На форуме запрещен обмен fullflash [дампы с любых устройств, содержащих уникальную информацию, позволяющую идентифицировать устройство в сети] и прямые ссылки в сообщениях на сторонние ресурсы, если это не ресурсы рекламодателей.
В 2.0-альфа версии проблемы с файерволом.
Если прописать правило с accept а через некоторое время с drop то установившиеся соединения будут жить.
Но это проблема не pfsense, а pf в 7 фре (и то не проблема а настройки keep state). изза этого его проблематично использовать этот дистр для системы с динамическими правилами фильтрации.
Есть машина которая используется в качестве шлюза между моей локалкой и интернетом.
Интернет роздается провайдером через PPTP VPN подключение, то есть машина подключена к провайдеру через сетевуху (адрес получаю динамически), чтоб получить доступ к интернету нужно создать PPTP VPN подключение (внешний ИП адрес при поднятом ВПНе получаю также динамически).
Железо на котором стоит PFSense 1.2.3 RC1
С700/128mb/Video S3 PCI 2mb /HDD 1 gb Quantum/2 LAN (Realtec and Dlink)/CDROM (как же без него smile.gif )
Нужно поднять PPTP VPN подключение на этом ящике и роздать его на локалку (без поднятия ВПН сервера хотя там он есть, можно просто чтобы машина для локалки моей была в качестве шлюза. Адресация в локалке статика)
То что сделал в двух словах:
Поставил на хард систему и сконфигурировал WAN и LAN, от конфигурации VLAN при установке отказался.
Зашол через веб морду на WAN (смотрит на провайдера) весит ИП получена динамически. Поскольку в PFSense 1.2.3 RC1 PPTP VPN можно поднять только на WAN поэтому локалку которая смотрит перетяг на интерфейс VLAN который создал и сделал настройки чтобы получал он ИП по DHCP, настройки WANа сконфигурировал под PPTP VPN, но к сожалению виртуальный VLAN ИП по DHCP не получил и вообще ничего не получилось.
Подробно то что делал:
динамически.
Нужно организовать раздачу интернета на локалку в которой 4 машины, настроить NAT, без поднятия ППТП сервера. IP в локалке прописаны статически.
Установил PFSens 1.2.3 RC1 отказался от настройки VLAN при установке, но настроил LAN указав статический IP.
В результате появилось два интерфейса
LAN --- LAN interface (vr0)
IP 10.182.192.1
WAN --- WAN interface (rl0) по DHCP получил IP
(с винды содрал настройки сетевухи та что смотрит на провайдера все по DHCP
ip 10.1.5.123
DNS 10.1.0.11
DHCP Server 10.1.0.12 провайдера
GW 10.1.5.1
при поднятом ВПНе локалка не доступна ну и ладно.
ВПН имеет такие настройки
конектюсь с локалки на 10.1.0.10
MSCHAP V2
MPPE128
ip servera 10.10.10.10
ip client 91.*.*.*
)
На форуме и в обзоре написано что PPTP Client можно поднять только на WAN интерфейсе, потому локалку нужно перетащить с WAN на OPT1 который нужно предварительно создать.
Потому пошел в Interfaces-->(assign)---> VLANs жму добавить новый VLAN
в Parent interface выбираю rl0 тот что смотрит на провайедра и в данный момент являеться WAN.
В VLAN tag ставлю 2 (не знаю вообще что это такое, наверное просто нумерация виртуальных ланов).
В Description ставлю VProv (чтоб для меня было понятно что интерфейс смотрит на провайдера) жму сохранить.
В Верху после сохранения появилось сообщение " VLAN configuration has changed. WARNING: You may need to reboot for the changes to take effect." reboot так reboot.
После перезагрузки иду в Interfaces-->(assign)---> Interface assignments и жму плюсик, после чего добавился новый интерфейс OPT1
В параметре нового интерфейса Network port выбираю созданый мною VLAN интерфейс VProv и жму сохранить.
После сохранения появилось сообщение The changes have been applied successfully. You can also monitor the filter reload progress. жму на монитор в конечном результате появился меседж типа трафик шнапик отключен.
Далее иду в Interfaces-->OPT1 и заполняю параметры интерфейса, а именно Description прописал Provider (то есть переименовал интерфейс созданный)
В General configuration Type поставил DHCP, там где MAC address нажал Copy my MAC address, появился мас который сооствествует интерфейсу смотрящий на провайдера.
В MTU поставил 1500
Ставлю галочку Enable Optional 1 interface и жму сохранить.
После сохраняловки вновь сообщение The changes have been applied successfully. You can also monitor the filter reload progress. жму на монитор как и в предыдущий раз.
Раз новый интерфес на мое мнение настроен но ип еще не получил поскольку WAN работает с локалкой провайдера нужно WAN перенастроить на PPTP VPN. Иду в Interfaces --> WAN
Type ставлю PPTP
MAC address жму Copy my MAC address
MTU ставлю 1460 (по совету провайдера)
Далее в PPTP configuration
Username **************
Password **************
Local IP address (здесь наверное пишиться IP внешний при поднятом впне у меня он при каждом подлючении изменяеться потому просто забиваю 0.0.0.0 может просто оставить его пустым не знаю, а может вовсе ошибаюсь что это такое)
Remote IP address 10.1.0.10 (такой как в винде по которому подымается ВПН)
ниже стоят галочки на:
Disable the userland FTP-Proxy application
Block private networks
Block bogon networks
Больше ничего не прописываю
жму сейв.
Перегрузил систему виртуальный интерфейс не поднялся, точнее не получил IP от провайдера (про впн тем более нечего сказать)
Рули не прописывал.
В System ---General Setup прописал DNS локалки провайдера 10.1.0.11
перегрузил машину та сама ситуация.
Полез в Firewall--->Rules (может руля нужно повернуть внужную сторону но для начала вообще прицыпить потому что там пусто. Без руля никакая техника никуда наверное ехать не хотит)
Методом научного тыка создаем правило на интерфейс Provider (настройки локалки как бы я старался на него перетянуть) как бы виртуальная ситевуха
имеет вот такой вид
правила для WAN по умолчанию имеет такой вид
В интерфейсе LAN вовсе никаках правил нет.
NAT нужен
но еще не пробовал не дошла очередь
(статью про настройки корбина телеком тож читал, по поводу того что железный фаервол с такими настройками пошлят, решил перезвонить к провайдеру какой роутер он может предложить для впн под его настройки с тем что есть предложил длинковские модели что вродь проблем нет и статику адресов заказывать не нужно)
Комментарий