Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Как настроить внутренние сети?

    Scheduled Pinned Locked Moved Russian
    15 Posts 3 Posters 3.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      kojuki
      last edited by

      Доброго времени суток.
      Провел далеко не один час за настройкой данного чуда, которое поговаривают, работает из коробки. Идея - использование как прозрачное прокси. ну и фаерволить будет. но для начала хотя бы как прозрачное прокси.
      То ли руки у меня не оттуда, то ли лыжи не едут.
      Суть вопроса:
      Разварачиваю последнюю версию сабжа, выставляю настройки:
      внешняя сеть, внутренняя сеть (172.19.54.2/24)
      Дефолт ГВ на внешку.
      на внутреннюю роутинг вида: 172.0.0.0/8, т.к. есть огромная куча внутренних сетей формата 172,хх,хх,0/24
      в настройках фаервола - разрешить все

      По логике вещей уже должно неплохо так работать.

      Результат:
      все оборудование расположенное в той же сети, что и сенс, т.е. 54.0/24 - прекрасно работает и выходит в эти ваши интернеты. Все остальные внутренние сети - доходят до сенса и тишина.

      поставил сквид. в режиме транспаранта - ниче не поменялось.

      У меня уже бошка взрывается, я не понимаю что я делаю не так… Товарищи, нужна помощь... маршрутизации и фаервола прикладываю.
      routes.jpg
      routes.jpg_thumb
      firewall.jpg
      firewall.jpg_thumb

      1 Reply Last reply Reply Quote 0
      • P
        pbx
        last edited by

        в Proxy server - Access control - Allowed subnets записи есть?

        1 Reply Last reply Reply Quote 0
        • K
          kojuki
          last edited by

          @pbx:

          в Proxy server - Access control - Allowed subnets записи есть?

          Нет.
          Стоит галка: Разрешить пользователей на интерфейс.
          Ну это собственно и не особо существенно, т.к. до установки прокси - реакция такая же.т.е. прокси нет, а через пф пропускается только трафик из той же сети, что и он сам. из других подсетей - весь трафик блокируется (о чем говорит статистика самого пф).

          1 Reply Last reply Reply Quote 0
          • K
            kojuki
            last edited by

            @pbx:

            в Proxy server - Access control - Allowed subnets записи есть?

            а кстати наврал… в аллоу сабнетс стоит
            172.0.0.0/8

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              Доброе.

              1. Адресации для "серых" сетей 172.0.0.0/8 быть не может. Только 172.16.0.0/12 - https://ru.wikipedia.org/wiki/Частный_IP-адрес

              2. У Вас на LAN указан gw 172.19.54.1 - что это за "железка" ?

              P.s. Крайне рекомендую ознакомиться - http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/  Сам пользую. Прямо с 0-й части и начинайте.

              1 Reply Last reply Reply Quote 0
              • K
                kojuki
                last edited by

                @werter:

                Доброе.

                1. Адресации для "серых" сетей 172.0.0.0/8 быть не может. Только 172.16.0.0/12 - https://ru.wikipedia.org/wiki/Частный_IP-адрес

                2. У Вас на LAN указан gw 172.19.54.1 - что это за "железка" ?

                P.s. Крайне рекомендую ознакомиться - http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/  Сам пользую. Прямо с 0-й части и начинайте.

                1. Да, про 172.0.0.0/8 это я погорячился. хотя все равно какая разница сенсу..  ну это дело десятое :)
                2. это железная циска, ядро сети.

                копался копался, и пришел по утру к выводу, что вероятно, проблема кроется в НАТе. 54 сеть в нате есть, а вот остальные не перечислены… Сегодня планирую после того как пользователи уйдут испытать настройку ната.

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  хотя все равно какая разница сенсу..  ну это дело десятое

                  Молодой человек (я все же надеюсь, что Вы молоды. Иначе … ) Вы "шутите"? Что значит "какая разница" ? Т.е. указав заведомо неверные сетевые настройки (роутинг у Вас точно неверный) , Вы хотите получить работоспособность ?
                  Это из разряда - поешьте сливочного масла. Или нет - давайте лучше машинное. Какая разница  ;D

                  И pf далеко не всё равно. Он делает только то, что Вы ему укажите. Не больше, но и не меньше.

                  Вкл. логирование fw и смотрите , что происходит при попытке доступа из проблемных сетей.

                  P.s. Как вариант - сменить маску сети на пф (всей сети за пф ?) на /12.

                  1 Reply Last reply Reply Quote 0
                  • K
                    kojuki
                    last edited by

                    @werter:

                    хотя все равно какая разница сенсу..  ну это дело десятое

                    Молодой человек (я все же надеюсь, что Вы молоды. Иначе … ) Вы "шутите"? Что значит "какая разница" ? Т.е. указав заведомо неверные сетевые настройки , Вы хотите получить работоспособность ?
                    И pf далеко не всё равно. Он делает только то, что Вы ему укажите. Не больше, но и не меньше.

                    Нет, я же согласился с Вами. Что тут конечно косяк,это не правильно, но не правильно больше с точки зрения теории, нежели практики. Ничего не мешает мне и любой другой адрес завернуть во внутреннюю сеть. ну кроме логики, стандартов,здравого смысла… Просто мне не очень понятно, почему сенс отказывается маршрутить эти сети? Именно что я указал ему, все что начинается с 172 - идет во внутреннюю сеть. почему тогда мой диапазон адресации он не хочет принимать? Ведь он должен делать ровно то, что я ему сказал, а он получается что не хочет этого делать :)
                    Хотя на самом деле и это в нем работает нормально. т.к. если бы не работало, то я бы не смог зайти на его вебморду с компьютера из другой сети. А я могу. вот только интернета на другой сети нет, и тут судя по всему проблема в настройке НАТ. Такой идеи  у меня в 4 утра просто не появлялось..

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      Покажите вывод tracert из сети за pf в проблемную сеть (-и).
                      Рекомендую запомнить эту команду. Она помогает понять где затык.

                      1 Reply Last reply Reply Quote 0
                      • K
                        kojuki
                        last edited by

                        @werter:

                        Покажите вывод tracert из сети за pf в проблемную сеть (-и).
                        Рекомендую запомнить эту команду. Она помогает понять где затык.

                        Если я правильно понял задачу - то задача получить трассировку из WAN в LAN? ну тут это будет проблематично. :)
                        А если речь идет о трассировки из одной внутренней сети в другую - то тут ПФ вообще не участвует. эти задачи решаются на уровне ядра сети. И соответственно трассировка будет не информативна.
                        Если делать трассировку из проблемной сети в интернет - то все встрянет на ПФ
                        Ранее на месте ПФ был зентал, пока не сдох методом обновления (ну кто ж мог подумать, что они на 4 версии убьют модуль. а с 4.1 и выше - выпилят к чертям прокси),а до него ТМГ стояла.

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          А если речь идет о трассировки из одной внутренней сети в другую - то тут ПФ вообще не участвует. эти задачи решаются на уровне ядра сети. И соответственно трассировка будет не информативна.

                          Да что Вы ? А зачем же вы тогда шлюз на LAN указывали ? Это же из LAN в LAN2 и т.д. получается.

                          Сперва разберитесь с адресацией в Вашей сети. Посидите, подумайте хорошенько. Схемку набросайте со всеми адресами\подсетями.

                          1 Reply Last reply Reply Quote 0
                          • K
                            kojuki
                            last edited by

                            @werter:

                            А если речь идет о трассировки из одной внутренней сети в другую - то тут ПФ вообще не участвует. эти задачи решаются на уровне ядра сети. И соответственно трассировка будет не информативна.

                            Да что Вы ? А зачем же вы тогда шлюз на LAN указывали ? Это же из LAN в LAN2 и т.д. получается.

                            Сперва разберитесь с адресацией в Вашей сети. Посидите, подумайте хорошенько. Схемку набросайте со всеми адресами\подсетями.

                            шлюз на лан указывал - потому что откуда пф узнает, что у меня не только 54 сеть? как получить от него обратную связь? как ему узнать куда ему слать пакеты назад? это как бы обратный маршрут.. без этого маршрута пф не знает куда ему сдавать все внутренние сети, кроме 54, которая на интерфейсе. и по умолчанию шлет эти пакеты на ван, так как там ни что иное, как дефолт гейтвей… и без такого маршрута я не получу даже доступ на вебморду из например 55 сети. т.к. до шлюза пакеты дойдут, а вот обратно - хрен.

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by

                              Снова Вас процитирую. Вы же сами себе противоречите.

                              А если речь идет о трассировки из одной внутренней сети в другую - то тут ПФ вообще не участвует

                              Вы же трассируете из LAN в LAN в Вашем случае.

                              И при этом :

                              шлюз на лан указывал - потому что откуда пф узнает, что у меня не только 54 сеть?

                              А значит это, что пф учавствует в трассировке из одной внутренней сети в др. внутреннюю сеть.
                              tracert - всего лишь команда, к-ая работает эээ "поверх" маршрутизации что ли.

                              И да, возможно что Ваша циска просто не пропускает пакеты из локальной сети за pf.

                              1 Reply Last reply Reply Quote 0
                              • K
                                kojuki
                                last edited by

                                @werter:

                                Снова Вас процитирую. Вы же сами себе противоречите.

                                А если речь идет о трассировки из одной внутренней сети в другую - то тут ПФ вообще не участвует

                                Вы же трассируете из LAN в LAN в Вашем случае.

                                И при этом :

                                шлюз на лан указывал - потому что откуда пф узнает, что у меня не только 54 сеть?

                                А значит это, что пф учавствует в трассировке из одной внутренней сети в др. внутреннюю сеть.
                                tracert - всего лишь команда, к-ая работает эээ "поверх" маршрутизации что ли.

                                И да, возможно что Ваша циска просто не пропускает пакеты из локальной сети за pf.

                                Мне вот теперь стало интересно Ваше виденье работы утилиты трассировки… которая как бы отрабатывает так же как и пинг, только возвращает информацию о каждом хопе, которые берутся из маршрутизации... каким образом он обходит маршрутизацию - мне не очень ясно...

                                обратные маршруты это как бы тоже явно не из самых сильных сторон... Это все равно что написать куда нибудь письмо, с просьбой ответить и не указывать обратный адрес..

                                именно по этой причине обратный маршрут очень важен. и да, пф никаким образом не участвует в маршрутизации внутренней сети. она вся расположена на ядре, и при общении между вланами и подсетями, такие запросы даже не уходят в сторону пф. разве что только широковещательные. схема сети у меня более чем подробная. с маршрутизацией и прочим.. при наличии более 20 узлов и распределенных офисах - тут как бы это необходимо. и вопрос возник скорей ввиду новой все же системы, которая настраивается несколько более глубоко. и не очень понятно где именно затыкается.. потому как все запросы к ней доходят, а вот через себя она их не пропускает.
                                99% уверенности что это НАТ, его я проверю после 10 вечера. с маршрутизацией проблем нет. т.к. если бы это была она - пакеты бы не блокировались, а они блокируются. лан-лан - работает. не работает лан-ван. фаервол разрешен, но и это не помогло, поэтому я впал в ступор. но тут появилась идея, т.к. НАТ не настраивался,а сетей по умолчанию пф не видит, и вручную где у него сабнеты задаются - я не нашел. может плохо искал. в остальных шлюзах вполне явно задавались сабнеты, и проблем не возникало. и нат стоял в авто - все было отлично. а тут ввиду отсутствия заданных сабнетов возникла проблема - вероятно необходима ручная настройка ната. вот и все.

                                1 Reply Last reply Reply Quote 0
                                • K
                                  kojuki
                                  last edited by

                                  В общем сказалась усталость и не готовность к тому, что эту штуку нужно настраивать чуть больше чем пару кликов… Да, проблема была в не настроеном нате. натировалась только 1 сеть, та, что висела на интерфейсе, остальные - нет. Сам себе ответил на вопрос. Спать надо больше, и тогда все будет ок :)

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.