Jump to content

Організація локальних мереж за допомогою pfSense


Recommended Posts

Допоможіть організувати локальні мережі найбільш оптимальним способом. Маємо двох провайдерів, один з яких надає дінамічну, а другий, відповідно, статичну IP-адреси. Також є локальна мережа користувацьких машин та окрема мережа для серверів. В якості файєрволла та маршрутизатора стоїть pfSense з 4-ма інтерфейсами. На даний час все побудовано по схемі, наведеній на малюнку, та поки що працює наступним чином - трафік від USERS LAN йде на wan_dhcp, а від SERV LAN відповідно на wan_static. Трафік між USERS LAN та SERV LAN регулюється відповідними правилами

 

1005206755_.thumb.jpg.22db0df22c4d643ec3764b56f11395ff.jpg

 

Питання наступне. Чи є така схема в данному випадку найоптимальнішою? Чи слід так робити, або, якщо ні, то як би ви порадили зробити?

Link to post
Share on other sites
3 часа назад, hellion1986 сказав:

Допоможіть організувати локальні мережі найбільш оптимальним способом. Маємо двох провайдерів, один з яких надає дінамічну, а другий, відповідно, статичну IP-адреси. Також є локальна мережа користувацьких машин та окрема мережа для серверів. В якості файєрволла та маршрутизатора стоїть pfSense з 4-ма інтерфейсами. На даний час все побудовано по схемі, наведеній на малюнку, та поки що працює наступним чином - трафік від USERS LAN йде на wan_dhcp, а від SERV LAN відповідно на wan_static. Трафік між USERS LAN та SERV LAN регулюється відповідними правилами

 

1005206755_.thumb.jpg.22db0df22c4d643ec3764b56f11395ff.jpg

 

Питання наступне. Чи є така схема в данному випадку найоптимальнішою? Чи слід так робити, або, якщо ні, то як би ви порадили зробити?

Яка у вас швидкість інтернету?

Link to post
Share on other sites
20 минут назад, hellion1986 сказал:

По динамічному ІР 100 МБіт/с, по статичному 10 МБіт/с

Тоді треба ставити мікротик.

  • Like 1
Link to post
Share on other sites
49 минут назад, ntp сказал:

Тоді треба ставити мікротик.

Чому?? Вже є налаштований pfSense. Мікротік теж гарна річ, але його треба придбати

Link to post
Share on other sites
14 минут назад, hellion1986 сказал:

Чому?? Вже є налаштований pfSense. Мікротік теж гарна річ, але його треба придбати

Тому, що коли треба щось зробити - треба мікротік.

Якщо це не допоможе - треба більше мікротиків.

Жартую, звісне :) Але в мене так)

  • Like 1
Link to post
Share on other sites

нахіба вам два ван? Там де динамічна адреса якийсь домашній провайдер за три копійки що не дає статичну адресу? )) 

Link to post
Share on other sites
9 минут назад, Туйон сказал:

Тому, що коли треба щось зробити - треба мікротік.

Якщо це не допоможе - треба більше мікротиків.

Жартую, звісне :) Але в мене так)

Справа не в залізі🙂 По pfSense багато моментів, я їх запитую на форумі нетгейта. В мене запитання по самій схемі, доцільно робити так, чи є якісь більш, скажемо так, "розумні" варіанти?)

6 минут назад, tkapluk сказал:

нахіба вам два ван? Там де динамічна адреса якийсь домашній провайдер за три копійки що не дає статичну адресу? )) 

Ні, один і той самий провайдер. Статика йде на серверну підмережу для доступу зовні. Для користувачів динаміка 100 мегабіт

Link to post
Share on other sites

Задача полягає в наступному. Сервери в окремій підмережі повинні мати статичну адресу для доступу зовні. Звичайні користувачі в іншій підмережі повинні виходити в Інтернет і більш нічого + окремі користувачі мали доступ до серверів.

Я зробив так, як на схемі, і поки що все ніби то працює (чи мені так здається😆). Питання - чи "по-розуму" так, або як можна зробити краще?

Link to post
Share on other sites
11 минут назад, hellion1986 сказал:

Питання - чи "по-розуму" так, або як можна зробити краще?

Нащо тобі два ван та ще й від одного провайдера..? та ще й з такою зарізаною швидкістю для серверів. Зливати бекапи на іншу площадку на швидкості 10мб/с - це біль. Тримати бекапи в умовах війни на одній площадці теж не дуже розумно. 

Зайду з іншого боку. Чим тебе не влаштовує один канал 100 мб/с з декількома ip/підмережами для користувачів/серверів? 

ну чи візьми ці канали від різних провайдерів, забезпеч резервування... 

Edited by tkapluk
  • Like 2
Link to post
Share on other sites
3 часа назад, tkapluk сказал:

Нащо тобі два ван та ще й від одного провайдера..? та ще й з такою зарізаною швидкістю для серверів. Зливати бекапи на іншу площадку на швидкості 10мб/с - це біль. Тримати бекапи в умовах війни на одній площадці теж не дуже розумно. 

Зайду з іншого боку. Чим тебе не влаштовує один канал 100 мб/с з декількома ip/підмережами для користувачів/серверів? 

ну чи візьми ці канали від різних провайдерів, забезпеч резервування... 

Припускаю, що таким чином людина хоче відділити звичайних юзерів від підмережі серваків, але 2 WAN тут все одно зайві, коли пров один.

Link to post
Share on other sites
36 минут назад, Twissell сказал:

Припускаю, що таким чином людина хоче відділити звичайних юзерів від підмережі серваків, але 2 WAN тут все одно зайві, коли пров один.

Ви праві. У мене окрема підмережа юзерів, і окрема для серверів. До серверів має бути доступ зовні

 

P.S. Я більш по "залізу", в мережевих технологіях поки ще іноді не зовсім добре, тому і питаю тут на форумі 🙂 Поясніть, чому два WAN зайві у випадку одного провайдера, якщо на одному з них динамічна ІР, а на іншому статична?

Link to post
Share on other sites
12 минут назад, hellion1986 сказал:

У мене окрема підмережа юзерів, і окрема для серверів.

2 local vlan + SRC-NAT для ваших інтернетів

13 минут назад, hellion1986 сказал:

До серверів має бути доступ зовні

DST-NAT

 

Це якщо по бомжатськи.

 

 

Можна попросити статікою якусь /27 у прова, та поділити між 2-ма vlans. Для юзерів зробити persistent в якусь /28 а залишившуюся /28 на сервера зробити

  • Like 1
Link to post
Share on other sites
27 минут назад, Dimkers сказал:

2 local vlan

В мене немає керованих комутаторів

29 минут назад, Dimkers сказал:

Це якщо по бомжатськи

Це як раз в моєму випадку😆

Link to post
Share on other sites
2 часа назад, hellion1986 сказал:

Поясніть, чому два WAN зайві у випадку одного провайдера, якщо на одному з них динамічна ІР, а на іншому статична?

Бо це не має сенсу. Ті всі динамічні та статичні адреси можна засунути у один канал. 

 

1 час назад, hellion1986 сказал:

В мене немає керованих комутаторів

та яка різниця, зараз воно у тебе якось працює. Так само буде працювати якщо буде один wan. 

Link to post
Share on other sites
7 часов назад, Туйон сказав:

Тому, що коли треба щось зробити - треба мікротік.

Якщо це не допоможе - треба більше мікротиків.

Жартую, звісне :) Але в мене так)

Если и после этого не поможет - надо камбалу 

 

А по факту, если всё работает, и устраивает, то зачем его ковырять? Лишь бы что то поделать?

2 независимых входа от одного провайдера как минимум резервирование кабеля от абонентского устройства до провайдерского. + разные порты в комутаторе (статика, знаете ли, любит медные порты даже в кабель канале).

Link to post
Share on other sites
3 часа назад, hellion1986 сказал:

В мене немає керованих комутаторів

У вас 2 локальних порти. Якщо далі тупарі - то тоді без вланів. Різні мережі та ї все. Принципово нічого не змінюється. Якщо абонів небагато, то навіть можна через 1 білу адресу всіх пустити, яка буде отримуватись за DHCP...

 

Edited by Dimkers
Link to post
Share on other sites
1 час назад, tkapluk сказал:

та яка різниця, зараз воно у тебе якось працює. Так само буде працювати якщо буде один wan. 

Ну та може 100М у першому WAN це якась нестабільна постоянно рвучая оптика, а другий WAN - 10М але вже по радіво :D

  • Haha 2
Link to post
Share on other sites
В 28.02.2024 в 15:41, hellion1986 сказав:

Чи є така схема в данному випадку найоптимальнішою? Чи слід так робити, або, якщо ні, то як би ви порадили зробити?

Ні, так робити не слід. Треба придбати у провайдера нормальний канал з парою білих ІП і викинути всю цю "схему". Продавати юзерам домащній же інет конкурента це потужний бізнес.

  • Like 1
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By OstJoker
      Новий міні-ПК, в заводській упаковці. В наявності 2 шт. Фото актуального товару.
      Повністю пасивне охолодження через металевий корпус. Чудовий варіант для побудови роутера, фаєрвола, сервера IoT і т.д. Помірне споживання електроенергії.
      Короткі характеристики:
      Процесор: 4 ядра  Intel® Atom® processor E3940 (9.5W, 4C)
      Оперативна память:  Up to 8GB Unbuffered non-ECC SO-DIMM, DDR3L-1866MHz, in 1 DIMM socket (опції нижче)
      SSD: 1 SATA 3.0 for 7mm 2.5" SATA SSD OR1 M.2 B-Key 2242 for SATA SSD (опції нижче)
      Мережа: 5 LAN with Intel® Ethernet Controller I210-IT RJ45 Gigabit Ethernet
      Інше: 2xHDMI, Audio, 2xUSB2.0, 2xUSB3.0, COM, TPM, M.2
      Зовнішній БЖ в комплекті 40W 12V 3.33A, AC to DC lockable power adapter.
      Детальна специфікація, фото, даташит на офіційному сайті супермікро: 
      https://www.supermicro.com/en/products/system/Box_PC/SYS-E50-9AP-N5.cfm
      Ціна: 4440 грн.
      Додаткові опції: 
      1. Новий ССД Samsung PM883 240GB SATA3 - 770 грн. 
      2. Б.в. оперативна пам"ять 2Gb PC3L-12800s (1.35В 1600Мгц) - 60 грн.
      3. Б.в. оперативна пам"ять 4Gb PC3L-12800s (1.35В 1600Мгц) - 120 грн.









    • By r_28
      Потрібен фахівець для віддаленої допомоги/консультування щодо поглибленого налаштування ПО PFSENSE.  
      Тема  BGP,DualWAN,NAT та інш.
      Не безкоштовно.
       
      Подробиці у приват.
       
    • By Пантелеймон
      Здравствуйте! Подскажите пожалуйста, настроил captive portal по мануалу, но не могу понять каким образом должен отключаться интернет должникам. Вроде бы это должно регулироваться атрибутами NAS и сервисами PoD CoA, но как точно не знаю.. 
       
    • By Bogdan.Lukashov
      Добрый день, перелопатил много железок в сети по цене обычно от 4000$ + UTM лицензия пример Fortinet, etc.
       
      У меня вопрос к сисадминам, хотим реализовать 40Gbps Firewall на мощном серваке на 40 ядер + 40 потоков итого 80 CPU.   
       
      DL560 G8 4x E5-4650 V2 + 192Gb DDR + NVMe. + 40Gbps карту 2х портовую поставить посвежее. 
       
      Поднять все это на OS pfSense дистрибутиве.
       
      Сможем ли фильтровать с помощью такого решения вредные пакеты и аномалии атаки?  
       
      Буду рад любому ответу. 
    • By ydahaa
      Здравствуйте. Имеется небольшая сеть, на основе pfsense, pppoe server небольшой поднял. Заинтересовался ubilling поставил на сервачок) а как связать pfsense и ubilling хз, документашку читаю на сайте но что то не вижу ответа
      Подскажите пожалуйста
×
×
  • Create New...