, интел). После этого настраивайте на ней VLAN-интерфейсы и рулите правилами fw. Всё.

Да, и то правило ,что я вам говорил - отключите (хотя бы временно).

CheBurashka

сверху-вниз, адреса локалок

почему оставил, так как подсеть на интерфейсе Lan пинговалась из WAN подсети, но не в этом суть, вот прям сейчас отключены эти две галки (богон и приват) на WAN, но так и не пингуется 8.8.8.8 из подсети 192.168.3.0/24

werter

Т.е. Вы хотите, чтобы приходящие на WAN со своими VLAN-ми сети имели выход в Интернет через pfsense ?
Или же просто желаете , чтобы VLAN-сети имели доступ\были доступны вашей LAN ?

Что у вас на WAN - белая статика\динамика , серый адрес,  vpn ?

Кабель от провайдера напрямую приходит на WAN pfsense или есть еще какая железка (свитч etc)?

Не ответили. Внимательнее. Это важно!

CheBurashka

на WAN статика, подсети на WAN не имеют vlan-ов, то есть получается простая (как-бы) задача - на WAN интерфейсе висит сеть .3.0/24, дать этой подсети доступ к внутренней сети на LAN, и доступ в интернет

CheBurashka

в моей тестовой схеме  между хостом ip .3.3 и pfsense висит cisco в режиме свича (никак не настроенная), а в реале сейчас работает так: провод от провайдера заходит напрямую в шлюз, где правилами iptables всё это разруливается

CheBurashka

как объясняет провайдер:  "ваши порты (офис, филиалы) объединили в одну "трубу", со всякими vlan-ами заморачиваться не надо, всё зависит как Вы будете настраивать firewall"

вот пример: взял провод провайдера в офисе, воткнул его в ноутбук c ip 10.0.105.111 и у меня есть связь с филиалом, где подсеть 10.0.105.0/24

ПыСы: может выложить сюда правила iptables с дебиана? может укажите правила согласно этого конфига, которые могут отвечать за всё это разруливание….

на всякий случай приложу скрины лога и настройки rules для LAN


werter

на WAN статика

Какая статика - серая или белая ?

как объясняет провайдер:  "ваши порты (офис, филиалы) объединили в одну "трубу", со всякими vlan-ами заморачиваться не надо, всё зависит как Вы будете настраивать firewall"

Так вы определитесь - есть ли у вас VLANы или нет?

вот пример: взял провод провайдера в офисе, воткнул его в ноутбук c ip 10.0.105.111 и у меня есть связь с филиалом, где подсеть 10.0.105.0/24

Правило отключили на WAN  (блокирование серых сетей)?
Без указания шлюза ?

ПыСы: может выложить сюда правила iptables с дебиана? может укажите правила согласно этого конфига, которые могут отвечать за всё это разруливание….
на всякий случай приложу скрины лога и настройки rules для LAN

Выкладывайте\прикладывайте.
И на WAN-е тоже.

CheBurashka

итак, статика на WAN белая (это на боевом шлюзе в данный момент, ещё раз повторюсь что я делаю сейчас тестовую схему, расположенную за этим боевым шлюзом, то есть типа имитация провайдерской сети, где мой боевой шлюз выполняет роль провайдера и даёт только интернет)

далее по поводу VLAN - в нашей сети вланы не используются, почему изначально я про них говорил, потому что провайдер так обозвал создание связи между удалёнными точками (то есть объединил все порты, связанные с нами, в один VLAN я так думаю, а от нас ничего по части настроек VLAN не требуется (так сказал пров))

вот настройки правил для WAN ещё раз


CheBurashka

вот с дебиана iptables (все комментарии в скрипте - это уже было написано до меня), этот шлюз в данный момент работает, и связь с филиалами есть, я же хочу разобраться со всеми правилами и причесать всё на pfsense

###Описание сети
#описание инета
INET_IP="87.0.0.0" (это пример)
INET_IP_10="10.0.105.204" # ИП адрес приватной сети , вида 10.0.105.х для доступа из локальной сети, сделан в виде алиаса для внешней сетевухи
INET_IP_dacha="192.168.2.9"
INET_IFACE="eth0"

#описание локалки
LAN_IP="192.168.0.9"
LAN_IP_0_0="192.168.0.0/24"
LAN_IP_10="10.0.105.0/24"
LAN_IP_dacha="192.168.2.0/24"
LAN_IFACE="eth2"

LO_IFACE="lo"
LO_IP="127.0.0.1"

#путь iptables
IPTABLES="/sbin/iptables"

#загрузка модулей
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

echo "1" > /proc/sys/net/ipv4/ip_forward

#Назначение политик по-умолчанию для системных цепочек.
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#создаются все пользовательские цепочки, которые мы будем использовать позже в пределах этой таблицы.
$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

#Эта цепочка предназначена для отфильтровывания пакетов с "неправильными" заголовками и решения ряда других проблем.
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

#TCP пакет, следуя с интерфейса $INET_IFACE, попадает в цепочку tcp_packets, если пакет следует на разрешенный порт, то после этого проводится дополнительная проверка в цепочке allowed.
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

###Здесь мы указываем, какие порты могут быть доступны из Internet.
#разрешаем и перекидываем в цепочку allowed для дополнительной проверки пакетов
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed

#разрешаем
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT

#разрешаем
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

#всё что приходит по tcp перекидывается в цепочку bad_tcp_packets для отсеивания "плохих" пакетов
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_0_0 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -s $LAN_IP_10 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -s $LAN_IP_dacha -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_10 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_dacha -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP_10 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP_dacha -j ACCEPT

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP_10 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP_dacha -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -p ICMP -i $LAN_IFACE -j icmp_packets
$IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_0_0 --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_10 --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_dacha --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE -s $LAN_IP_10 --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE -s $LAN_IP_dacha --dport 3128 -j ACCEPT

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -s $LAN_IP_10 -d $LAN_IP_0_0 -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IP_dacha -d $LAN_IP_0_0 -j ACCEPT

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_0_0 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_10 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_dacha --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE -d $LAN_IP_10 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE -d $LAN_IP_dacha --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

 # Добавляем в iptables строчку перенаправления запросов юзеров с 80-го порта на порт сквида 3128
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_0_0 ! -d $LAN_IP_0_0 --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_10 ! -d $LAN_IP_10 --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_dacha ! -d $LAN_IP_dacha --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp -s $LAN_IP_10 ! -d $LAN_IP_10 --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp -s $LAN_IP_dacha ! -d $LAN_IP_dacha --dport 80 -j REDIRECT --to-ports 3128
#$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Включаем NAT, чтобы пропускать SSL, DNS, NTP и т.д. запросы:
#$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_IP_RANGE ! -d $LAN_IP_RANGE -j SNAT --to 1.1.1.1
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

# NAT для сети 10.0.105.x
$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -s $LAN_IP_0_0 -d $LAN_IP_10 -j SNAT --to-source $INET_IP_10
$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -s $LAN_IP_0_0 -d $LAN_IP_dacha -j SNAT --to-source $INET_IP_dacha

# Разрешаем squid'у выходить в инет
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_0_0 --dport 80 -j ACCEPT
$IPTABLES -A INPUT  -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_0_0 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_10 --dport 80 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_dacha --dport 80 -j ACCEPT
$IPTABLES -A INPUT  -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_10 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A INPUT  -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_dacha --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED

# И делаем проход для SSL, DNS, NTP:
$IPTABLES -A FORWARD -p tcp -m tcp -i $LAN_IFACE -o $INET_IFACE ! -d $LAN_IP_0_0 -m multiport --dports 53,123,443 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -m tcp -i $INET_IFACE -o $LAN_IFACE ! -s $LAN_IP_0_0 -m multiport --sports 53,123,443 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A FORWARD -p udp -m udp -i $LAN_IFACE -o $INET_IFACE ! -d $LAN_IP_0_0 -m multiport --dports 53,123 -j ACCEPT
$IPTABLES -A FORWARD -p udp -m udp -i $INET_IFACE -o $LAN_IFACE ! -s $LAN_IP_0_0 -m multiport --sports 53,123 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
#
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 110 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 25 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 995 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 465 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 4800 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 1029 -j ACCEPT

werter

1. Удаляете 1-е и 2 последних правила на WAN
2. Создаете два Vitrual IP для WAN (тип IP alias) - 10.0.105.204/24 и 192.168.2.9/24
3. Создаете правила fw на LAN для доступа из LAN subnet до сетей 10.0.105.0/24 и 192.168.2.0/24 . А лучше (временно) - разрешено всё и всем везде.
4. Переключаете NAT в ручной режим и рисуете правила NAT для WAN , первое- Source будет ваша локалка 192.168.0.0/24 , Destination -  10.0.105.0/24,  NAT-ить будете на 10.0.105.204, второе - Source будет ваша локалка 192.168.0.0/24, Destination - 192.168.2.0/24 и NAT-ить будете на 192.168.2.9
И ставите эти правила выше всех.

CheBurashka

Сегодня утром сделал по Вашим пунктам, сбросил pfsense по дефолту всё, заново интерфейсы настроил, на сети 192.168.0.0/24 интернет был, но не было связи с филиалами (10.0.105.0/24 и 192.168.2.0/24)
Может я где то не правильно указал, или надо было ещё прописать что-то (машину ребутал после настроек)

ПыСы: интернет появился на 192.168.0.0/24 (офис) после перемещения правило на первое место в NAT "source 192.168.0.0/24 nat WAN address"


werter

@CheBurashka:

ПыСы: интернет появился на 192.168.0.0/24 (офис) после перемещения правило на первое место в NAT "source 192.168.0.0/24 nat WAN address"

3. Создаете правила fw на LAN для доступа из LAN subnet до сетей 10.0.105.0/24 и 192.168.2.0/24 . А лучше (временно) - разрешено всё и всем везде.
4. Переключаете NAT в ручной режим и рисуете правила NAT для WAN , первое- Source будет ваша локалка 192.168.0.0/24 , Destination -  10.0.105.0/24,  NAT-ить будете на 10.0.105.204, второе - Source будет ваша локалка 192.168.0.0/24, Destination - 192.168.2.0/24 и NAT-ить будете на 192.168.2.9

И ставите эти правила выше всех.

Посмотрите что я выделил жирным.
Внимательнее впредь.


CheBurashka

нуууу, про дестинейшн изначально не было… (ну или неужели я так пропустил, ибо просматривал сообщение несколько раз), завтра попробую, спасибо за ответ


werter

И я бы все же 3-е правило на WAN в самый низ поставил.

CheBurashka

ну чтож, связь с объектами появилась, но на сетях 10.0.105.0/24 и 192.168.2.0/24 нет интернета (в логах было видно что блокирует fw)
в rules на WAN добавлял правило "source 192.168.2.0/24 destination all" (хотя так не правильно вроде как)  - в логах сообщения о блокировании пропали, но инета так и не появилось, чую снова в NAT дописать надо что то?

ПыСы: и на будущее хочу спросить, проблем с настройкой сквида в pfsense не должно возникнуть при такой организации сети? потыкался в веб-интерфейсе настроек


werter

Последний скрин - выберите и WAN интерфейс  в Proxy Interface

CheBurashka

ок, отмечу, но сквид пока особо не смотрю, хочу для начала просто получить инет на подсетях за WAN, где завернуть бы трафик для инета?

werter

Попробуйте добавить в Outbond NAT на WAN правила, где в Source будут ваши 10.0.105.0/24 и 192.168.2.0/24,
Destination - * , а NAT-ся будет на WAN address. Выкладывайте скрин правил Outbond NAT и смотрите логи fw.

CheBurashka

нет, так не получилось… =( а, нет, получилось после добавления правила в fw (первые две строки на скрине)

Итак, спасибо большое за помощь в настройке, хочу узнать с точки зрения "правильности" - всё ли хорошо написано? И, вопрос - если я хочу запретить "всё", кроме необходимых портов, то нужно в fw удалить разрешающие правила на "всё" и добавить на определённые порты, так?


CheBurashka

Блин, только вот между подсетями 10.0.105.0 и 192.168.2.0 связи нет, (пинги с 10.0.105.207 до 192.168.2.9 проходят, а до других хостов нет. Опять нат что-то похоже, ибо fw пропускает)… вот лог с fw

Всё, сделал связь между ними, в нате добавил правила, аналогичные из 192.168.0.0


werter

Как бы так .


CheBurashka

ну да, это я понял, к красивому виду приведу, сейчас вот столкнулся, что сбербанк бизнес онлайн не работает (который с флешки запускается, если кто в курсе про них, изначально с ними проблема была что через прокси не хотели работать, напрямую прокидывались в iptables), хотя интернет есть… в логах пока ничего не заметил, но толком ещё и не смотрел, вопчем буду разбираться пока что

werter

что через прокси не хотели работать

Добавьте их адреса\подсети в исключения squid-а (destination addresses)

P.s. А разве клиент сбера не по https работает?

CheBurashka

да хттпс, просто оказалось в самом клиенте стояла галка прокси-сервера (а службу сквида пока остановил), ну и потом когда запустил сквид и стояла галка на прозрачный прокси - почему то не работала прозрачность, надо было указывать на хостах прокси (настройки выкладывал выше)… возможно в нате надо заворачивать вручную 80 порт на 3128 чтоли... времени не было пока разбираться, пока что переустановил сквид, кстати настройки подтянулись, а хотел я чистую установку пакета... кто-нибудь знает как настройки сквида скинуть в дефолт? и ещё, быстрое гугление показало, что отдельного файлика squid.conf в pfsense нет, это так да?