Объединение двух сетей через pfSense.

gudy

Всем привет. Я новичок, но стараюсь разбираться. Заранее спасибо за понимание.
Оптсание: Установил pfSense и раздал инет в сеть (192.168.1.0/24). На pfSense WAN смотрит в инет, Lan (192.168.1.0/24) подключена к центральному свитчу, так же к свитчу подключена еще одна сетка (172.21.12.0/24). Вопрос как объединить две сети 192.168.1.0/24 и 172.21.12.0/24, чтобы они друг друга видели? Помогите, 4 день уже мучаюсь.

vitaliy_

простите конечно, а где хотя бы схема? понятия портов протоколов? скрины настроек? одно из первый через google  https://forum.pfsense.org/index.php?topic=35867.0

Scodezan

Что мешает  настроить pfsense на раздачу в  172.21.12.0/24, отказавшись от 192.168.1.0/24 ?

gudy

Схему пытался прицепить не получилось, подскажите как это сделать сразу же выложу.

gudy

Мешает то, что к pfSense подключено три сетевухи, 1. WAN - смотрит в инет. 2 LAN - в основную сеть (192.168.1.0/24)  и к 3 OPT1 подключен VipNet координатор у которого тоже две сетевухи, одна подключена к OPT1, а вторая к центральному свитчу с адесом 172.21.12.0/24. Так вот для выхода в инет хосту необходимо настроить протокол типа 192.168.1.0/24 и указать шлюз LANа и все хорошо. НО для соединения с сервером в инете через VipNet необходимо перейти на другую сеть типа 172.21.12.0/24 и указать шлюз с адресом координатора 172.21.21.1. Так вот вопрос в том как сделать так чтобы хосты остались при своих адресах(192.168.1.0/24) и в инет выходили через шлюз LANа, при обращении к определенному серверу в инете и шли через VipNet, т.е. через 172.21.12.0/24 и использовали уже шлюз координатора.

Scodezan

Относительно схемы смотрите первую тему FAQ.
В остальном ключевое слово route, делается либо на WS либо на pfsense.

gudy

На счет схемы как прикрепить понял спасибо. Прости за вопрос, но что значит на WS???

seotomb

Сперва в вебинтерфейсе меню Interfaces - (assign) - Bridges = Lan + Opt
Затем Interfaces - (assign) - Interface assignments - +OPT2 = созданный мост…
Затем настриваем OPT2. Даём ему статический адрес и прописываем для него разрешающие правила в файрволле...

Scodezan

@gudy:

На счет схемы как прикрепить понял спасибо. Прости за вопрос, но что значит на WS???

WorkStation – рабочая станция, клиентский компьютер.

Видимо по opt1 течёт интернет на координатор.

По вашей теме, если не делать лишних движений:
1. firewall\aliases Создаём virtual ip типа alias 172.21.21.2/24 на lan
2. system\routing\gateways добавляем адрес шлюза 172.21.21.1/24 на lan, в advanced указываем Weight=5
3. system\routing\routes указываем сети которые должны идти через координатор, например 10.10.10.0/24 gw 172.21.21.1
4. затем надо править fw rules и Outbound NAT, не скажу точно как...
5. вооружиться ping и tracert для проверки
6. разобраться с вопросом что делать с DNS...

gudy

прикрепляю схему для наглядности.


Scodezan

Если компов всего 2, vipnet меняем 192.168.1.2/24
на ПК1 выполняем.
route -p add 10.20.0.0 mask 255.255.255.0 192.168.1.2

profit

gudy

@Scodezan:

Если компов всего 2, vipnet меняем 192.168.1.2/24
на ПК1 выполняем.
route -p add 10.20.0.0 mask 255.255.255.0 192.168.1.2

profit

Компов много. Сетки подружил, но вот заставить Lan срабатывать через шлюз координатора пока не допетрю как, так чтобы при обращении к серверу "дача" они ходили через шлюз координатора. Проблема еще в том что у меня нет доступа для настройки координатора он должен быть в том виде как есть.

gudy

@gudy:

@Scodezan:

Если компов всего 2, vipnet меняем 192.168.1.2/24
на ПК1 выполняем.
route -p add 10.20.0.0 mask 255.255.255.0 192.168.1.2

profit

Компов много. Сетки подружил, но вот заставить Lan срабатывать через шлюз координатора пока не допетрю как, так чтобы при обращении к серверу "дача" они ходили через шлюз координатора. Проблема еще в том что у меня нет доступа для настройки координатора он должен быть в том виде как есть.

Кстати, что бы две сети видели друг друга надо в System\Routing\перейти на вкладку Routes и создать статический маршрут (нажать +), прописать в Network ту сеть с которой дружить LANу, и добавить шлюз LANа.

gudy

@gudy:

@gudy:

@Scodezan:

Если компов всего 2, vipnet меняем 192.168.1.2/24
на ПК1 выполняем.
route -p add 10.20.0.0 mask 255.255.255.0 192.168.1.2

profit

Компов много. Сетки подружил, но вот заставить Lan срабатывать через шлюз координатора пока не допетрю как, так чтобы при обращении к серверу "дача" они ходили через шлюз координатора. Проблема еще в том что у меня нет доступа для настройки координатора он должен быть в том виде как есть.

Кстати, что бы две сети видели друг друга надо в System\Routing\перейти на вкладку Routes и создать статический маршрут (нажать +), прописать в Network ту сеть с которой дружить LANу, и добавить шлюз LANа.

Да и на хостах разных сетей в протоколе ip должен быть указан шлюз LANa, который прописан на pfSense/

Scodezan

Мелочи конечно, но когда я читаю хост обычно представляю сервер с которому надо подключиться, соответственно ws откуда.
@gudy:

Кстати, что бы две сети видели друг друга надо в System\Routing\перейти на вкладку Routes и создать статический маршрут (нажать +), прописать в Network ту сеть с которой дружить LANу, и добавить шлюз LANа.

Да так, но надо сначала шлюз добавить и убедиться что fw не препятствует.

Да, и не понятно, что значит видели друг друга??? ws будет иметь доступ в обе сети, надо что-то другое?

gudy

@Scodezan:

@gudy:

На счет схемы как прикрепить понял спасибо. Прости за вопрос, но что значит на WS???

WorkStation – рабочая станция, клиентский компьютер.

Видимо по opt1 течёт интернет на координатор.

По вашей теме, если не делать лишних движений:
1. firewall\aliases Создаём virtual ip типа alias 172.21.21.2/24 на lan
2. system\routing\gateways добавляем адрес шлюза 172.21.21.1/24 на lan, в advanced указываем Weight=5
3. system\routing\routes указываем сети которые должны идти через координатор, например 10.10.10.0/24 gw 172.21.21.1
4. затем надо править fw rules и Outbound NAT, не скажу точно как...
5. вооружиться ping и tracert для проверки
6. разобраться с вопросом что делать с DNS...

Вопросик, а за что отвечает параметр "Weight=5" во втором пункте?

pigbrother

@gudy:

@Scodezan:

@gudy:

На счет схемы как прикрепить понял спасибо. Прости за вопрос, но что значит на WS???

WorkStation – рабочая станция, клиентский компьютер.

Видимо по opt1 течёт интернет на координатор.

По вашей теме, если не делать лишних движений:
1. firewall\aliases Создаём virtual ip типа alias 172.21.21.2/24 на lan
2. system\routing\gateways добавляем адрес шлюза 172.21.21.1/24 на lan, в advanced указываем Weight=5
3. system\routing\routes указываем сети которые должны идти через координатор, например 10.10.10.0/24 gw 172.21.21.1
4. затем надо править fw rules и Outbound NAT, не скажу точно как...
5. вооружиться ping и tracert для проверки
6. разобраться с вопросом что делать с DNS...

Вопросик, а за что отвечает параметр "Weight=5" во втором пункте?

weight вам, вероятно, посоветовали напрасно. Назначается при балансировке для нескольких WAN, если у них разные по пропускной способности каналы

https://doc.pfsense.org/index.php/Multi-WAN#Weight

Scodezan

@pigbrother:

weight вам, вероятно, посоветовали напрасно. Назначается при балансировке для нескольких WAN, если у них разные по пропускной способности каналы

Может и напрасно, но на практике, когда я оставил по умолчанию трафик шёл 50/50 между двумя шлюзами. Для балансировки существует группа шлюзов, там всё можно перенастроить иначе, здесь же так, перестраховка.

gudy

Спасибо всем за помощь, все задачу решил, все работает. Моя была ошибка в том, что я заморочился на маршрутизации и совсем забыл про правила фаервола, думал, что если все разрешу будет работать. В общем всем спасибо, пока разобрался, все работает как надо. В правилах разрешил только то что можно, остальное все закрыл. Следующей задачей, хочу завести еще одного провайдера и настроить балансировку с приоритетом трафика, но это тема следующего топика.

werter

@gudy:

Спасибо всем за помощь, все задачу решил, все работает. Моя была ошибка в том, что я заморочился на маршрутизации и совсем забыл про правила фаервола, думал, что если все разрешу будет работать. В общем всем спасибо, пока разобрался, все работает как надо. В правилах разрешил только то что можно, остальное все закрыл. Следующей задачей, хочу завести еще одного провайдера и настроить балансировку с приоритетом трафика, но это тема следующего топика.

Можно было просто не разрешать. Явно запрещать при просто схеме не нужно.