Титла: Въпрос за pfsense Публикувано от: Gec в Sep 20, 2017, 10:28 Здравейте. Схемата е следната: В момента имам един Микротик към който са вързани с IPSEC два pfsensa в различни градове. Достъпвайки отдалечено през ППП отдалечен достъп към микротика виждам всички LAN (зад всеки рутер има Lan). Понеже това ППП става все по Ненадеждно и по съвет на предишния администратор реших да сменя Микротика с Pfsense за да достъпвам отдалечено чрез опенвпн. Настройките на Pfsensa докарах до ниво: има изградени ИПСЕк с другите 2 Pfsensa. Настойх и Openvpn сървър. Подкарах и Впн клиент чрез който правя връзка но виждам само Lan който е след Пфсенса. Идеята ми е да виждам през този опенвпн всички Lan след всеки пфсенс. Ако някой може да ми помогне моля да ми пише за да му подап по подробна информация тъй-като съм супер начинаещ в материята и голяма част от описаната система ми е завещание.
Титла: Re: Въпрос за pfsense Публикувано от: backinblack в Sep 20, 2017, 11:04 Аз преди доста време ползвах Сенс за рутер като вируална машина в ESXi сървър. Тази система е много добра, но за интернет провайдери. Ако целта ти е да свържеш 2-3 физически обекта да работят в нещо като виртуален офис, мисля, че трябва помислиш за съвсем друго решение и промяна на цялостното организация. Това, което искаш да постигнеш със Сенс-а, можеш да го реализираш и с Лунукс сървър с Webmin/Virtualmin и Shorewall за рутер, дали е по-добро е много относително, но по-лесно ще намериш информация кое и как да направиш от колкото със Сенс. От друга страна, всеки офис има нужда и от мрежови файлов сървър за споделените ресурси да са на него и същия този рутер може да ти изпълнява и тази роля. Аз също развивам нещо като виртуален офис и съм се спрял на съвсем други решения, като едно от тях е това с Шореуол-а. Ако правилно съм ти разбрал идеята и желаеш, можем да обсъдим нещата с повече подробности за предимства и недостатъци.
Титла: Re: Въпрос за pfsense Публикувано от: Gec в Sep 20, 2017, 14:35 Тук съм в заварено положение ако питаш мен нищо не ми се пипа (основен закон в мрежите - нещо върви ли не го пипай) хахах, но най безболезнено според мен е да се опитам да оправя опенвпн и да се моля прехвърляйки устроиствата от микротика към пфсенса (файлов НАС сървър и ЕРП система) да тръгнат без проблеми. Твоят начин може да е по лесен но за мен е съвсем тъмна материя а и ми говориш изцяло за промяна на мрежата ми. Немога да си го позволя с моите знания и възможности.
Титла: Re: Въпрос за pfsense Публикувано от: backinblack в Sep 20, 2017, 15:21 Тук съм в заварено положение ако питаш мен нищо не ми се пипа (основен закон в мрежите - нещо върви ли не го пипай) хахах, но най безболезнено според мен е да се опитам да оправя опенвпн и да се моля прехвърляйки устроиствата от микротика към пфсенса (файлов НАС сървър и ЕРП система) да тръгнат без проблеми. Твоят начин може да е по лесен но за мен е съвсем тъмна материя а и ми говориш изцяло за промяна на мрежата ми. Немога да си го позволя с моите знания и възможности. Най-скъпия вариант е да се крепи нещо с грешен дизайн в основата си. Титла: Re: Въпрос за pfsense Публикувано от: backinblack в Sep 20, 2017, 15:26 ЕРП системата трябва да е на централен сървър и достъпна от всички. За това ги правят и уеб базирани. Ако на отдалечените места имат файлови сървъри под линукс, ако на този централен сървър туриш един оунклоуд, ще можеш да ги свържеш в клоуда по ССХ
Доста ще да е тъпо, ако ЕРП системата е достъпна само от локалната мрежа и поради тази причина да се налага пускаш ВПН клиенти. Иначе със сигурност Сенса е по-добро от микротика. Титла: Re: Въпрос за pfsense Публикувано от: 10101 в Sep 20, 2017, 15:39 Тук съм в заварено положение ако питаш мен нищо не ми се пипа (основен закон в мрежите - нещо върви ли не го пипай) хахах, но най безболезнено според мен е да се опитам да оправя опенвпн и да се моля прехвърляйки устроиствата от микротика към пфсенса (файлов НАС сървър и ЕРП система) да тръгнат без проблеми. Твоят начин може да е по лесен но за мен е съвсем тъмна материя а и ми говориш изцяло за промяна на мрежата ми. Немога да си го позволя с моите знания и възможности. Имаш лично. Титла: Re: Въпрос за pfsense Публикувано от: Gec в Sep 20, 2017, 15:44 Ще ми трябват 7-8 ВПН и се надявам ИРП да може да се достъпва без някакви допълнителни настройки от Сентоса на който е качено. Затова искам да си осигуря пълен достъп от ВПН-те за всички Lan мрежи по рутерите и да си работят и с ИРП-то. То така или иначе ще е на Lan на главния пфсенс настоящия микротик
Титла: Re: Въпрос за pfsense Публикувано от: 10101 в Sep 20, 2017, 16:03 Кое не се получава ?
Титла: Re: Въпрос за pfsense Публикувано от: Gec в Sep 20, 2017, 16:13 Немога да достъпя Lan мрежите които са след двата пфсенса вързани с главния пфсенс със IPsec-ове. Към главния пфсенс достъпвам с опенвпн и виждам само неговия lan
Титла: Re: Въпрос за pfsense Публикувано от: Gec в Sep 20, 2017, 16:15 да пишем на лично сега видях :)
Титла: Re: Въпрос за pfsense Публикувано от: backinblack в Sep 20, 2017, 21:27 ЕРП на Сент ОС, явно е уеб базирано и опън сорс. Това е добре, но защо всичкото е толкоз малоумно зад рутер в локална мрежа, че после други локални мрежи да се свързват с тази! Представям си още колко малоумни неща правени от тъй наречените "специалисти"!
Ако искаш да си свършиш работата по възможно най-добрия начин, обясни им на шефовете, че съвсем от скоро има гейропепейска директива, която става задължителна за фирмите до 1 година и са измислили нови простотии, дето ще се наложи фирмите да инвестират не малко кинта в хардуер. Заради личните данни, всичко на сървърите трябва да е криптирано, барабар с БД. Връзките да са криптирани, ама и ключа да бъдел на трето място и куп още простотии! За теб като ИТ специалист е много по-важно и от шефовете ти да си запознат с тази директива. Вземи се запознай с нея и направо задвижи нещата още от сега да се приведат според изискванията на гейропейците, защото за големите фирми няма да има мърдане :) . Ние малките ще се спасим :) . Титла: Re: Въпрос за pfsense Публикувано от: jet в Sep 21, 2017, 00:57 black - Пак ти се губи главния герой и ръсиш умнотии. Прочети малко за ВПН-ите и за какво се ползват и тогава дрънкай. ВПН-пази и от 0-дей пробойни, за които ти нямаш никакво решение.
А този Шореуол по който припадаш е един уизард дето генерира iptables правила и един скрипт ги подава на ядрото (само един от многото бойлери за топла вода дето ти си открил). Титла: Re: Въпрос за pfsense Публикувано от: backinblack в Sep 21, 2017, 01:13 black - Пак ти се губи главния герой и ръсиш умнотии. Прочети малко за ВПН-ите и за какво се ползват и тогава дрънкай. ВПН-пази и от 0-дей пробойни, за които ти нямаш никакво решение. Не казвам, че е по-добро, защото и това по-добро е много относително, а, че има повече инфо. Преди време се занимавах със Сенс-а и само в чужди форуми успявах да изровя това и онова, което ме интересуваше, а съм споменавал и колко ми е добър янгличанския. Иначе съм чел, че в началото на лан мрежите за и-нет се е ползвал масово сенса. По това време компютрите бяха доста слаби и прекарвал много трафик с малко ресурс. Микротик не съм пипал, но съм чел също спорове, че сенса е доста по-добро. От друга страна, педерасите от гейсъюза са ни подготвили едни нови малоумни изисквания, дето, ще става много весело за големите фирми и на всичкото отгоре влизат са над конституционни! Нареждат и влизат в сила за целия ЕС. Та, тъй като цирка му се очертава да е голям, по-добре направо да мисли как още от сега да се подготвя. Титла: Re: Въпрос за pfsense Публикувано от: Archchancellor в Sep 21, 2017, 08:27 @Gec Предполагам openvpn-a ти раздава адреси от някаква X мрежа? Другите два PFsensa (освен основният, към който вдигаш openvpn тунела) знаят ли я тази мрежа? В смисъл - има ли рутинг?
Титла: Re: Въпрос за pfsense Публикувано от: Gec в Sep 21, 2017, 08:32 явно незнаят лошото е че и аз незная хахах и ще ми трябват подробни обеснения в кое меню как да ръчкам
Титла: Re: Въпрос за pfsense Публикувано от: 10101 в Sep 21, 2017, 09:11 Разгледах това което си ми пратил ..трябват ти рутинг- за мрежите.
Титла: Re: Въпрос за pfsense Публикувано от: Gec в Sep 21, 2017, 09:21 молбата ми е ако ти се занимава да ми опишеш каде точно по менютата какво да вкарвам. Много нешта не са ми ясни и ще са ми нужни подробности.
Титла: Re: Въпрос за pfsense Публикувано от: 10101 в Sep 21, 2017, 09:55 Имаш лично ..
Титла: Re: Въпрос за pfsense Публикувано от: BRADATA в Sep 21, 2017, 19:25 Добре де, що не си говорите само на лично? Само хабите форума...
Титла: Re: Въпрос за pfsense Публикувано от: 10101 в Sep 21, 2017, 19:40 Да, де ама все на едно място тъпчем :)) Но по отъпкани пътеки ще е по-лесно. Колегата има за домашно да тества ...подсказаха му преди мен и така. Ще стане ...
Титла: Re: Въпрос за pfsense Публикувано от: Gec в Sep 26, 2017, 15:51 Хайде няма ли кой да каже отиваш иди каде си пишеш това и това даваш този и този адрес и тръгва...... немога да се оправя с тези НАТ и файрлоу руут
Титла: Re: Въпрос за pfsense Публикувано от: Gec в Sep 26, 2017, 16:08 това е схемата ИП са адресите на ротерите
Титла: Re: Въпрос за pfsense Публикувано от: mystical в Sep 26, 2017, 22:10 Ако имаш достъп от главния pfSense към вътрешните мрежи на останалите рутери, предполагам, че е проблем със защитната стена.
Ако използваш ipfw, какъв е изхода от командата: Код: ipfw -a list Ако използваш pf, не мога да ти помогна, потърси в интернет. Какво има в рутиращата таблица (скрий си част от реалните IP адреси): Код: netstat -r Титла: Re: Въпрос за pfsense Публикувано от: remotexx в Sep 27, 2017, 01:36 Ще е много тъпо ако е така, но аз все пак да попитам
А ВПН към коя/каква мрежа те връзва - в смисъл достатъчно голяма ли му е маската? Защото ако е с /24 или 255.255.255.0 няма как да ги видиш всичките т.е. не и директно - не съм запознат с пфсенс, но предполагам че през неговите утилки може Титла: Re: Въпрос за pfsense Публикувано от: Archchancellor в Sep 27, 2017, 08:09 @Gec това не го ли писахме по-нагоре ? openvpn-a от коя мрежа ти раздава адреси? Тази мрежа видима ли е на другите два Pfsensa? Ако не е, някой трябва да ти разнесе рутинга (въпросната мрежа от която Опенвпн-а раздва адреси) по другите устройства. Поне виж и кажи дали е така. Не използвам Pfsense , ама от гоогле - The routing table on the firewall can be viewed at Diagnostics > Routes. IPv4 and IPv6 routes are displayed.
Титла: Re: Въпрос за pfsense Публикувано от: Gec в Sep 27, 2017, 08:36 проблема е че досегашният ми опит с ротери е само настройка на wan lan отваряне порт за ремут десктоп и това е. За firewall никакви познания, от линукс - почти никакви познания и изведнъж 3 pfsensa ок вързани са работят си по между после и опенвпн ок направих го сертификати ала бала само че това с достъпа до другите рутери направо ми дойде в повече. Моля ви ако някой е много навътре в това pfsense и знае какво точно и каде трябва да се пише да щрака на лично и да се гласи да обеснява като на супер начинаещ. Готов съм да пращам скриинове ако трябва и достъп отдалечен да изляза от тая каша
Титла: Re: Въпрос за pfsense Публикувано от: mystical в Sep 27, 2017, 09:26 Готов съм да пращам скриинове ако трябва и достъп отдалечен да изляза от тая каша Ако дадеш информацията, която исках... В BSD дистрибуциите има голяма свобода за писане на правила в защитната стена, но тя работи на коренно различен принцин в сравнение с тази на Линукс. Трябва да знаеш какво правиш. Титла: Re: Въпрос за pfsense Публикувано от: Gec в Sep 27, 2017, 09:34 mystical писах ти на лично
Титла: Re: Въпрос за pfsense Публикувано от: mystical в Sep 28, 2017, 06:33 Малко теория, в FreeBSD и базираните дистрибуции всеки пакет се проверява два пъти в Layer 3. Ако ipfw/pf работят и на Layer 2 тогава всеки пакет минава 4 проверки.
Движението на пакета в мрежовия стек обобщено изглежда така: драйвер на лан карта -> вход (IN) -> ipfw/pf (първа проверка) -> изход (OUT) -> ipfw/pf (втора проверка) -> драйвер на лан карта Политиката по-подразбиране е drop. За да се виждат под мрежите 192.168.3.0/24 <-> 192.168.15.0/24 трябва, да се добавят две правила: 1. src 192.168.3.0/24 -> dst 192.168.15.0/24 2. src 192.168.15.0/24 -> dst 192.168.3.0/24 Така за всички мрежи или може да се използват две двойки правила с in, out на интерфейс. Най-добре е, да се използват таблици, където да се опишат под мрежите. nat-та не е като в Линукс, даже всичко да е добре направено, калпави нат правила, може да счупят много неща. Ако Gec даде читави логове от pf, някой който разбира от pf може да му помогне. Защитна стена с уеб интерфейс не означава, готово решение на проблеми, ако не знаеш какво правиш. Не напразно хората предлагат платена поддръжка и основно печелят от там. Титла: Re: Въпрос за pfsense Публикувано от: 10101 в Sep 28, 2017, 09:28 Да приемем ли,че всичко работи? Ако всичко работи колегата научи ли уроците?
Нека да припомним и една статия от тази година. http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=494829238 "Не напразно хората предлагат платена поддръжка и основно печелят от там." Правилно. Титла: Re: Въпрос за pfsense Публикувано от: ddantgwyn в Sep 28, 2017, 13:50 Нека да припомним и една статия от тази година. Това, че има такава статия е похвално, но тя трябва да се чете внимателно, защото долното: Цитат На фигури 1-а и 1-б е показана хипотетична система на два мрежови адаптера fxp0 и fxp1. Схема 1-а показва физическата връзка, а схема 1-б е логическата връзка. Нас ни интересува повече логическата - на нея ще видим, че във всяка мрежова връзка трафика има два пътя - IN и OUT. Както лесно може да се досетите, през път IN постъпва трафик, идващ към нас от мрежата, а през път OUT преминава трафика, който е адресиран да напусне мрежата, към която е свързана мрежовият адаптер. По този начин, връщайки се към примера на система с две мрежови карти, можем да видим, че тя има четири пътя за трафика. Когато добавим към системата допълнителни мрежови адаптери схемата се разширява. не е съвсем точно. Няма такова понятие като „път на трафика“ в една мрежова връзка. Пътят е един, а посоките на движение на пакетите с данни по него са две -- отвън навътре и обратно. Не виждам смисъл от такова усложняване на нещата, но това вече е за коментар към статията, а не за тук. Титла: Re: Въпрос за pfsense Публикувано от: Gec в Sep 28, 2017, 14:18 Усещам че съм много близо до целта :D
Въпроса е от картинката долу в меню Openvpn ли трябва да задавам IP адресите или в меню WAN Титла: Re: Въпрос за pfsense Публикувано от: Gec в Sep 28, 2017, 14:58 това е изглед от главния рутер 192.168.3.1
Титла: Re: Въпрос за pfsense Публикувано от: 10101 в Sep 28, 2017, 16:01 Еврика... сложи GW. Обмисли внимателно 'път' от 'към' 'през' ...
Титла: Re: Въпрос за pfsense Публикувано от: backinblack в Sep 29, 2017, 02:18 Gec, в първа страница ти казах, че преди време съм го ползвал това за рутер и у нас в нашите форуми няма да намериш много инфо! Сега се чудя, англичански не знаеш ли, защото не мога да разбера как фирма с 3 физически обекта с мрежи и ВПН-ни са те наели на работа, ако и англииски не знаеш!
Явно и са цинции търсещи тънко да минат и за малко пари са те наели, ама обясни им, че не си чак толкоз голям специалист и ти се налага да ползваш услуги от други доста по-скъпи от теб и да заделят за тази цел някой лев, защото ще им излезе доста по-скъпо да си то наемат за постоянно вместо теб! Цял месец не можете да свържете 3 обекта! В моята работа аз съм си шефа. Доста работи знам, но все ми се налага да ползвам и платени услуги на доста по-знаещи и можещи от мен. За сериозна работа на форуми не може да се разчита. Ако това го прокараш пред шефовете си така, че да си го натикат в малоумните тикви, и ти покрай тези специалисти ще научиш на готово много нови неща! |