Організація локальних мереж за допомогою pfSense

[hellion1986 0]

Допоможіть організувати локальні мережі найбільш оптимальним способом. Маємо двох провайдерів, один з яких надає дінамічну, а другий, відповідно, статичну IP-адреси. Також є локальна мережа користувацьких машин та окрема мережа для серверів. В якості файєрволла та маршрутизатора стоїть pfSense з 4-ма інтерфейсами. На даний час все побудовано по схемі, наведеній на малюнку, та поки що працює наступним чином - трафік від USERS LAN йде на wan_dhcp, а від SERV LAN відповідно на wan_static. Трафік між USERS LAN та SERV LAN регулюється відповідними правилами

 

 

Питання наступне. Чи є така схема в данному випадку найоптимальнішою? Чи слід так робити, або, якщо ні, то як би ви порадили зробити?

[Stalker1 136]

3 часа назад, hellion1986 сказав:

Допоможіть організувати локальні мережі найбільш оптимальним способом. Маємо двох провайдерів, один з яких надає дінамічну, а другий, відповідно, статичну IP-адреси. Також є локальна мережа користувацьких машин та окрема мережа для серверів. В якості файєрволла та маршрутизатора стоїть pfSense з 4-ма інтерфейсами. На даний час все побудовано по схемі, наведеній на малюнку, та поки що працює наступним чином - трафік від USERS LAN йде на wan_dhcp, а від SERV LAN відповідно на wan_static. Трафік між USERS LAN та SERV LAN регулюється відповідними правилами

 

 

Питання наступне. Чи є така схема в данному випадку найоптимальнішою? Чи слід так робити, або, якщо ні, то як би ви порадили зробити?

Яка у вас швидкість інтернету?

[hellion1986 0]

По динамічному ІР 100 МБіт/с, по статичному 10 МБіт/с

[ntp 71]

20 минут назад, hellion1986 сказал:

По динамічному ІР 100 МБіт/с, по статичному 10 МБіт/с

Тоді треба ставити мікротик.

[hellion1986 0]

49 минут назад, ntp сказал:

Тоді треба ставити мікротик.

Чому?? Вже є налаштований pfSense. Мікротік теж гарна річ, але його треба придбати

[Туйон 1 087]

14 минут назад, hellion1986 сказал:

Чому?? Вже є налаштований pfSense. Мікротік теж гарна річ, але його треба придбати

Тому, що коли треба щось зробити - треба мікротік.

Якщо це не допоможе - треба більше мікротиків.

Жартую, звісне  Але в мене так)

[tkapluk 871]

нахіба вам два ван? Там де динамічна адреса якийсь домашній провайдер за три копійки що не дає статичну адресу? )) 

[hellion1986 0]

9 минут назад, Туйон сказал:

Тому, що коли треба щось зробити - треба мікротік.

Якщо це не допоможе - треба більше мікротиків.

Жартую, звісне  Але в мене так)

Справа не в залізі🙂 По pfSense багато моментів, я їх запитую на форумі нетгейта. В мене запитання по самій схемі, доцільно робити так, чи є якісь більш, скажемо так, "розумні" варіанти?)

6 минут назад, tkapluk сказал:

нахіба вам два ван? Там де динамічна адреса якийсь домашній провайдер за три копійки що не дає статичну адресу? )) 

Ні, один і той самий провайдер. Статика йде на серверну підмережу для доступу зовні. Для користувачів динаміка 100 мегабіт

[hellion1986 0]

Задача полягає в наступному. Сервери в окремій підмережі повинні мати статичну адресу для доступу зовні. Звичайні користувачі в іншій підмережі повинні виходити в Інтернет і більш нічого + окремі користувачі мали доступ до серверів.

Я зробив так, як на схемі, і поки що все ніби то працює (чи мені так здається😆). Питання - чи "по-розуму" так, або як можна зробити краще?

[tkapluk 871]

11 минут назад, hellion1986 сказал:

Питання - чи "по-розуму" так, або як можна зробити краще?

Нащо тобі два ван та ще й від одного провайдера..? та ще й з такою зарізаною швидкістю для серверів. Зливати бекапи на іншу площадку на швидкості 10мб/с - це біль. Тримати бекапи в умовах війни на одній площадці теж не дуже розумно. 

Зайду з іншого боку. Чим тебе не влаштовує один канал 100 мб/с з декількома ip/підмережами для користувачів/серверів? 

ну чи візьми ці канали від різних провайдерів, забезпеч резервування... 

Відредаговано 2024-02-29 08:24:56 tkapluk

[Twissell 6]

3 часа назад, tkapluk сказал:

Нащо тобі два ван та ще й від одного провайдера..? та ще й з такою зарізаною швидкістю для серверів. Зливати бекапи на іншу площадку на швидкості 10мб/с - це біль. Тримати бекапи в умовах війни на одній площадці теж не дуже розумно. 

Зайду з іншого боку. Чим тебе не влаштовує один канал 100 мб/с з декількома ip/підмережами для користувачів/серверів? 

ну чи візьми ці канали від різних провайдерів, забезпеч резервування... 

Припускаю, що таким чином людина хоче відділити звичайних юзерів від підмережі серваків, але 2 WAN тут все одно зайві, коли пров один.

[hellion1986 0]

36 минут назад, Twissell сказал:

Припускаю, що таким чином людина хоче відділити звичайних юзерів від підмережі серваків, але 2 WAN тут все одно зайві, коли пров один.

Ви праві. У мене окрема підмережа юзерів, і окрема для серверів. До серверів має бути доступ зовні

 

P.S. Я більш по "залізу", в мережевих технологіях поки ще іноді не зовсім добре, тому і питаю тут на форумі 🙂 Поясніть, чому два WAN зайві у випадку одного провайдера, якщо на одному з них динамічна ІР, а на іншому статична?

[Dimkers 1 540]

12 минут назад, hellion1986 сказал:

У мене окрема підмережа юзерів, і окрема для серверів.

2 local vlan + SRC-NAT для ваших інтернетів

13 минут назад, hellion1986 сказал:

До серверів має бути доступ зовні

DST-NAT

 

Це якщо по бомжатськи.

 

 

Можна попросити статікою якусь /27 у прова, та поділити між 2-ма vlans. Для юзерів зробити persistent в якусь /28 а залишившуюся /28 на сервера зробити

[hellion1986 0]

27 минут назад, Dimkers сказал:

2 local vlan

В мене немає керованих комутаторів

29 минут назад, Dimkers сказал:

Це якщо по бомжатськи

Це як раз в моєму випадку😆

[tkapluk 871]

2 часа назад, hellion1986 сказал:

Поясніть, чому два WAN зайві у випадку одного провайдера, якщо на одному з них динамічна ІР, а на іншому статична?

Бо це не має сенсу. Ті всі динамічні та статичні адреси можна засунути у один канал. 

 

1 час назад, hellion1986 сказал:

В мене немає керованих комутаторів

та яка різниця, зараз воно у тебе якось працює. Так само буде працювати якщо буде один wan. 

[H_U_L_K 272]

7 часов назад, Туйон сказав:

Тому, що коли треба щось зробити - треба мікротік.

Якщо це не допоможе - треба більше мікротиків.

Жартую, звісне  Але в мене так)

Если и после этого не поможет - надо камбалу 

 

А по факту, если всё работает, и устраивает, то зачем его ковырять? Лишь бы что то поделать?

2 независимых входа от одного провайдера как минимум резервирование кабеля от абонентского устройства до провайдерского. + разные порты в комутаторе (статика, знаете ли, любит медные порты даже в кабель канале).

[Dimkers 1 540]

3 часа назад, hellion1986 сказал:

В мене немає керованих комутаторів

У вас 2 локальних порти. Якщо далі тупарі - то тоді без вланів. Різні мережі та ї все. Принципово нічого не змінюється. Якщо абонів небагато, то навіть можна через 1 білу адресу всіх пустити, яка буде отримуватись за DHCP...

 

Відредаговано 2024-02-29 16:36:46 Dimkers

[Dimkers 1 540]

1 час назад, tkapluk сказал:

та яка різниця, зараз воно у тебе якось працює. Так само буде працювати якщо буде один wan. 

Ну та може 100М у першому WAN це якась нестабільна постоянно рвучая оптика, а другий WAN - 10М але вже по радіво

[Туйон 1 087]

Срочно нужно в третий порт вставить комбайн, тогда и первый и второй порт будет не нужен, скорость будет 1000+ мегабит.

[KaYot 3 605]

В 28.02.2024 в 15:41, hellion1986 сказав:

Чи є така схема в данному випадку найоптимальнішою? Чи слід так робити, або, якщо ні, то як би ви порадили зробити?

Ні, так робити не слід. Треба придбати у провайдера нормальний канал з парою білих ІП і викинути всю цю "схему". Продавати юзерам домащній же інет конкурента це потужний бізнес.

[Stalker1 136]

12 часов назад, hellion1986 сказав:

По динамічному ІР 100 МБіт/с, по статичному 10 МБіт/с

Микротика  за глаза хватит