LAN istemcilerinin bir kısmını Farklı WAN ağgeçitlerine yönlendirmek



  • Öncelikle pfsense de yeniyim ve öğrenmek için çabalıyorum. Birçok senaryo okudum ama bizimkine uygun bir senaryo bulamadığım için başlık açmakk istedim.

    Sistemimizde 2 tane modem var. Birisi kurum-filtreli internet erişimi sağlıyor (192.168.1.1) diğer ise özel filtresiz erişim sağlıyor(192.168.1.254).

    Pfsense olmaksızın kullandığımız sistem şu şekildedir. Ağa bağlanan herhangi bir istemci DHCP den direk olarak(192.168.1.51-200 arası) bir ip alıyor ve ağgeçidi olarak filtreli internet erişimini(192.168.1.1) kullanıyor. Bir kısım bilgisayarda ise el ile (192.168.1.2-50 arası)ip veriyor ve ağ geçitlerinin 192.168.1.254 vererek bu bilgisayarların özel internet erişimini kullanmasını sağlıyoruz. Tüm bilgisayarlar windows dosya paylaşımı üzerinden dosya paylaşabiliyor, ortak ağ yazıcısını kullanabiliyor, lan messenger kullanabiliyor, bu nedenle aynı alt ağda olmaları gerekiyor.

    Pfsense kullanarak İstediğimiz düzen ise şu şekilde:
    Pfsense kurulu olan makina üzerinde 2 ethernet kartı (wan ve lan) mevcut.
    2 modem bir öncelikle switch üzerinde birleşiyor ve bu switch pfsense WAN kartına bağlı olacak.
    Pfsensenin LAN kartı da diğer tüm bilgisayarların bağlı olduğu switche bağlı olacak.
    pfsense LAN adresi 192.168.2.1 olacak, dhcp si aktif olacak ve 192.168.2.51-200 arası ip dağıtacak.
    Ancak 192.168.2.2-50 arası ip sahibi bilgisayarlar 192.168.1.254 wan ağgeçidi üzerinden
    192.168.2.51-200 arası ip sahibi bilgisayarlar 192.168.1.1 wan ağgeçidi üzerinden internete çıkış yapacak.

    öncelikli olarak istediğimz bu.
    Bunu sağlayabilmek için nasıl bir yapılandırma yapmamız lazım.
    (kurulum sonrasında wan üzeri dhcp den otomatik bir ip aldığında ağgeçidi 192.168.1.1 olarak default almaktadır. virtualbox üzerinden deniyorum)

    Eğer bu yapılandırmayı sağlayabilirsek ikinci istediğimiz ise sadece onaylı MAC adresine sahip bilgisayarların internete çıkabilmeleridir.



  • slm
    https://forum.pfsense.org/index.php/topic,26793.0.html burada detaylı bahsedilmiş

    Bence wan için tek ethernet yerine 2 ethernet kullanmalısın.
    2 Adet wan ve tek lan ile bu işi cok basit bir şekilde yapabilirsin
    oluştracağın alias içine ekleyecegin ip adreslerini 1 Wan dan Diğerlerini ise Default Gatewaydan çıkabilirsin.
    bunun için rule ekleyip alias ı sectikten sonra gatewaydan 1 wan ı secmen



  • İlgin için teşekkrüler, bayağı bir araştırdım. Tek wan üzerinde dediğim şekilde bir işlem gerçekleştirebilmek pek mümkün gibi görünmüyor. Nedeni ise pfsensenin çalışma yapısı galiba, hatta bazı yerlerde bunun bir bug olarak geçtiğini bile okudum.

    Artık bir opt kartı daha ekleyip dediğin gibi 2 wan lı olarak düşünmeye başlamıştım ki sen beni doğruladın. Teşekkrüler.

    Neden rule değilde alias eklemem gerekir. Bu konud akarmaşa yaşıyorum, yeniyim.

    Ben açıkcası giden veriler için Lan rules tarafında ip tabanlı kurallar oluşturmayı düşünmüştüm. Sonra dedim ki wan tarafından gelen veriler içinde kurallar oluşturmam lazım. Hala düşünüyorum. Alias tam olarak ne işe yarar ki? Peki MAC e göre geçiş sağlatabilirmiyim?



  • yine Rules dan eklemen gerekiyor ama alias a ip tanımlamaları yaparsan herdefasında rule ile oynamana gerek kalmas alias a eklemen yeterli olur

    burda alias a eklenen ip leri goruyorsun sen burda gecit için yönlendireceğin ip leri eklemelisin

    burda da gördüğün gibi 192.168.1.44 ip si zte modemden çıkıyor  sen burda ipleri tek tek girmek yerine alias a ipleri ekleyebilirsin

    Alias ın nasıl kullanıldığı da var burda wolfteam için girilen alias "game" gatewayinden çıkıyor yani bizde bulunan loadbalance dan



  • Verdiğin değerli bilgiler icin saol. Alias kısmında ip aralığı belirttim, tüm ipleri kendi listeledi.

    Kuralı lan kısmında tanimlayarak, o istemcilerden gelen verileri istediğimiz wan a yönlendiriyordu. Peki istemcilere gelen verileri yonlendirmek icin ayni şeyi wan kurak tarafında da yapmamız gerekmiyor mu?

    Vur diğeri de rules kısmında floating var, o kısımda görülenler ne oluyor. Her kural girme ekranında zaten kanak-hedef tanımlamasi var iken neden ayrıca lan wan gibi ayırmislar? Saçma oldu galiba :-)


Log in to reply