Программный маршрутизатор pfsense

Аватара пользователя
Amigo
Главный по форуму
Главный по форуму
Сообщения: 694
Зарегистрирован: 30 янв 2015, 14:54
Откуда: Москва
Операционная система: Windows 10
Благодарил (а): 69 раз
Поблагодарили: 33 раза
Пол: Мужской
Статус: Не в сети

Программный маршрутизатор pfsense

Сообщение Amigo » 19 апр 2019, 18:49

Использую для своей сети маршрутизатор на базе pfsense, если интересно - могу подсказать по настройкам, и опыте эксплуатации.
Также есть небольшая статья на сайте по общим настройкам - pfsense - шлюз за пять минут


Самое трудное - познать самого себя, самое легкое - давать советы другим.

Реклама
Аватара пользователя
Denisle
ТОП-0
ТОП-0
Сообщения: 5
Зарегистрирован: 23 дек 2019, 14:27
Откуда: SPb-Msk
Операционная система: W10
Благодарил (а): 1 раз
Пол: Не определён
Статус: Не в сети

Программный маршрутизатор pfsense

Сообщение Denisle » 23 дек 2019, 15:02

Здравствуйте!
В такого рода настройках я новичок, поэтому не судите строго. У меня роутер Qotom с 4-мя гигабитными портами и WiFi-адаптером. Один естественно WAN, второй LAN. Оставшиеся 2 порта и WiFi я хочу объединить с LAN, т.е. чтобы они были в одной сети. Как это лучше сделать.
Пока у меня сделано следующим образом: каждый порт образует свою сеть и далее я объединил их мостом. Схема эта рабочая, но мне кажется, что не очень правильная, т.к. LAN — 192.168.1.1; LAN2 — 192.168.2.1; LAN3 — 192.168.3.1; WiFI — 192.168.4.1
Буду очень признателен, если поможете разобраться с этим вопросом.

Аватара пользователя
Amigo
Главный по форуму
Главный по форуму
Сообщения: 694
Зарегистрирован: 30 янв 2015, 14:54
Откуда: Москва
Операционная система: Windows 10
Благодарил (а): 69 раз
Поблагодарили: 33 раза
Пол: Мужской
Статус: Не в сети

Программный маршрутизатор pfsense

Сообщение Amigo » 24 дек 2019, 12:04

Denisle, А какая у вас маска подсети? Если у вас 192.168.1.1/24 то все 4 порта у вас получаются в разных подсетях.
По идее LAN и WI-FI у вас должны быть в одной подсети. Тогда DHCP будет раздавать IP адреса из одного диапазона для домашней сети WI-FI и LAN. Ну а между WAN и LAN с WI-FI будет просто работать маршрутизация между интерфейсами.
Самое трудное - познать самого себя, самое легкое - давать советы другим.

Аватара пользователя
Amigo
Главный по форуму
Главный по форуму
Сообщения: 694
Зарегистрирован: 30 янв 2015, 14:54
Откуда: Москва
Операционная система: Windows 10
Благодарил (а): 69 раз
Поблагодарили: 33 раза
Пол: Мужской
Статус: Не в сети

Программный маршрутизатор pfsense

Сообщение Amigo » 24 дек 2019, 12:23

Denisle, Хотя в вашей конфигурации вероятно режим моста это то что нужно. Обычно LAN порты работают в режиме коммутатора. У вас должен быть назначен IP адрес только на один LAN порт. Остальные порты должны входить в этот мост без назначения IP адресов.
Самое трудное - познать самого себя, самое легкое - давать советы другим.

Аватара пользователя
Denisle
ТОП-0
ТОП-0
Сообщения: 5
Зарегистрирован: 23 дек 2019, 14:27
Откуда: SPb-Msk
Операционная система: W10
Благодарил (а): 1 раз
Пол: Не определён
Статус: Не в сети

Программный маршрутизатор pfsense

Сообщение Denisle » 25 дек 2019, 10:44

Огромное спасибо. Действительно, ваш совет помог. Я и до этого так делал, но видимо забывал прописать правила в фаерволе и сеть не работала.

Делал настройки Suricata по вашей статье и тоже столкнулся с проблемой — абсолютное большинство сайтов блокируется (к примеру: Яндекс открывается, а Гугл нет). В логах пишет "UDPV4 Invalid Checksum". Вы можете что-нибудь посоветовать?

Аватара пользователя
Amigo
Главный по форуму
Главный по форуму
Сообщения: 694
Зарегистрирован: 30 янв 2015, 14:54
Откуда: Москва
Операционная система: Windows 10
Благодарил (а): 69 раз
Поблагодарили: 33 раза
Пол: Мужской
Статус: Не в сети

Программный маршрутизатор pfsense

Сообщение Amigo » 25 дек 2019, 16:36

Denisle писал(а):Источник цитаты В логах пишет "UDPV4 Invalid Checksum". Вы можете что-нибудь посоветовать?


Это странно, потому что соединение с веб-сервером устанавливается по TCP. По UDP работает DNS. Посмотрите, что у вас на вкладке alerts, какие порты блокируются.

Screenshot_25.png


Также можете попробовать отключить аппаратную разгрузку контрольной суммы в system - advanced - networking

В UDP пакете есть поле FCS, контрольная сумма пакета (хеш) если она не совпадает, значит пакет битый и отбрасывается. Возможно оборудование не корректно обрабатывает FCS на аппаратном уровне. Отключение создаст дополнительную нагрузку на процессор.

Screenshot_26.png


Потребуется перезагрузка.

Или можете просто отключить данное правило. Хотя если пакеты действительно бьются по дороге, по идее они не должны приниматься, а на интерфейсе должен расти счетчик ошибок.


Screenshot_27.png
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Самое трудное - познать самого себя, самое легкое - давать советы другим.

Аватара пользователя
Denisle
ТОП-0
ТОП-0
Сообщения: 5
Зарегистрирован: 23 дек 2019, 14:27
Откуда: SPb-Msk
Операционная система: W10
Благодарил (а): 1 раз
Пол: Не определён
Статус: Не в сети

Программный маршрутизатор pfsense

Сообщение Denisle » 28 дек 2019, 23:34

Amigo писал(а):Источник цитаты Также можете попробовать отключить аппаратную разгрузку контрольной суммы в system - advanced - networking

Спасибо! Это помогло.

Аватара пользователя
Denisle
ТОП-0
ТОП-0
Сообщения: 5
Зарегистрирован: 23 дек 2019, 14:27
Откуда: SPb-Msk
Операционная система: W10
Благодарил (а): 1 раз
Пол: Не определён
Статус: Не в сети

Программный маршрутизатор pfsense

Сообщение Denisle » 30 дек 2019, 14:18

Ещё раз здравствуйте!
После настройки Squid и Suricata заметил, что правила для пользователей очень строгие: то блокируется Яндекс Алиса, то отключается WiFi для других устройств. Есть ли способы смягчить эти правила?

Аватара пользователя
Amigo
Главный по форуму
Главный по форуму
Сообщения: 694
Зарегистрирован: 30 янв 2015, 14:54
Откуда: Москва
Операционная система: Windows 10
Благодарил (а): 69 раз
Поблагодарили: 33 раза
Пол: Мужской
Статус: Не в сети

Программный маршрутизатор pfsense

Сообщение Amigo » 30 дек 2019, 14:31

Denisle писал(а):Ещё раз здравствуйте!
После настройки Squid и Suricata заметил, что правила для пользователей очень строгие: то блокируется Яндекс Алиса, то отключается WiFi для других устройств. Есть ли способы смягчить эти правила?


Да, можете поэксперементировать с этими настройками:

[img]
Screenshot_24.png
[/img]
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Самое трудное - познать самого себя, самое легкое - давать советы другим.

Аватара пользователя
Denisle
ТОП-0
ТОП-0
Сообщения: 5
Зарегистрирован: 23 дек 2019, 14:27
Откуда: SPb-Msk
Операционная система: W10
Благодарил (а): 1 раз
Пол: Не определён
Статус: Не в сети

Программный маршрутизатор pfsense

Сообщение Denisle » 30 дек 2019, 15:45

Amigo писал(а):Источник цитаты Да, можете поэксперементировать с этими настройками:

Первый пункт у меня в настройках стоит по-умолчанию. Хочу попробовать отключить в настройках "Use IPS Poliсy" и вручную поставить категории правил. Подскажите, какие на ваш взгляд правила нужно включить обязательно?
Ссылка доступна только зарегистрированным пользователям.



  • Реклама

Вернуться в «Маршрутизаторы»

Кто сейчас на конференции

Сейчас этот форум просматривают: CommonCrawl [Bot] и 0 гостей