настройка firewall pfsense 2.1.5 если локальные сети за пров

CheBurashka

Здравствуйте, хотелось бы получить помощь в настройке файервола, ситуация следующая: есть центральный офис с внутренней сетью (192.168.0.0/24), есть филиалы со своими подсетями (192.168.2.0/24, 10.0.105.0/24), в качестве шлюза хочу поставить pfsense (2 сетевые карты - wan (интернет), lan(локалка центрального офиса)), провайдер сделал vlan для наших филиалов, сказав что необходимо настроить наш фаервол для связи центрального офиса с филиалами и всё, но пока что-то не выходит это сделать… пробовал создать vlan на сеть 192.168.2.0/24, повесив на wan, и добавил правила для прохождения всех пакетов из этой сети до 192.168.0.0/24, не прокатило... пока затупаю...

вот такая схема сети:

werter

Доброе время суток.
Покажите скрины настроек VLAN, правил fw.

P.s.
http://www.iceflatline.com/2013/09/how-to-create-and-configure-vlans-in-pfsense/
http://networktechnical.blogspot.ru/2007/04/pfsense-how-to-setup-vlans.html
https://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense
https://forum.pfsense.org/index.php/topic,70702.msg386111.html
http://www.youtube.com/watch?v=-Nf_XsmMmWo

CheBurashka

вот скрины, я пока добавлял одну подсеть для тестов, пинги не проходили, спасибо за ссылки, ознакомлюсь
в первом сообщении добавил картинку схемы

werter

У вас маска подсети интерфейса DACHA - /32 ! Смените на правильную для Ваших условий -  /24, например.

Далее, у вас на WAN - реалтековская сетевая. Она вообще VLAN умеет ? Проверяйте. И меняйте , если нет, на что-то от Intel \ Broadcom.
На LAN вам VLAN зачем ? Есть ли на LAN у Вас свитчи , к-ые тегированный трафик пропускают? Если нет - можете не мучаться c VLAN на LAN.
В помощь. Сам пользую - http://xgu.ru/wiki/VLAN

Следующее, у вас на WAN - неверные правила. Второе сверху должно быть в fw на LAN ! И отключите блокирование "серых" сетей на WAN.
У вас же там будет висеть VLAN c "серыми" адресами.

И покажите правила fw на LAN.

P.s. Смотрю, а на LAN у вас Broadcom :) Попробуйте переназначить интефейсы. После этого - играйтесь с VLAN.

CheBurashka

большое спасибо за советы, к сожалению поиграться смогу только после праздников =( по результатам отпишусь

WY6EPT

кстати, если у вас коммутатор управляемый, и карты pci \pci-ex, то можно купить интеловую карту за "40" баксов.
воткнуть провайдера в коммутатор и расшить все подсети вланами, а инет оставить не тегированным.
получится более правильное решение, к тому же нормальная сетевуха проц будет меньше грузить =)

только, что заметил, что LAN сидит на брудкоме, лучше будет его для vlan использовать, если он путёвый.

CheBurashka

шлюз делается на стареньком серваке hp proliant серии ml с одной встроенной сетевушкой, была куплена вторая pci фирмы tp-link для wan, на след. неделе попробую поменять местами wan и lan

WY6EPT

150 еще небось =)
у них вшитая брудкомовая сетевуха, она нормальная.

управляемого коммутатора нет?

CheBurashka

стоят циски 3 штуки (одна каталист 2960 и 2 small bisness sg-200) после шлюза, но настройкой цисок никогда пока не занимался

werter

@CheBurashka:

стоят циски 3 штуки (одна каталист 2960 и 2 small bisness sg-200) после шлюза, но настройкой цисок никогда пока не занимался

А прийдется …

CheBurashka

Всем здравствуйте, вот наконец снова приступаю к настройке шлюза после другой срочной работы, итак - собрал такую тестовую схему на картинке, то есть попытался симулировать провайдерскую сеть. Решил пока не заморачиваться с вланами, а сделать с помощью virtualip (то есть повесил ip 192.168.3.1 на wan), так как на шлюзе рабочем на debian примерно так и сделано и работает (сделано так было ещё до меня, в интерфейсе дебиана в настройках сети навешаны ip на WAN для внешних локалок, и в правилах iptables такой бардак, что разобраться очень не просто, поэтому решил с нуля разобраться и перенастроить).  Итак, пинги между подсетями ходят через pfsense, теперь пытаюсь вывести в инет эти две подсети: .1.1/24 в инет ходит, а .3.1/24 в инет не идёт, пока не могу понять почему, надеюсь наведёте на путь истинный


CheBurashka

Добавлю, что пинги с хоста IP 192.168.3.3 firewall на 8.8.8.8 пропускает (судя по логам), но на самом хосте ответов на пинг нет, где ещё подкрутить кроме firewall? nat (сейчас там автомат стоит)?


werter

Выполните


CheBurashka

да я пробовал отключать, не помогает

werter

Какие адреса зарезервированы IANA как "серые"?
В каком порядке читаются правила fw в pfsense?

Если правильно ответите - решите задачу.

P.s. Я надеюсь, что правила fw , предназначенные для LAN Вы не пытаетесь использовать для WAN ? Правда же?

P.p.s.

что пинги с хоста IP 192.168.3.3 firewall на 8.8.8.8 пропускает

На схеме нет.

Кабель от провайдера напрямую приходит на WAN pfsense или есть еще какая железка (свитч etc)?

Мой вам совет. Узнайте поддерживает ли ваша сетевая VLAN. И если да, то сделайте так, что бы на WAN у вас была нормальная сетевая (броадком, интел). После этого настраивайте на ней VLAN-интерфейсы и рулите правилами fw. Всё.

Да, и то правило ,что я вам говорил - отключите (хотя бы временно).

CheBurashka

сверху-вниз, адреса локалок

почему оставил, так как подсеть на интерфейсе Lan пинговалась из WAN подсети, но не в этом суть, вот прям сейчас отключены эти две галки (богон и приват) на WAN, но так и не пингуется 8.8.8.8 из подсети 192.168.3.0/24

werter

Т.е. Вы хотите, чтобы приходящие на WAN со своими VLAN-ми сети имели выход в Интернет через pfsense ?
Или же просто желаете , чтобы VLAN-сети имели доступ\были доступны вашей LAN ?

Что у вас на WAN - белая статика\динамика , серый адрес,  vpn ?

Кабель от провайдера напрямую приходит на WAN pfsense или есть еще какая железка (свитч etc)?

Не ответили. Внимательнее. Это важно!

CheBurashka

на WAN статика, подсети на WAN не имеют vlan-ов, то есть получается простая (как-бы) задача - на WAN интерфейсе висит сеть .3.0/24, дать этой подсети доступ к внутренней сети на LAN, и доступ в интернет

CheBurashka

в моей тестовой схеме  между хостом ip .3.3 и pfsense висит cisco в режиме свича (никак не настроенная), а в реале сейчас работает так: провод от провайдера заходит напрямую в шлюз, где правилами iptables всё это разруливается

CheBurashka

как объясняет провайдер:  "ваши порты (офис, филиалы) объединили в одну "трубу", со всякими vlan-ами заморачиваться не надо, всё зависит как Вы будете настраивать firewall"

вот пример: взял провод провайдера в офисе, воткнул его в ноутбук c ip 10.0.105.111 и у меня есть связь с филиалом, где подсеть 10.0.105.0/24

ПыСы: может выложить сюда правила iptables с дебиана? может укажите правила согласно этого конфига, которые могут отвечать за всё это разруливание….

на всякий случай приложу скрины лога и настройки rules для LAN