» pfSense межсетевой экран

urodliv
я термины путаю, но это не суть.

вы хочете таблиц в состоянии, когда VPN заработал?
их есть у меня.
Destination      Gateway      Flags      Refs      Use      Mtu     Netif      Expire

ToppeaDop
Честное слово, это мрак. Давайте разбираться с самого что ни наесть начала.
Настройки Wan: 192.168.0.17/24, gateway 192.168.0.90.
Настройки Lan: 10.10.10.1/24.
В таком режиме lan-пользователи куда могут попасть? В интернет могут выйти? Допустим могут. Тогда для какой цели вы устанавливаете vpn-соединение? И между чем и чем оно устанавливается?

2 vit2002

Цитата:

ну тут можно и поспорить.

спорьте. Только пожалуйста не со мной. Я пока в здравом уме и твёрдой памяти и сравнивать маршрутизатор провайдерского уровня с поделием изготовленным на коленке не собираюсь.

urodliv
192.168.0.17 - сенсовский WAN
192.168.0.90 - железная коробочка, которая всей 192-сетке интернет раздает (17-й адрес выдает сенсу по DHCP)
10.10.10.1 - сенсовский LAN, на нем висит DHCP, выдающий адреса из диапазона 10.10.10.х

winXP с единственным интерфейсом коннектится к локалке сенса, получает адрес 10.10.10.100, и, пока не подняты VPN хорошо ходит в интернет по маршруту
10ххх.100 -> 10xxx.1->192.168.0.90->internet

Но я хочу, чтобы она, и не только она, ходила в интернет по VPN-каналу, поднимаемому из сенса. Зачем - для тренировки. Аналогично сделано у Билайна/корбины - там клиенты по DHCP получают локальные адреса и могут тусить в локалке, а если им надо на мейл-ру - поднимают VPN. Если у клиента несколько компьютеров, он покупает роутер, который, получив локальный адрес у билайна, поднимает VPN и его "раздает" свои клиентам.

Только я хочу поднять не PPTP vpn, а более "современный" - OpenVPN, благо сенс его умеет.

Но вот затык, когда канал VPN поднимается, локалка "не знает" куда отправлять пакеты. Или сенс не настраивает таблицу правильно. А я не знаю, как ему подсказать.

Очевидно, гейтвеем после поднятия VPN должен стать его гейтвей. Но не становится. пинги из винХР умирают, трейсрут затыкается на 10.10.10.1

ToppeaDop
Вот теперь задача становится ясной.
Перво-наперво вы должны удостовериться, что на winxp в момент подключения vpn дефолтным шлюзом становится vpn-шлюз на сенсе. Вроде у вас это 172.17.0.1. Если это так, то дальше надо шаманить с правилами в сенсе и включать продвинутый исходящий nat.

urodliv
Я снова рад, что смог донести свои мысли

Но сразу и поспорю. Шлюзом для ХР никак не может быть сенсовский наружный. только если его LAN-интерфейс (10.10.10.1)
а вот дальше, надо как-то сделать так, чтобы при наличии VPN-канала все пакеты из лана направлялись бы туда, а при отсусттвии просто помирали бы.

Ровно как сейчас это делает железный роутер для большой локалки.
Есть инет - туда пакеты бегут, нет инета - в 192.168.0.ххх все и чахнет.

ToppeaDop
Не торопитесь. Смотрите что происходит. Когда вы на хрюше поднимаете vpn, то у вас в системе появляется виртуальный адаптер. Для вас он должен стать главенствующим.
Или вот ещё вариант. Если вы на хрюхе укажите только ip-адрес и маску, то выйти в инет не сможете. Но если у вас vpn-сервер будет в той же подсети, что и хрюха, то подняв vpn-туннель, вы уже через него сможете получить доступ во внешний мир. Усекли?

Да, все понятно. Только я на хрюше заранее не знаю, какой будет присвоен адрес ВПН-адаптеру.
Ну и еще раз акцентирую, поднимать ВПН должен сенс, а никак не ХРюша. Хрюша - это тупой клиент роутера.
Поэтому, там просто стоит "дайте адрес по ДНСР", в ответ на что и получаем адрес с гейтвеем.

Весь цимес должен происходить на сенсе.

Там да, при подъеме ВПН дефолтным должен стать гейтвей от него. Он и становится - когда я трейсрутю что-нибудь из консоли при поднятом ВПН, через него все пакетики идут.
НО! при этом пакетики от LAN-интерфейса никуда не убегают, то ли от недостатка правил в Firewall, то ли от неправильно прибежавших правил "route add -net"

И я даже не знаю, где смотреть, что стало с пакетами от ЛАНы.

Добавлено:
А, и еще интересное.

если ВПН отключен, хрюша ходит в интернет. ставлю в ней ping -t mail.ru и пакеты бегуть-бегуть-бегуть.
поднимаю VPN - пакеты продолжают бечь. Но если я остановлю пинг, и запущу снова, то пакеты бечь перестанут.

аналогично, если ping -t mail.ru сделать при поднятом VPN, пакеты мрут-мрут-мрут, и останов VPN на это не влияет, пока не перезапустишь ping.

ToppeaDop
Так, снова здорово. Поднимаю ещё раз свой вопрос: между чем и чем у вас поднимается vpn-тоннель?

urodliv
между сенсом и хостом в "большом интернете"

Цитата:

хостом в "большом интернете"

Что под этим подразумевается?

Чорт.
По-новой.

Есть большой интернет, где обитают всякие mail.ru

Туда смотрит железка D-Link, у которой на другой стороне (Lan-порты) висят клиенты DHCP из сетки 192.168.0.х

в этой сетке живет и сенс, тоже с несколькими портами. с одной стороны 192.168.0.17, с другой стороны - 10.10.10.х

в 10.10.10.х живет виндаХР. которая умеет ходить в большой интернет через сенс.
Но вот когда поднимается OpenVPN на сенсе, ходьба эта завершается.
виндовХР в перспективе несколько. И не только ХР, целый зоопарк может быть.

Надо:
ходить из ХР в интернет ТОЛЬКО по ВПН (раздать ВПН на всех клиентов сенса)

VPN-тоннель устанавливается между "сервером" и "клиентом". Что у вас в данном случае есть "сервер", а что "клиент"?

urodliv
сенс - клиент. сервер снаружи, за всеми железками.

Доброго времени, подскажите пожалуйста , где хранятся настройки сервера PPPoE в Pfsense? Нужно прописать строку типа Service-Name , так как в сети уже есть один PPPoE сервер с пустой строкой Service-Name, и поэтому не получается подключиться к нужному серверу
на англоязычном форуме нашел подобный вопрос без ответа http://forum.pfsense.org/index.php/topic,43492.0.html .Спасибо )

fedoseevka
версия сенса какая? у меня в 1,2,3 на вкладке ЛАН только статический айпи прописать можно. На вкладке ВАН есть настройки подключения ПППоЕ, там есть строка Service name.

Tim2000 версия 2.0.1 .Спасибо, я уже разобрался, отписался сначала на русскоязычном форуме сенса.
Но ты скорее всего путаешь с настройками подключения PPPoE к вышестоящему провайдеру(аплинку).Мне же нужно было чтобы иметь в сети несколько PPPoE серверов и логигиться на нужном через указание в настройках клинтских машин service-name сервера PPPoE

http://forum.pfsense.org/index.php/topic,47932.0.html

правим файлики /var/etc/pppoe1-vpn/mpd.conf и mpd.links тут же.
Так же на всяк случай поправил еще в /etc/inc/vpn.inc .На виндовых клиентах обязательно в строке службы указываем \ ваше service-name



http://subnets.ru/forum/viewtopic.php?f=6&t=433

http://nikolaos1.narod.ru/pppoe.html

http://www.lissyara.su/doc/docs/mpd/mpd_2/

[more] Работаю в гос структуре, старый админ ушёл и успел нагадить за увольнение, а я пока начинающий админ, и только постигаю азы.
Собственно проблема в чём:
Все гос структуры нашего города объеденены с помощью оптики и умных цисок в огромную сеть, с адресами типа 10.хх.хх.хх, нашему подразделению выдали диапозон 10.1.53.хх.
У нас 2 канала интернета, один от государства, как дублирующий и для доступа к ресурсам администрации. Второй канал - обычная выделинка от РосТелекома, напрямую, через оптику. Раньше всё работало так: весь трафик шёл через РосТелеком, а обращения к адресам 10.xx.xx.xx шли через канал администрации. Для этих целей стоял программный роутер, с 2 сетевыми картами, одна смотрела на аппаратный роутер, который раздавал РосТелекомовский интернет, а в нашей подсети, под адресом 10.1.53.254, висит шлюх администрации. Вот так были настроены маршруты. Но уходя, админ устроил серверу Low-level форматирование и всё полетело.
С помощью Pfsense я всё же смог повторить эту маршрутизацию, и всё IP из диапазона 10.хх.хх.хх нормально пингуются, кроме 2х - 10.0.249.1 и 10.0.249.2. Это адреса DNS серверов, которые нужны для доступа к системе электронного документо-оборота. При переходе на web-интерфейс этой системы по IP (10.0.249.92) всё проходит нормально, но когда ввожу её адрес в формате sed.gorodn.ru - ничего не происходит, сервис не доступен.
Как я понял, вся проблема в том, что не пингуются эти DNS и они не цепляются Pfsense, для преобразования имени.
Есть ли какая-нибудь возможность решить эту проблему?

P.S. Опишу всю структуру сети:
В интернет через РосТелеком мы смотрим с помощью DIR-615, который раздаёт его в Pfsense на первую сетевую карту, которая настроена как WAN.
Дальше Pfsense сомтрит в нашу сеть с IP 10.1.53.1, и по DHCP раздаёт настройки на рабочие станции (10.1.53.2-10.1.53.253). В этой сети(но не в нашем здании, а где-то на другом конце оптики) находится циска, с адресом 10.1.53.254, вот через него мы и лезем в сеть 10.xx.xx.xx. [/more]

imisteg
т.е. 10.1.53.254 пингуется нормально?
хм, значит через эту циску 10.1.53.254 Вы видите все машины 10.xx.xx.xx нормально, кроме 10.0.249.1 и 10.0.249.2?
а в вашей сетке днсы то эти 10.0.249.1 и 10.0.249.2 прописаны?

Пробовал по разному, и прописывал и убирал, вся их сеть пингуется, а DNS'ы нет.
Если компьютеру выставить статический IP c параметрами:
IP 10.1.53.xx
Mask 255.255.255.0
GW 10.1.53.254
DNS 10.0.249.1 10.0.249.2
то эти DNS'ы начинают пинговаться

Добавлено:
Вот какой маршрут прописан в таблице Route:
Destination Gateway
10.0.249.0/24 10.1.53.254

Добавлено:
Ошибся я, не пингуется их сеть. Оказывается у меня просто локальные маршруты были прописаны на компьютере, pfSense тут не причём.

ну вот

Тогда следующий вопрос) как устроить такую маршрутизацию?)

так этим циска 10.1.53.254 должна заниматься..
а если шлюз у рабочих машин в вашей сетке это сенс, то тогда в нем тоже надо прописать маршрут в System: Static Routes

Циска этим не хочет заниматься. Шлюзом стоит сенс, и в Static Routes я прописал, сенс вот что в информации выдаёт
Destination Gateway
10.0.249.0/24 10.1.53.254
но он игнорирует этот маршрут.

Есть конечно решение командой в консоли:
Route add 10.0.0.0 mask 255.0.0.0 10.1.53.254 , но это ужас, прописывать на каждой рабочей машине.

Цитата:

но он игнорирует этот маршрут.

что значит игнорирует? Вывод маршрутов на сенсе покажите и tracert до 10.0.249.1 / 2 с компа стоящего за сенсом.
Версия сенса какая? Если 2.0 то попробуйте 1.2.2/3 там косяков поменьше или вообще другой маршрутизатор m0n0, к примеру.

imisteg

Цитата:

Route add 10.0.0.0 mask 255.0.0.0 10.1.53.254 ,

Ололошечки, у меня такая ситуация была.
Решилось как раз только запуском батника, с командой добавления маршрута, на всех машинах, которым нужен был этот маршрут.
Увы..

ЗЫ: ключ -р в комманде не забудьте, иначе маршрут будет слетать после ребута машины

Ситуация у меня следующая. Есть два офиса назовем их Головной и Филиал. В обоих офисах сеть 192.168.0.0/24. В Головном стоит маршруторизатор (на плате ALIX) с pfsense и настроеным openvpn сервером. В Филиале стоит обычным роутер ASUS и в качестве openvpn клиента обычный комп за ним. Интерфейсы vpn и там и тут объеденены в бридж и получается что логически выглядит как одна сеть 192.168.0.0/24. Всё работает отлично уже давно.

И тут у меня появилась на мою голову cisco 1760. Соответсвенно возникла мысль её поставить в Головной офис, а железку с pfsense перекинуть на Филиал. Естественно никакой поддержки openvpn в циске нет, но зато есть IPSec который так же есть и в pfsense. Что такое IPSec и с чем его едят я не очень пока разобрался. Собственно возникает такой вопрос... Получу ли я такую же функциональность что и с openvpn? То есть мне нужно что бы осталось всё так же логически одна общая сеть и тоже надежно и стабильно.

zaum
Да

Не могу зделать простейшую на первый взгляд вещь:
надо заблокировать подсеть 46.4.0.0/16 только для самого pfsense. (там серваки сервиса ДАЙДОСТУП)
Не получается хоть тресни, pfs всё равно пингует и пускает туда юзеров, lan subnet блокируется, но pfs нет, поэтому юзеры проходят на ресурсы в этом диапазоне через squid.

Road Runner J
Ну так вы правила бы выложили, а то телепатинг в июне в отпуск отъехал.

Цитата:

поэтому юзеры проходят на ресурсы в этом диапазоне через squid

А сквид на пифе поднят? И почему вы в нём (сквиде) не заблочите нужный сайт? Ведь это его прямая обязанность.