Po przełączeniu w transparent mode nie mam dostępu do Internetu z samego pfSense



  • Witajcie,

    jestem nowy w tematyce firewall'i jak i samego pfSense. Przedstawię sytuację i problem:
    Mam sieć na do 50 komputerów. Chcąc mieć możliwość blokowania niektórych stron, monitorowania użycia łącza bez jakiejkolwiek modyfikacji w samej sieci jak i adresowaniu postanowiłem postawić pfSense w tryb transparent. Sam pfSense posadzony jest na DELL'u OptiPlex 745 z 2GB RAM i trzema interfejsami - dwa jako most i jeden do WebAdmin ze stałym adresem - świadomy brak serwera DHCP w sieci).

    Problem pojawia się, gdy z samej zapory próbuję przeglądać jakieś paczki, w celu rozszerzenia funkcjonalności pfSense. Komunikat, jaki dostaję to:

    Unable to communicate with https://packages.pfsense.org. Please verify DNS and interface configuration, and that pfSense has functional Internet connectivity.

    Jak chcę sprawdzić, czy są aktualizację, to komunikat również wskazuje na brak połączenia z Internetem.

    Zaznaczam, że Internet w samej sieci działa bez problemu. Myślałem, że może uda się wykorzystać ten trzeci interfejs, by przez niego łączyć się z Internetem? Tylko niestety nigdzie tego nie widzę - chyba, że słabo szukam?

    Byłbym wdzięczny za pomoc.

    EDIT: Pomocą służył mi ten post:
    https://forum.pfsense.org/index.php?topic=50711.msg270416#msg270416

    I mój konfig wygląda tak, jak w tamtym poście + jeszcze reguły na firewall'u.



  • masz skonfigurowany dns na pfsensie?
    masz ustawioną właściwą bramę domyślną?

    sprawdź czy ping na ten adres z konsoli ssh-a przechodzi.

    pzdr
    T



  • DNS jest skonfigurowany.
    W jaki sposób mam ustawić bramę, skoro przy przełączaniu w tryb firewall'a na każdym interfejsie w polu "Type" ma być "none"?

    Teraz nie mam dostępu do zapory, ale powiedz, czy z ssh powinno dać ten sam wynik co przez WebAdmin'a?



  • Czy w konfiguracji SQUID-a w polu Allowed subnets jak i External Cache-Managers adres 127.0.0.1/24 ?



  • Właśnie chodzi o to, że mój pfSense to czysta instalka w trybie mostu z paroma regułami na firewallu. Chcąc dodać jakieś paczki czy nawet sprawdzić aktualizację, mam problem, bo pfSense sam w sobie nie może się połączyć z Internetem. Może coś źle zrobiłem po drodze? Zmieni to coś jakbym np. ustawił jakiś adres na interfejsie bridge? Czy czegoś takiego się nie powinno robić?



  • nie bardzo wiem o co chodzi z tym polem "type" na interfejsie (czyżby o konfigurację dhcp, static, itp).
    u mnie z ssh i z web-a ping śmiga na żądany adres, a w firewallu mam reguły (mam multi wan) na który gateway wysyłać w zależności od adresu (wewn i/lub zewnętrzny) + domyślny gateway.

    jak ci nie działa ping to wiadomo że reszta nie pójdzie (chyba że filtrujesz ICMP), potem być może problem DNS-u (masz na pfs-ie forwardera?)…



  • Z tym polem "type" to właśnie chodzi o ustawienia na interfejsie.
    Ping z pfs i ssh nie idzie. Gdzieś w ustawieniach obiła mi się właśnie o oczy opcja "dafeult gateway" ale u mnie to pole jest puste. Tam mam wpisać adres bramy od ISP?

    Co do filtrowania to nie mam nic poza regułami do blokowania FB. Przy DNSach też nich więcej nie grzebałem poza wpisaniem adresów na OpenDNS i tych od Googli.



  • System->Routing->Edit gateway:Default Gateway

    Albo reguły firewalla które wskażą dla docelowego adresu jakiego użyć gatewaya.



  • The following input errors were detected:

    Cannot add IPv4 Gateway Address because no IPv4 address could be found on the interface.

    Taką informację dostaję po próbie wpisania adresu bramy. Czyli tak, jak mówiłem, na żadnym interfejsie poza WebAdmin nie mam ustawionego IPv4. Chyba, że to nic nie przeszkadza, żeby pomimo trybu transparent ustawić w WANie IPv4? Ale nie rozsypie  to mostu?

    Chyba, że po prostu po drodze coś zrobiłem źle?

    1. Interfejs LAN i WAN spiąłem w most.
    2. Dodatkową kartę ethernetową przeznaczyłem jako interfejs WebAdmin i tylko na niej jest stały adres
    3. na LAN, WAN i BRIDGE w ustawieniach interfejsu w polu 'type' (czyli tam, gdzie wybiera się protokół) mam 'none' (tak, jak było w instrukcjach przełączania pfs na przeźroczysty firewall).
    4. W 'system tunables' mam włączone filtrowanie pakietów na moście.
    5. Reguły firewalla odblokowują cały ruch z LANa przy czym blokują wybrane przeze mnie adresy IP.

    Po tym wszystkim pfs sam z siebie nie ma dostępu do Internetu. Co robić, jak żyć? :) Gdzie robię błąd?
    Nie byłoby tego problemu, jakby pfs pracował jako zwykły router. Stety niestety ma on być jako przeźroczysta zapora.



  • https://static.spiceworks.com/attachments/post/0016/1351/Transparent_Firewall-Filtering_Bridge_-_pfSense_2.0.2_By_William_Tarrh.pdf

    rozumiem że to coś takiego zaimplmentowałeś.
    niestety nie mam doświadczenia z taką konfiguracją, na mój gust mógłbyś próbować wpiąć na chwilę trzeci interfejs (webAdmin?) do swojej sieci i jego skonfigurować (bramę, dns-y, itd).
    oczywiście to tylko taka niczym nie poparta koncepcja.



  • Też się nad czymś takim zastanawiałem, ale nie wiem czy jest to do końca poprawne, skoro do połączenia ze światem zewnętrznym mam WANa a nie właśnie WebAdmina… Będę próbował a jak na coś wpadnę to podzielę się rozwiązaniem. Póki co dzięki wielkie za chęci.

    Pozdrawiam,
    tk.


Log in to reply