Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» pfSense межсетевой экран

Автор: vit2002
Дата сообщения: 24.01.2012 09:13
прозрачный прокси тебе зачем? юзерам о нем и не обязательно знать что там прокся
Автор: allexstt
Дата сообщения: 01.02.2012 11:01
ВСЕМ ПРИВЕТ!
СРОЧНО НУЖНА ПОМОЩЬ!
ЕСТЬ ПФСЕНС ПРОШИТЫЙ НА КОРОБКУ-РОУТЕР хрен пойми какого производста из портов 2 усб 1ком порт плюсь разъем питания, работает оно как роутер.
Ситуация - миняли пароль и где то ошиблись, попасть туда не получается теперь, а там много всего настроено - что делать, как сбросить пароль?
Автор: Tim2000
Дата сообщения: 02.02.2012 04:09
а никак
ну или можно попробавать по ссх подключица, и сбросить пароль на днфолтный
Автор: varbasik
Дата сообщения: 02.02.2012 06:06
скорее всего через консоль, чуется мне что оставили вход через HT
Автор: bsnvolg
Дата сообщения: 09.02.2012 09:50
Прошу помочь. Сабж использую давно. Однако с проблемой проброса интернета через OPT1 на LAN столкнулся впервые. Есть ADSL провайдер и есть соседняя сеть с роутером 192.168.1.1 подключенным к другому провайдеру. Цель - сделать возможным использование инернета от двух провайдеров - для резервирования. Поднимаю Pfsense второй версии - самый новый. Ну с ADSL ясно все - делаю из D-Link DSL2500U бридж и цепляю на WAN, прописываю логин-пароль, создаю правило, позволяющее из локалки все - работает на ура. На ОРТ1 цепляю соседнюю сетку, включаю DHCP и прописываю DNS 192.168.1.1 - вроде все правильно. Пинги идут от любого хоста в зоне LAN к OPT1 (который на динамике) и соответственно в сетку 192.168.1.1 к роутеру. А дальше начинаются непонятки - если отключить ADSL и оставить только OPT1 и рестартануть сенс то все хорошо - инет от сети 192.168.1.1 получаем на ура. Но, однако, стоит только вытащить патчкорд из ОРТ1 подождать секунд 5 и снова воткнуть то интернет уже не восстанавливается Но, как только ребутнешь сенс - снова все восстанавливается. Интересно, что OPT1 поднимается и адрес получает и шлюз а инернета нет. После ребута сенса все работает... Собственно, проблема в том как заставить восстанавливаться интернет от ОРТ1. Читал тут - http://ru.doc.pfsense.org/index.php/Интернет_от_двух_провайдеров_(pfSense_2.x) вроде все понятно но первопричина в том что не восстанавливается интернет от ОРТ1 и все тут. Может кто что посоветует - где копать и где крутить?
Автор: vit2002
Дата сообщения: 15.02.2012 20:55
allexstt

разбери его там скорей всего или флешка или винт....смонтирую его к линуксовой системе или фривсд....и доберешься до заветного файлика config.xml ну а дальше сам догадаешься
Автор: Tim2000
Дата сообщения: 16.02.2012 04:37
bsnvolg
че то непонятно, схемку бы чтоли..
Автор: ToppeaDop
Дата сообщения: 21.03.2012 17:38
Помогите советом, пожалуйста. Тренируюсь в сетевых упражнениях на виртуальных машинах.
1. Виртуальная винда
2. Виртуалка с pfsense 1.2.3 (скачан образ для VMWare)

Все запущено на одном компьютере, у которого прямой выход в интернет.
Хочу сделать так, чтобы pfSense коннектился бы по VPN куда-то, и шарил бы этот канал для виртуальной винды. То есть - при наличии сенса винда была бы в интернете, а при отсутствии - была бы без интернета.

В настройках сетевых адаптеров в VMWare у одного pf-интерфейса стоит NAT, он попадает в одну подсеть с основной машиной. У второго pf-интерфейса другая подсеть (VMNet4), она же в настройках интерфейса у виртуальной винды.
Внимание - вопрос. Куда присунуть VPN-параметры, чтобы винда виртуальная ходила через VPN-канал? Видимо, надо как-то понастраивать WAN у pfSense?
Автор: urodliv
Дата сообщения: 21.03.2012 18:37

Цитата:
Видимо, надо как-то понастраивать WAN у pfSense?

А то.

Цитата:
у одного pf-интерфейса стоит NAT

В vmvare сто лет не был. Там нет адаптера типа "мост"? Если есть, то ставить его. Ну а дальше будет ещё веселее. Если у вас привязка по маку, то тут тоже придётся пошевелить лапками.
Автор: ToppeaDop
Дата сообщения: 22.03.2012 08:51
Да, "мост" в варе есть. Этот мост смотрит в локалку основной машины. Второй сенсовский адаптер смотрит в ту же сеть, что и адаптер виндовой. Осталось настроить сенс так, чтобы он вел себя, как обычный роутер на корбине - по имеющемуся каналу поднимал бы ВПН и уже на него бы рутил все со второго адаптера
Автор: urodliv
Дата сообщения: 22.03.2012 09:19

Цитата:
Этот мост смотрит в локалку основной машины. Второй сенсовский адаптер смотрит в ту же сеть, что и адаптер виндовой.

Ничерта не понял. То у вас пиф через нат работает, то теперь откуда-то "мост" нарисовался... Может быть и виртуальный адаптер хоста вы уже подняли для полноты хаоса? Может картинку нарисуете, а то мы плёхо вас понимать.
Автор: ToppeaDop
Дата сообщения: 22.03.2012 09:48
Рисовательным навыкам не обучен, попробую схематично и словами.

Интернет <-> Роутер железячный <-> Хостовая винда с адресом 192.168.0.xxx

на ней Варя, в которой две машины.
Сенс с двумя адаптерами:
а) "мост", соответственно, смотрит в локалку хоста. У него адрес 192.168.0.yyy
б) Custom virtual Network (Vmnet5), где назначается адрес 192.168.9.1

Виртуальная винда с одним адаптером в той же VMnet5, ей сенс дает адрес 192.168.9.200 и гейтвей 192.168.9.1

Соответственно, хочу, чтобы сенс поднимал VPN канал и раздавал его второй винде.

По идее, хочу сделать аналог того, что дается в Корбине/Билайне - там именно так и настроено. клиенту дается локальный адрес, а для выхода в большой инет надо VPN подключить.

Плюс задача - когда VPN упал, чтобы на виртуальной винде интернета не было.
Автор: Tim2000
Дата сообщения: 22.03.2012 10:19
ToppeaDop
так в чем загвоздка-то?
На Сенсе VPN: PPTP, поднимайте сервер, а на виртуальной форточке настраивайте клиента..

Цитата:
Виртуальная винда с одним адаптером в той же VMnet5, ей сенс дает адрес 192.168.9.200 и гейтвей 192.168.9.1


Цитата:
Плюс задача - когда VPN упал, чтобы на виртуальной винде интернета не было.

гейтвэй уберите, делов то
Автор: ToppeaDop
Дата сообщения: 22.03.2012 10:54
Малость не понимаю, выходит.
Если я гейтвей уберу, как форточка знать будет, куда пакеты слать для, скажем, яндекса?

И хотелось бы без клиентов в форточках обойтись.
Чтобы, как у "больших провайдеров" все было.

Вот дома у меня. В роутер кишка воткнута - по ней с провайдером общаюсь.
В ЛАН-порты воткнуты кишки от домашних компов. Никаких клиентов. Если роутер смог с провайдерским ВПН соединиться - на клиентах есть инет. Ну а не смог - все курят, звонят в саппорт

Вот и здесь так же хочу. Чтобы на остальных виртуалках, форточки ли, убунты, - запустил и сразу в инете, а в качестве роутера - pfSense. Умер сенс - нету инета на виртуалках.

И чтобы интернеты у них не пересекались. Виртуально это у меня сейчас для тренировки. Потом, наверное, в реальный мир перенесу.
Автор: Tim2000
Дата сообщения: 22.03.2012 11:19
ToppeaDop

Цитата:
И хотелось бы без клиентов в форточках обойтись.

ВПН же надо настраивать один хрен, в ВинХП это в сетевых подключениях добавление нового подключения, с типом ВПН. В Вин7 - в Центре управления сетями. Это и называется "настроить клиента"

Цитата:
Если я гейтвей уберу, как форточка знать будет, куда пакеты слать для, скажем, яндекса?

Непонел какие пакеты? При подключении по ВПН, виртуальной винде\убунте\т.п. будет выделен отдельный ип со шлюзом и днс. И гейтвей, который привоен по дхцп вобще не нужен, если тебе надо чтоб инет был только когда впн-канал поднят.
Автор: ToppeaDop
Дата сообщения: 22.03.2012 11:26

Цитата:
ВПН же надо настраивать один хрен, в ВинХП это в сетевых подключениях добавление нового подключения, с типом ВПН. В Вин7 - в Центре управления сетями. Это и называется "настроить клиента"


Ага. Это понятно. А в Убунте еще по-другому называется. А в серверном линуксе вообще придется попечатать в текстовом редакторе. Что неинтересно. Вот и хочется вынести ВПН отдельно, а клиенты отдельно. В этом случае клиенты бы от "роутера" получили бы по DHCP адреса, и жили бы себе не тужили, без геморроев с настройками вообще.

Про пакеты вопрос такой был, поясняю.
Если убрать дефолтный гейтвей, то куда форточка будет слать пакеты, чтобы ВПН поднять?

Задача стоит - разделить интернеты. У хоста один интернет, а у виртуалок другой, с другими IP, маршрутами, DNS-ами и т.п.
Автор: Tim2000
Дата сообщения: 22.03.2012 11:50
ToppeaDop
блин че нагородил, сам непонел)) задача на 5 минут, ниче сложного не вижу..
Автор: urodliv
Дата сообщения: 22.03.2012 13:55
Tim2000
Ага. Я понял чего хочет ToppeaDop.
ToppeaDop
Смотрите. Ваш маршрутизатор внутри себя несёт клиента vpn. То есть "преобразует" vpn-канал провайдера в ethernet-каналы до клиентов (очень грубая аналогия). Так вот чтобы вам сделать всё "как у больших", вам надо до вашего пифа организовать vpn-сервер. Вряд ли ваш железный маршрутизатор это умеет. Посему вам надо сделать ещё одну виртуалку пифа для этого дела.
Тогда у вас получится вот такая цепочка:
маршрутизатор(192.168.0.1) - ["мост"] - (192.168.0.ууу) пиф+vpn-сервер(192.168.1.1) - [vmnet1] -
(172.16.0.1) - [vpn-канал] -
(192.168.1.2) пиф+vpn-клиент (192.168.9.1) - [vmnet2] - (192.168.9.yyy) вирт.винда
(172.16.0.2)

Обратите внимание, что [vpn-канал] устанавливается "внутри" [vmnet1]. То есть двойные адреса это не ошибка.
Автор: Tim2000
Дата сообщения: 22.03.2012 15:04
urodliv
дак накой 2 сенса то поднимать? тут одного до джёппы хватит же
Автор: urodliv
Дата сообщения: 22.03.2012 15:09

Цитата:
тут одного до джёппы хватит же

Точно! Но человек же хочет "как в лучших домах ЛондОна". Поступит заявка ethernet-кадры через голубиную почту передавать, так я голубей пришлю.
Автор: ToppeaDop
Дата сообщения: 22.03.2012 17:13
urodliv
Я рад, что понимание пришло
Что до железных маршрутизаторов - так вот мой домашний D-Link DIR-604 (старичок, да), позволяет задать WAN в виде PPTP или L2TP, помимо РРРоЕ и обычных статик/дхцп.
Ну и раздает это дело все в локалку.

Хочу такого же от пфСенса. Если я включу свой домашний роутер в имеющуюся у меня локальную сеть (в которой ныншняя хостовая машина), все заработает как надо.
Только я не хочу роутер из дома тащить. Хочу процессор нагрузить.

Сенс, гад, не позволяет в качестве РРТР сервера указать имя (vpn.provider.net), ему обязательно надо IP.
Плюс, я не совсем понимаю, что он хочет в настройках - remote IP и Local IP. Ладно, remote, наверное - это куда мы пытаемся "дозвониться". А что есть local??? каким, типа, интерфейсом "звонить"?

Вообще, было бы здорово на стороне pfSense учудить еще и OpenVPN-клиента, для него много разных тестовых VPN есть, тренироваться
Автор: aleksvolgin
Дата сообщения: 22.03.2012 21:59

Цитата:
Сенс, гад, не позволяет в качестве РРТР сервера указать имя (vpn.provider.net), ему обязательно надо IP.
а вы писателей сего чуда попинайте, чтобы они сие реализовали. Вон в m0n0 парнишка местный, кажись сие сделал, а у сенсописателей руки не доходят и ноги не дотягиваются.

Цитата:
Плюс, я не совсем понимаю, что он хочет в настройках - remote IP и Local IP. Ладно, remote, наверное - это куда мы пытаемся "дозвониться". А что есть local??? каким, типа, интерфейсом "звонить"?
что за "детские" вопросы? Remote IP - это IP адрес РРТР сервера провайдера, в вашем случае vpn.provider.net (не билайн случаём, не?), local IP - адрес который присваивается вам в случае успешного подключения к РРТР серверу провайдера, т.е. адрес в сети интернет. Если адрес динамический поле либо оставляете пустым либо (если будет ругачка со стороны сенса) указывате просто

Цитата:
0.0.0.0
Автор: ToppeaDop
Дата сообщения: 23.03.2012 09:08

Цитата:
local IP - адрес который присваивается вам в случае успешного подключения к РРТР серверу провайдера, т.е. адрес в сети интернет. Если адрес динамический поле либо оставляете пустым либо (если будет ругачка со стороны сенса) указывате просто

спасибо, попробую. До "0.0.0.0" не додумался, а пустым поле не разрешает оставлять

ЗЫ. не билайн, но хочу сделать по его образу и подобию.
Автор: aleksvolgin
Дата сообщения: 23.03.2012 13:02

Цитата:
не билайн, но хочу сделать по его образу и подобию.
с билайном версии 1.2.2 и 1.2.3 гарантированно работать не будут. Версия 2.0 хз, но если не заработает я не удивлюсь, сенс штука кривая до нельзя. На конфе сенса есть отдельная тема по этому вопросу её почитайте.
Автор: varbasik
Дата сообщения: 26.03.2012 01:53
aleksvolgin
кривая. существует что то прямее?
Автор: aleksvolgin
Дата сообщения: 26.03.2012 13:36

Цитата:
существует что то прямее?
тыц
Автор: vit2002
Дата сообщения: 27.03.2012 09:19
aleksvolgin


ну тут можно и поспорить.
вот например мне нужно что бы доступ был только на домены определенные. у каждого домена по несколько айпи.

на сенце это сделал на раз два....просто сделал альяс и туда внес все домены и инет есть...ну разрешающее запрещающее правило в фарволе еще....

вот теперь напиши мне пару правил подобных что по домену я мог на микротике это сделать?????????

буду очень благодарен
Автор: varbasik
Дата сообщения: 27.03.2012 10:06
aleksvolgin
Спасибо.
Web_Proxy - тут можно сотворить что нибудь типа фильтра SquidGuard?
Автор: ToppeaDop
Дата сообщения: 27.03.2012 10:15
Я тут в споры немножко вклинюсь со своей хлопотой

В общем, поднял я туннель в сенсе до VPN-провайдера, причем, пошел по сложному пути - стал делать OpenVPN соединение.

кое-как разобрался, какие ключи куда пастить, какие сертификаты и т.п.
победил даже ввод логина-пароля, благо, в сенсе OpenVPN позволяет считывать их из файла.

В общем, по обычному каналу поднимается OpenVPN, добавляются маршруты в таблицу, у меня стало (почему-то) четыре интерфейса:
LAN 10.10.10.x
WAN 192.168.0.x
OPT1
openvpn1

как связаны третий с четвертым пока не очень понимаю.
Из шелла сенса я могу пинговать и трейсрутить удаленные хосты, телнетиться к ним на нужные порты, связь идет по VPN-соединению.

А вот локалка с LAN-а не работает
То есть, когда VPN задизаблен, все пингуется и открывается (через WAN), а когда VPN поднимешь в настройках, праздник завершается. Вот и не знаю, что делать.
Автор: urodliv
Дата сообщения: 27.03.2012 11:18

Цитата:
В общем, поднял я туннель в сенсе до VPN-провайдера, причем, пошел по сложному пути - стал делать OpenVPN соединение.

А вы не путаете? Может быть не до провайдера, а до вашего удалённого хоста? А то мне как-то, смысл неясен.

Цитата:
То есть, когда VPN задизаблен, все пингуется и открывается (через WAN), а когда VPN поднимешь в настройках, праздник завершается. Вот и не знаю, что делать.

Ну для начала поднимите vpn-туннель, и нарисуйте нам таблицу маршрутизации...

Страницы: 12345678910111213141516

Предыдущая тема: ошибка пароля для WiFI сети


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.