Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Vlan только в интернет

    Scheduled Pinned Locked Moved Russian
    12 Posts 3 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mons
      last edited by

      есть vlan2 на lan
      wan - static ip mask \29
      как пропустить трафик из vlan2 в интернеты? что должно быть в качестве назначения? wan address не работает wan net тоже не работает. Пока стоит правило
      IPv4 * * * (dest)! LAN net * * none
      в качестве destination **!**Lan но это как то не тру.
      outbound nat автоматический

      1 Reply Last reply Reply Quote 0
      • D
        dvserg
        last edited by

        @mons:

        есть vlan2 на lan
        wan - static ip mask \29
        как пропустить трафик из vlan2 в интернеты? что должно быть в качестве назначения? wan address не работает wan net тоже не работает. Пока стоит правило
        IPv4 * * * (dest)! LAN net * * none
        в качестве destination **!**Lan но это как то не тру.
        outbound nat автоматический

        что должно быть в качестве назначения?
        Any ?

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • M
          mons
          last edited by

          any разрешит трафик из vlan2 to lan.
          А между тем vlan2 должна быть изолирована. Это сеть для гостей из которой нужно разрешить только интернеты

          1 Reply Last reply Reply Quote 0
          • D
            dvserg
            last edited by

            @mons:

            any разрешит трафик из vlan2 to lan.
            А между тем vlan2 должна быть изолирована. Это сеть для гостей из которой нужно разрешить только интернеты

            Почему-же тогда !Lan не тру, если он описывает именно Ваши требования?

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • M
              mons
              last edited by

              потому как **!**lan позволит пойти трафику и в ipsec и в pptp_vpn и в другие сетевые (opt) интерфейсы. Нужно как-то кратко описать путь в интернет.
              При pppoe на wan порту, помнится, destination wan addresses отлично справлялся с этой задачей
              Понимаю решение рядом, но найти не могу

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                @mons:

                помнится, destination wan addresses отлично справлялся с этой задачей

                Бред.

                WAN Addresses (?) это адрес (-а) вашего внешнего интерфейса, а не весь Инет.

                1 Reply Last reply Reply Quote 0
                • D
                  dvserg
                  last edited by

                  @mons:

                  потому как **!**lan позволит пойти трафику и в ipsec и в pptp_vpn и в другие сетевые (opt) интерфейсы. Нужно как-то кратко описать путь в интернет.
                  При pppoe на wan порту, помнится, destination wan addresses отлично справлялся с этой задачей
                  Понимаю решение рядом, но найти не могу

                  У Вас в ipSec/pptp серые подсети? Вот их и баньте для VLAN2. Лучше создать алиас.

                  SquidGuardDoc EN  RU Tutorial
                  Localization ru_PFSense

                  1 Reply Last reply Reply Quote 0
                  • M
                    mons
                    last edited by

                    1. нужно собрать в alias=localnet все серые подсети из тонелей и т.д.
                    2. запретить на вкладке vlan2 все destination=localnet (куда нельзя).
                    3. последним правилом разрешить destination=!lan
                    таким образом получится отрезать все внутренние сетки
                    при добавлении новых тонелей нужно обновлять алиасы

                    Как то это все неестественно что-ли. Таким образом можно прийти к alias=internet. должен быть способ проще

                    1 Reply Last reply Reply Quote 0
                    • D
                      dvserg
                      last edited by

                      @mons:

                      1. нужно собрать в alias=localnet все серые подсети из тонелей и т.д.
                      2. запретить на вкладке vlan2 все destination=localnet (куда нельзя).
                      3. последним правилом разрешить destination=!lan
                      таким образом получится отрезать все внутренние сетки
                      при добавлении новых тонелей нужно обновлять алиасы

                      Как то это все неестественно что-ли. Таким образом можно прийти к alias=internet. должен быть способ проще

                      Если VLAN2 нужно только в интернет и никуда более, то
                      1. Все серые подсети IPv4 умещаются в 3 строчки http://ru.wikipedia.org/wiki/%D0%A7%D0%B0%D1%81%D1%82%D0%BD%D1%8B%D0%B9_IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81
                      2. Создать на вкладке vlan2 разрешающее правило с dest=!Alias
                      3. Не плодим не нужные сущности.
                      При добавлении тоннелей все они автоматом попадают в серые подсети из Алиаса.

                      SquidGuardDoc EN  RU Tutorial
                      Localization ru_PFSense

                      1 Reply Last reply Reply Quote 0
                      • M
                        mons
                        last edited by


                        Другого способа нет?

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          @mons:


                          Другого способа нет?

                          А зачем?
                          Желаете создавать себе трудности , а потом их героически преодолевать ?

                          1 Reply Last reply Reply Quote 0
                          • D
                            dvserg
                            last edited by

                            @mons:


                            Другого способа нет?

                            Другой способ - в 2 правила
                            1. Запретить на любые серые сети
                            2. Разрешить везде.

                            Тот-же вид, только сбоку.

                            SquidGuardDoc EN  RU Tutorial
                            Localization ru_PFSense

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.