Linux за българи: Форуми

Здравейте. Схемата е следната: В момента имам един Микротик към който са вързани с IPSEC два pfsensa в различни градове. Достъпвайки отдалечено през ППП отдалечен достъп към микротика виждам всички LAN (зад всеки рутер има Lan). Понеже това ППП става все по Ненадеждно и по съвет на предишния администратор реших да сменя Микротика с Pfsense за да достъпвам отдалечено чрез опенвпн. Настройките на Pfsensa докарах до ниво: има изградени ИПСЕк с другите 2 Pfsensa. Настойх и Openvpn сървър. Подкарах и Впн клиент чрез който правя връзка но виждам само Lan който е след Пфсенса. Идеята ми е да виждам през този опенвпн всички Lan след всеки пфсенс. Ако някой може да ми помогне моля да ми пише за да му подап по подробна информация тъй-като съм супер начинаещ в материята и голяма част от описаната система ми е завещание.

Аз преди доста време ползвах Сенс за рутер като вируална машина в ESXi сървър. Тази система е много добра, но за интернет провайдери. Ако целта ти е да свържеш 2-3 физически обекта да работят в нещо като виртуален офис, мисля, че трябва помислиш за съвсем друго решение и промяна на цялостното организация. Това, което искаш да постигнеш със Сенс-а, можеш да го реализираш и с Лунукс сървър с Webmin/Virtualmin и Shorewall за рутер, дали е по-добро е много относително, но по-лесно ще намериш информация кое и как да направиш от колкото със Сенс. От друга страна, всеки офис има нужда и от мрежови файлов сървър за споделените ресурси да са на него и същия този рутер може да ти изпълнява и тази роля.  Аз също развивам нещо като виртуален офис и съм се спрял на съвсем други решения, като едно от тях е това с Шореуол-а. Ако правилно съм ти разбрал идеята и желаеш, можем да обсъдим нещата с повече подробности за предимства и недостатъци.

Тук съм в заварено положение ако питаш мен нищо не ми се пипа (основен закон в мрежите - нещо върви ли не го пипай) хахах, но най безболезнено според мен е да се опитам да оправя опенвпн и да се моля прехвърляйки устроиствата от микротика към пфсенса (файлов НАС сървър и ЕРП система) да тръгнат без проблеми. Твоят начин може да е по лесен но за мен е съвсем тъмна материя а и ми говориш изцяло за промяна на мрежата ми. Немога да си го позволя с моите знания и възможности.

Тук съм в заварено положение ако питаш мен нищо не ми се пипа (основен закон в мрежите - нещо върви ли не го пипай) хахах, но най безболезнено според мен е да се опитам да оправя опенвпн и да се моля прехвърляйки устроиствата от микротика към пфсенса (файлов НАС сървър и ЕРП система) да тръгнат без проблеми. Твоят начин може да е по лесен но за мен е съвсем тъмна материя а и ми говориш изцяло за промяна на мрежата ми. Немога да си го позволя с моите знания и възможности.

Най-скъпия вариант е да се крепи нещо с грешен дизайн в основата си.

ЕРП системата трябва да е на централен сървър и достъпна от всички. За това ги правят и уеб базирани. Ако на отдалечените места имат файлови сървъри под линукс, ако на този централен сървър туриш един оунклоуд, ще можеш да ги свържеш в клоуда по ССХ

Доста ще да е тъпо, ако ЕРП системата е достъпна само от локалната мрежа и поради тази причина да се налага пускаш ВПН клиенти. Иначе със сигурност Сенса е по-добро от микротика.

Тук съм в заварено положение ако питаш мен нищо не ми се пипа (основен закон в мрежите - нещо върви ли не го пипай) хахах, но най безболезнено според мен е да се опитам да оправя опенвпн и да се моля прехвърляйки устроиствата от микротика към пфсенса (файлов НАС сървър и ЕРП система) да тръгнат без проблеми. Твоят начин може да е по лесен но за мен е съвсем тъмна материя а и ми говориш изцяло за промяна на мрежата ми. Немога да си го позволя с моите знания и възможности.

Имаш лично.

Ще ми трябват 7-8 ВПН и се надявам ИРП да може да се достъпва без някакви допълнителни настройки от Сентоса на който е качено. Затова искам да си осигуря пълен достъп от ВПН-те за всички Lan мрежи по рутерите и да си работят и с ИРП-то. То така или иначе ще е на Lan на главния пфсенс настоящия микротик

Кое не се получава ?

Немога да достъпя Lan мрежите които са след двата пфсенса вързани с главния пфсенс със IPsec-ове. Към главния пфсенс достъпвам с опенвпн и виждам само неговия lan

да пишем на лично сега видях  :)

ЕРП на Сент ОС, явно е уеб базирано и опън сорс. Това е добре, но защо всичкото е толкоз малоумно зад рутер в локална мрежа, че после други локални мрежи да се свързват с тази! Представям си още колко малоумни неща правени от тъй наречените "специалисти"!

Ако искаш да си свършиш работата по възможно най-добрия начин, обясни им на шефовете, че съвсем от скоро има гейропепейска директива, която става задължителна за фирмите до 1 година и са измислили нови простотии, дето ще се наложи фирмите да инвестират не малко кинта в хардуер. Заради личните данни, всичко на сървърите трябва да е криптирано, барабар с БД. Връзките да са криптирани, ама и ключа да бъдел на трето място и куп още простотии! За теб като ИТ специалист е много по-важно и от шефовете ти да си запознат с тази директива. Вземи се запознай с нея и направо задвижи нещата още от сега да се приведат според изискванията на гейропейците, защото за големите фирми няма да има мърдане :) . Ние малките ще се спасим :) .

black - Пак ти се губи главния герой и ръсиш умнотии. Прочети малко за ВПН-ите и за какво се ползват и тогава дрънкай. ВПН-пази и от 0-дей пробойни, за които ти нямаш никакво решение.
А този Шореуол по който припадаш е един уизард дето генерира iptables правила и един скрипт ги подава на ядрото (само един от многото бойлери за топла вода дето ти си открил).

black - Пак ти се губи главния герой и ръсиш умнотии. Прочети малко за ВПН-ите и за какво се ползват и тогава дрънкай. ВПН-пази и от 0-дей пробойни, за които ти нямаш никакво решение.
А този Шореуол по който припадаш е един уизард дето генерира iptables правила и един скрипт ги подава на ядрото (само един от многото бойлери за топла вода дето ти си открил).

Не казвам, че е по-добро, защото и това по-добро е много относително, а, че има повече инфо. Преди време се занимавах със Сенс-а и само в чужди форуми успявах да изровя това и онова, което ме интересуваше, а съм споменавал и колко ми е добър янгличанския.
Иначе съм чел, че в началото на лан мрежите за и-нет се е ползвал масово сенса. По това време компютрите бяха доста слаби и прекарвал много трафик с малко ресурс. Микротик не съм пипал, но съм чел също спорове, че сенса е доста по-добро.
От друга страна, педерасите от гейсъюза са ни подготвили едни нови малоумни изисквания, дето, ще става много весело за големите фирми и на всичкото отгоре влизат са над конституционни! Нареждат и влизат в сила за целия ЕС. Та, тъй като цирка му се очертава да е голям, по-добре направо да мисли как още от сега да се подготвя.

@Gec Предполагам openvpn-a ти раздава адреси от някаква X мрежа? Другите два PFsensa (освен основният, към който вдигаш openvpn тунела) знаят ли я тази мрежа? В смисъл - има ли рутинг?

явно незнаят лошото е че и аз незная хахах и ще ми трябват подробни обеснения в кое меню как да ръчкам

Разгледах това което си ми пратил ..трябват ти рутинг- за мрежите.

молбата ми е ако ти се занимава да ми опишеш каде точно по менютата какво да вкарвам. Много нешта не са ми ясни и ще са ми нужни подробности.

Имаш лично ..

Добре де, що не си говорите само на лично? Само хабите форума...

Да, де ама все на едно място тъпчем :)) Но по отъпкани пътеки ще е по-лесно. Колегата има за домашно да тества ...подсказаха му преди мен и така. Ще стане ...

Хайде няма ли кой да каже отиваш иди каде си пишеш това и това даваш този и този адрес и тръгва...... немога да се оправя с тези НАТ и файрлоу руут

това е схемата ИП са адресите на ротерите

Ако имаш достъп от главния pfSense към вътрешните мрежи на останалите рутери, предполагам, че е проблем със защитната стена.

Ако използваш ipfw, какъв е изхода от командата:

Ако използваш pf, не мога да ти помогна, потърси в интернет.

Какво има в рутиращата таблица (скрий си част от реалните IP адреси):

Ще е много тъпо ако е така, но аз все пак да попитам
А ВПН към коя/каква мрежа те връзва - в смисъл достатъчно голяма ли му е маската?
Защото ако е с /24 или 255.255.255.0 няма как да ги видиш всичките т.е. не и директно - не съм запознат с пфсенс, но предполагам че през неговите утилки може

@Gec това не го ли писахме по-нагоре ? openvpn-a от коя мрежа ти раздава адреси? Тази мрежа видима ли е на другите два Pfsensa? Ако не е, някой трябва да ти разнесе рутинга (въпросната мрежа от която Опенвпн-а раздва адреси) по другите устройства. Поне виж и кажи дали е така. Не използвам Pfsense , ама от гоогле - The routing table on the firewall can be viewed at Diagnostics > Routes. IPv4 and IPv6 routes are displayed.

проблема е че досегашният ми опит с ротери е само настройка на wan lan отваряне порт за ремут десктоп и това е. За firewall никакви познания, от линукс - почти никакви познания и изведнъж 3 pfsensa ок вързани са работят си по между после и опенвпн ок направих го сертификати ала бала само че това с достъпа до другите рутери направо ми дойде в повече. Моля ви ако някой е много навътре в това pfsense и знае какво точно и каде трябва да се пише да щрака на лично и да се гласи да обеснява като на супер начинаещ. Готов съм да пращам скриинове ако трябва и достъп отдалечен да изляза от тая каша

Готов съм да пращам скриинове ако трябва и достъп отдалечен да изляза от тая каша

Ако дадеш информацията, която исках...

В BSD дистрибуциите има голяма свобода за писане на правила в защитната стена, но тя работи на коренно различен принцин в сравнение с тази на Линукс. Трябва да знаеш какво правиш.

mystical    писах ти на лично

Малко теория, в FreeBSD и базираните дистрибуции всеки пакет се проверява два пъти в Layer 3. Ако ipfw/pf работят и на Layer 2 тогава всеки пакет минава 4 проверки.

Движението на пакета в мрежовия стек обобщено изглежда така:
драйвер на лан карта -> вход (IN) -> ipfw/pf (първа проверка) -> изход (OUT) -> ipfw/pf (втора проверка) -> драйвер на лан карта

Политиката по-подразбиране е drop. За да се виждат под мрежите 192.168.3.0/24 <-> 192.168.15.0/24 трябва, да се добавят две правила:

1. src 192.168.3.0/24 -> dst 192.168.15.0/24
2. src 192.168.15.0/24 -> dst 192.168.3.0/24

Така за всички мрежи или може да се използват две двойки правила с in, out на интерфейс.
Най-добре е, да се използват таблици, където да се опишат под мрежите.

nat-та не е като в Линукс, даже всичко да е добре направено, калпави нат правила, може да счупят много неща.

Ако Gec даде читави логове от pf, някой който разбира от pf може да му помогне.
Защитна стена с уеб интерфейс не означава, готово решение на проблеми, ако не знаеш какво правиш. Не напразно хората предлагат платена поддръжка и основно печелят от там.

Да приемем ли,че всичко работи? Ако всичко работи колегата научи ли уроците?


Нека да припомним и една  статия от тази година.

http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=494829238

"Не напразно хората предлагат платена поддръжка и основно печелят от там." Правилно.

Нека да припомним и една  статия от тази година.

http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=494829238

"Не напразно хората предлагат платена поддръжка и основно печелят от там." Правилно.

Това, че има такава статия е похвално, но тя трябва да се чете внимателно, защото долното:

На фигури 1-а и 1-б е показана хипотетична система на два мрежови адаптера fxp0 и fxp1. Схема 1-а показва физическата връзка, а схема 1-б е логическата връзка. Нас ни интересува повече логическата - на нея ще видим, че във всяка мрежова връзка трафика има два пътя - IN и OUT. Както лесно може да се досетите, през път IN постъпва трафик, идващ към нас от мрежата, а през път OUT преминава трафика, който е адресиран да напусне мрежата, към която е свързана мрежовият адаптер. По този начин, връщайки се към примера на система с две мрежови карти, можем да видим, че тя има четири пътя за трафика. Когато добавим към системата допълнителни мрежови адаптери схемата се разширява.

не е съвсем точно. Няма такова понятие като „път на трафика“ в една мрежова връзка. Пътят е един, а посоките на движение на пакетите с данни по него са две -- отвън навътре и обратно. Не виждам смисъл от такова усложняване на нещата, но това вече е за коментар към статията, а не за тук.

Усещам че съм много близо до целта  :D
Въпроса е от картинката долу в меню Openvpn ли трябва да задавам IP адресите или в меню WAN

това е изглед от главния рутер 192.168.3.1

Еврика... сложи GW. Обмисли внимателно  'път' от 'към' 'през' ...

Gec, в първа страница ти казах, че преди време съм го ползвал това за рутер и у нас в нашите форуми няма да намериш много инфо! Сега се чудя, англичански не знаеш ли, защото не мога да разбера как фирма с 3 физически обекта с мрежи и ВПН-ни са те наели на работа, ако и англииски не знаеш!
Явно и са цинции търсещи тънко да минат и за малко пари са те наели, ама обясни им, че не си чак толкоз голям специалист и ти се налага да ползваш услуги от други доста по-скъпи от теб и да заделят за тази цел някой лев, защото ще им излезе доста по-скъпо да си то наемат за постоянно вместо теб! Цял месец не можете да свържете 3 обекта!
В моята работа аз съм си шефа. Доста работи знам, но все ми се налага да ползвам и платени услуги на доста по-знаещи и можещи от мен. За сериозна работа на форуми не може да се разчита. Ако това го прокараш пред шефовете си така, че да си го натикат в малоумните тикви, и ти покрай тези специалисти ще научиш на готово много нови неща!