» pfSense межсетевой экран

urodliv

sqiud на pfs - поднят, блокировать на кальмаре бесполезно, у сервиса слишком много доменных имен со случайными именами сайтов, проще подсеть закрыть.

правило на первой позиции как в LAN так и WAN разделе
action - block (пробовал reject)
interface lan (пробовал wan)
protocol - any (пробовал tcp, tcp/udp)
source - (пробовал wanadress, lanadress, lansubnet)
destination - network 46.4.0.0/16

Коллеги. Это какая-то засада.
С помощью openvpn надо объединить две сети:

GW1 и GW2 - это шлюзы сетей. Первый работает в режиме клиента, а второй - сервера openvpn.
Канал поднялся. Из сети Net2 доступны все участки сети. А вот компьютеры сети Net1 не пингуют никого из сети Net2.
Tcpdump показывает, что в тоннель запросы от хостов Net1 попадают, но на другом конце тоннеля не появляются. Если поменять роли GW1 и GW2, то ситуация поменяется ровно на 180 градусов.
[more=Конфиг сервера.]dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local Х.Х.Х.Х
tls-server
server 172.16.0.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
ifconfig 172.16.0.1 172.16.0.2
lport 1194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.10.0 255.255.255.0"
route 192.168.0.1 255.255.255.0
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
[/more]
[more=Конфиг клиента.]dev ovpnc1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-client
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local У.У.У.У
tls-client
client
lport 0
management /var/etc/openvpn/client1.sock unix
remote Х.Х.Х.Х 1194
ifconfig 172.16.0.2 172.16.0.1
ca /var/etc/openvpn/client1.ca
cert /var/etc/openvpn/client1.cert
key /var/etc/openvpn/client1.key
tls-auth /var/etc/openvpn/client1.tls-auth 1
push "route 192.168.0.0 255.255.255.0"[/more]
Как победить это штуку?

А можно как то сделать типа , я создаю ИНДИВИДУАЛЬНЫЙ сертификат и высылаю юзеру , только после этого он заходит удаленно по PPTP \ LTP . А то я прописал сети Городских провайдеров , а юзер в деревню уезжает а там Бабруйск Компани . И вот мне юзеры наяривают .

Установил Pfsense 2.0.1-RELEASE, запуск Radiusd запускается вручную, также как и asterisk и bandwidthd, помогите сделать автозапуск этих служб при перезагрузке системы

/usr/local/etc/rc.d

asterisk 0.74 KiB
bandwidthd.sh      0.31 KiB
bandwidthd.sh.sample      0.48 KiB
cron.sh      0.26 KiB
radiusd      1.16 KiB
radiusd.sh      0.28 KiB
snmpd      1.75 KiB
snmptrapd      0.79 KiB
stunnel.sh      0.29 KiB
varnish.sh      0.68 KiB
varnishd      2.67 KiB
varnishlog      1.20 KiB
varnishncsa      1.23 KiB
vhosts-http.sh


{РЕШЕНО} http://forum.pfsense.org/index.php/topic,53031.0.html

anzak84
хм, такое лучше на оф.форуме спросить.. и поискать сначала, может уже было.

anzak84, на оффоруме в русском разделе поищи про Самбу, там хорошо расписано, как демоны интегрировать не хуже "родных" штатных (и автостарт, и присутствие в меню)

urodliv

Цитата:

Коллеги. Это какая-то засада.

у меня так и работает:
dev ovpns4
dev-type tun
dev-node /dev/tun4
writepid /var/run/openvpn_server4.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local xxx.xxx.xxx.yyy
ifconfig 192.168.248.17 192.168.248.18
lport 1192
management /var/etc/openvpn/server4.sock unix
max-clients 4
push "route 10.1.0.0 255.255.255.0"
route 10.1.5.0 255.255.255.0
secret /var/etc/openvpn/server4.secret
comp-lzo
passtos
---------------------
dev ovpnc1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local xxx.xxx.xxx.zzz
lport 0
management /var/etc/openvpn/client1.sock unix
remote xxx.xxx.xxx.yyy 1192
ifconfig 192.168.248.18 192.168.248.17
route 10.1.0.0 255.255.255.0
secret /var/etc/openvpn/client1.secret
comp-lzo
passtos

ВОПРОС: как удалённо скриптом выключить PFS с windows? Putty попадает в меню и обламывается.

Road Runner J

Цитата:

ВОПРОС: как удалённо скриптом выключить PFS с windows?

а что не через веб морду? если не секрет.

NegoroX

Цитата:

а что не через веб морду? если не секрет.

Ручками лениво, хочу (и скорей всего не только я) чтобы автоматом, при условии что UPS подключен к ВИНДЕ.

Ребят, подскажите чайнику как в pfSense к примеру на одну сетевую карту
прописать два IP адреса, как это делается в винде я знаю, а вот pfSense?

Barin1

смотря какая версия у тебя... если старая то есть 1,2 то там нужно создать еще один интерфейс но указать физическую карту туже что и в первом случаи.....

в 2,0 и выше такая есть возможность сразу несколько айпи указывать....


Добавлено:
Barin1

или как вариант если у тебя есть управляемый коммутатор то лучше тогда сделать все на уровне виланов...

а вообще хотелось бы конечно подробней знать для чего тебе 2 айпи тогда и советовать было бы проще

Цитата:

в 2,0 и выше такая есть возможность сразу несколько айпи указывать....

Точняк, прямо через гуй делается.
В версии 1.2.3 (да и в 2.0 работать будет) делал так:
1. Писал файлик примерно такого содержания:

Код: #!/bin/sh
ifconfig rl0 alias 192.168.2.2 netmask 255.255.255.252

Цитата:

а вообще хотелось бы конечно подробней знать для чего тебе 2 айпи тогда и советовать было бы проще

Большое спасибо Ребят, что помогаете мне советом.
И так, два сервера с «pfSense 1.2.3» (см. схему)
Два независимых интерет линка далее внутренняя сеть, хаб и интернет раздаётся юзерам, далее юзеры сами принимают решение
через какой интернет им выходить или «1» или «2».
С помощью программы «NetSetMan» юзеры одним кликом в свойстве протокола TCP/IP.
Меняют ШЛЮЗ И DNSки- вот так они и ходят в интерент.

Что я хочу сделать. На серваки с «pfSense 1.2.3» поставить ТРЕТЬЮ сетевую
–которая будет смотреть в WAN, а сетевой с LAN дать два IP адреса (192.168.1.100 и 192.168.1.200)
Чтоб не нарушать многолетнюю привычку юзеров пользоваться переключением интернетов, к которой уже так давно привыкли в нашей мини сетки.
Задумка эта сделана для того чтоб не два сервака одновременно работали, а к примеру месяц один, месяц другой т.е. чтоб один сервер работал другой отдыхал….
У кого какие мнение будут господа.
схема: http://i056.radikal.ru/1209/98/092e6417d2c7.jpg

Ставим в один из шлюзов три сетевые карты:
1. Провайдер 1;
2. Провайдер 2;
3. Внутренняя сетка.
Пользователям выдаем настройки по dhcp, где ЕДИНСТВЕННЫМ для них шлюзом будет адрес третьего интерфейса пифа. Теперь можно настроить кого из пользователей выпускать через первого провайдера, кого через второго. А можно вообще балансировку нагрузки сделать.
Так будет более кошерно, ибо нефиг пользователям вообще в сетевых настройках ковыряться.

P.S. А второй сервак можно для отказоустойчивости использовать (см.CARP).
P.P.S. И перейдите всё-таки на вторую версию пифа.

Цитата:

P.P.S. И перейдите всё-таки на вторую версию пифа.

Категорически не советую этого делать!

Цитата:

Категорически не советую этого делать!

Обоснуйте.

Цитата:

Ставим в один из шлюзов три сетевые карты:
1. Провайдер 1;
2. Провайдер 2;
3. Внутренняя сетка.

это понятно!

Цитата:

Пользователям выдаем настройки по dhcp, где ЕДИНСТВЕННЫМ для них шлюзом будет адрес третьего интерфейса пифа.

про шлюз, не понял если внутренним пользователи получают IP по
dhcp, то и шлюз им будет выдаваться автоматически (или я ошибаюсь), и все таки, мне не хотелось по dhcp, а хотелось бы чтоб у каждого юзера был статистическим IP- так легче, к примеру временно не дать доступ к инету

Цитата:

Теперь можно настроить кого из пользователей выпускать через первого провайдера, кого через второго. А можно вообще балансировку нагрузки сделать.

уважаемый urodliv, ну привыкли пользователи сами выбирать через какой интернет-провайдера им выходить в интернет! и думаю вряд ли я их отучу, неужели нельзя на "pfSense 1.2.3" сделать так- как я описал в посте выше?

Цитата:

Так будет более кошерно, ибо нефиг пользователям вообще в сетевых настройках ковыряться.

Может вы и правы- но всё таки хочется СДЕЛАТЬ (настроить) сетку так- как я описал выше...

Цитата:

P.S. А второй сервак можно для отказоустойчивости использовать (см.CARP).

что такое CARP? и по подробнее как второй сервак можно использовать в отказоустойчивости

Цитата:

P.P.S. И перейдите всё-таки на вторую версию пифа.

а что версия 1.2.3 - уж так сильно плоха? чтоб с неё перейти на вторую...

Цитата:

шлюз им будет выдаваться автоматически (или я ошибаюсь)

Не ошибаетесь. Просто я указал вам на то, что в моей конфиге не надо прыгать со шлюза на шлюз.

Цитата:

все таки, мне не хотелось по dhcp, а хотелось бы чтоб у каждого юзера был статистическим IP

Какие проблемы? Резервирование ip-адресов по mac-адресу.

Цитата:

ну привыкли пользователи сами выбирать через какой интернет-провайдера им выходить в интернет! и думаю вряд ли я их отучу

Вы же не уполномочены принимать решение о заключении того, или иного контракта. Это прерогатива директора. Вот и пользователи должны получать инет, а как этого достигает админ - не их дело. Если есть сервисы которые работают только через определённого провайдера, то и выпускайте их через него.
Вы же не уполномочены принимать решение о заключении того, или иного контракта. Это прерогатива директора. Вот и пользователи должны получать инет, а как этого достигает админ - не их дело.

Цитата:

Может вы и правы- но всё таки хочется сетку так- как я описал выше

Это не ко мне.

Цитата:

что такое CARP?

В гугле забанили? CARP

Цитата:

и по подробнее как второй сервак можно использовать в отказоустойчивости

До чего же вы ленивы...

Цитата:

а что версия 1.2.3 - уж так сильно плоха?

Нет. Но во второй версии есть более весёлые вещи, которые оооочень облегчают жизнь.

Уважаемый urodliv, я понимаю, что вы из лучших побуждений советуете как лучше!!! И это у меня не вызывает сомнений!
Ответьте мне только на один вопрос возможно ли «pfSense 1.2.3» настроить так как я хочу, считайте это техническим заданием к примеру…

Повторюсь:
1)  На сервак с «pfSense 1.2.3» ставятся ТРИ сетевых карты (два –WAN, одна LAN с двумя IP адресами (192.168.1.100 и 192.168.1.200)

2) Во внутренней сети у всех юзеров статистическим IP адреса

3) юзеры во внутренней сети в сетевой карте в свойстве протокола TCP/IP меняют ШЛЮЗ И DNSки- таким способом они могут выбирать через какого интернет провайдера им выходить в инет "1" или "2"

ВОТ ЭТИ ТРИ ВЕЩИ МОЖНО СДЕЛАТЬ? ЕСЛИ ДА ТО БУДУ НАНИМАТЬ ЧЕЛОВЕКА КТО УДАЛЕННО ЭТО МОЖЕТ СДЕЛАТЬ- САМ К СОЖИЛЕНИЮ Я НЕ СЕЛЁН В pfSense

Barin1

1 вопрос - да можно.... а если есть управляемый коммутатор ТО ВООБЩЕ ЛЕГКО.....вланы поднять для внутрисетки и все... и там айпи уже поделить...пользователи никогда не поймут что сервер один...

2 вопрос - пофик... просто открываешь доступ по /24 маске и все

3 вопрос - и что? после того как будет стоять один сервер пофик что они выбирут но идея что они через другова оператора работают пускай им греет душу...

Добавлено:
если коммутатора управляемого нет что бы на одной сетевке вланы сделать.....

завтра могу поставить у себя виртуалку и залью конфиг..... когда то делал... и насколько я помню...второй айпи дописывал НЕ через консоль...а через веб морду. только надо вспомнить как

Цитата:

дописывал НЕ через консоль...а через веб морду. только надо вспомнить как

буду очень благодарен, если подскажишь как через веб морду в "pfSense 1.2.3" прописать второй IP в LANе

urodliv

вторая версия красива и более функциональна согласен спору нет
но есть такой ньюанс что под эту ось точнее сервер под нее обычно бывает очень хлипким и вот например когда я себе обновил свой 1,2 на 2,0 то как результат было очень много мата и ругани....потому что начался великий тормоз морда открылась несколько минут...а уж что бы конфиг сохранить вообще молчу...
ну что поделать ну не было тогда у меня больше 64 метров памяти и винт был древний 300 метров и пенек 133 .... и менять с дома в контору не хотелось свое родное ничего нести

так что если смотреть со стороны работает не трож...лучше оставить 1,2 и настраивать на нем


P.s. кстати а игрушка эта до сих пор в конторе инет раздает, а это ни много не мало около 3 лет уже канал подняли до 6 мегабит тянет достаточно четко и трогать ее нет желания

Цитата:

если коммутатора управляемого нет что бы на одной сетевке вланы сделать.....

нет у меня коммутатора, только хаб- я же схему сетки давал: http://i056.radikal.ru/1209/98/092e6417d2c7.jpg

Barin1

если на вскидку то делается через создание еще одного интерфейса OPT1 который называется....только физический интерфейс указываешь тот же что и для ЛАН .... и вот так прописывается 2 айпи на одну сетевку обманывается фактически ось...

но это по памяти писал....если есть система где можешь поиграться то попробуй...

Цитата:

но это по памяти писал....если есть система где можешь поиграться то попробуй...

vit2002, нет системы- если у тебя есть - то сделай пожалуйста скраб- чтоб понятнее было...

Barin1

тогда только завтра... а то у меня уже 2 ночи почти а завтра на работу ..

Цитата:

тогда только завтра...

ОК- буду ждать...

Добавлено:

Цитата:

3 вопрос - и что? после того как будет стоять один сервер пофик что они выбирут но идея что они через другова оператора работают пускай им греет душу...

Не, мне действительно хотелось бы без обмана… т.е. то есть задал (поменял) юзер шлюз и ДНСки одни- пошёл к ПЕРВОМУ провайдеру, поменял на другие- пошёл к ВТОРОМУ…

Цитата:

если на вскидку то делается через создание еще одного интерфейса OPT1 который называется....только физический интерфейс указываешь тот же что и для ЛАН .... и вот так прописывается 2 айпи на одну сетевку обманывается фактически ось...

но это по памяти писал....если есть система где можешь поиграться то попробуй...

ВОТ ТАК ПРИМЕРНО ПОПРОБЫВАТЬ: http://s018.radikal.ru/i509/1209/63/c02d9d3ce506.png

Второй (а также третий, четвёртый, и т.д.) IP на любом интерфейсе прописывается так:
1) выгрузить конфиг
2) найти секцию интерфейса, добавить ещё один <ipaddr> (или как его там)
3) загрузить конфиг

2 vit2002

Цитата:

ну что поделать ну не было тогда у меня больше 64 метров памяти и винт был древний 300 метров и пенек 133 .... и менять с дома в контору не хотелось свое родное ничего нести

Это у вас pf 2.0 работал на конфиге Р133/64М/300М? Однако...