praegune kellaaeg 03.06.2024 20:42:17 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
sõnum   |
|
trantor2
HV vaatleja
liitunud: 25.06.2015
|
25.06.2015 19:35:13
pFsense |
|
|
| Hi, mismoodi saaks teha reeglit koos määratud gatewayga, return pakettidele. Saan aru et gateway valik reeglis toimib established sessiooni kohta, kuid mis saab return pakettidest? Kuidas need oskavad õigesse LANi minna kui LANe on rohkem kui üks? Internetti väljuv ühendus suunati reegliga küll õigesse WANi ja gatewaysse, kuid return paketi jaoks ju reeglit pole, sama reegel ju ei toimi kuna ka LANe on tarvis valida. Routest pole samuti abi kuna mul on kaks LANi, kumbki eraldi subnetis, kuid mõlemast võib tulla sama source IP, lihtsalt erinevat teed pidi. Näiteks on LAN1 subnet 192.168.1.0/24 ja LAN2 subnet 192.168.2.0/24. Nüüd aga tuleb ühendus LAN1-e source aadressilt 192.168.2.5 ja läheb internetti. Return pakett aga tahab route tabeli abil tulla tagasi LAN2 kaudu, mis aga on vale, kuna pakett liikus hoopis LAN1 kaudu. Oleks tarvis reeglit route kohta. State kohta on pfsensel reeglis valik ainult et ei kasuta statet üldse. Nii saaks muidugi teha kaks reeglit väljuva ja siseneva ühenduse kohta. erinevate route suunamistega, kuid ma ei taha ju et new ühendused samuti hakkaks LANi jooksma vaid ainult established ühendused.
|
|
| tagasi üles |
|
 |
mank1
HV kasutaja
liitunud: 18.06.2003
|
|
26.06.2015 18:41:18
|
|
|
| Vlanid on sätitud?
|
|
| tagasi üles |
|
|
trantor3
Aeg Maha 2a
liitunud: 26.06.2015
|
|
26.06.2015 21:19:35
|
|
|
| mank1 kirjutas: |
| Vlanid on sätitud? |
Mismoodi need Vlanid asjasse puutuvad?
|
|
| tagasi üles |
|
|
wiinanina
HV kasutaja
liitunud: 27.02.2003
|
|
26.06.2015 23:23:57
Re: pFsense |
|
|
| trantor2 kirjutas: |
| ...Näiteks on LAN1 subnet 192.168.1.0/24 ja LAN2 subnet 192.168.2.0/24. Nüüd aga tuleb ühendus LAN1-e source aadressilt 192.168.2.5 ja läheb internetti. Return pakett aga tahab route tabeli abil tulla tagasi LAN2 kaudu, mis aga on vale, kuna pakett liikus hoopis LAN1 kaudu. .... |
Kui 6igesse subnetti saadetud pakett ei j6ua subnetis oleva adressaadini, siis on teema hoopis lan'i konfiguratsioonis.
Miks vaja elu keeruliseks elada?
|
|
| tagasi üles |
|
|
trantor3
Aeg Maha 2a
liitunud: 26.06.2015
|
|
26.06.2015 23:33:12
Re: pFsense |
|
|
| wiinanina kirjutas: |
| trantor2 kirjutas: |
| ...Näiteks on LAN1 subnet 192.168.1.0/24 ja LAN2 subnet 192.168.2.0/24. Nüüd aga tuleb ühendus LAN1-e source aadressilt 192.168.2.5 ja läheb internetti. Return pakett aga tahab route tabeli abil tulla tagasi LAN2 kaudu, mis aga on vale, kuna pakett liikus hoopis LAN1 kaudu. .... |
Kui 6igesse subnetti saadetud pakett ei j6ua subnetis oleva adressaadini, siis on teema hoopis lan'i konfiguratsioonis.
Miks vaja elu keeruliseks elada? |
Selleks ruuterid ongi et juhtida pakette, ei pea olema sama subnet, aga vastus on teemast päris mööda, jutt oli pfsensest siin. Miks üldse elada?
|
|
| tagasi üles |
|
|
wiinanina
HV kasutaja
liitunud: 27.02.2003
|
|
26.06.2015 23:42:36
Re: pFsense |
|
|
| trantor3 kirjutas: |
| wiinanina kirjutas: |
| trantor2 kirjutas: |
| ...Näiteks on LAN1 subnet 192.168.1.0/24 ja LAN2 subnet 192.168.2.0/24. Nüüd aga tuleb ühendus LAN1-e source aadressilt 192.168.2.5 ja läheb internetti. Return pakett aga tahab route tabeli abil tulla tagasi LAN2 kaudu, mis aga on vale, kuna pakett liikus hoopis LAN1 kaudu. .... |
Kui 6igesse subnetti saadetud pakett ei j6ua subnetis oleva adressaadini, siis on teema hoopis lan'i konfiguratsioonis.
Miks vaja elu keeruliseks elada? |
Selleks ruuterid ongi et juhtida pakette, ei pea olema sama subnet, aga vastus on teemast päris mööda, jutt oli pfsensest siin. Miks üldse elada? |
kui tahad keerulist elu siis kirjuta ruutingutabelisse, et 192.168.2.5/32 paketid tuleb saata lan1 kaudu. ja pane metric väiksemaks
|
|
| tagasi üles |
|
|
zork
HV vaatleja
liitunud: 17.12.2007
|
|
26.06.2015 23:43:55
|
|
|
| Kirjelduse järgi ei saa hästi aru, milline su võrk koos pfsense'ga on. Pfsense küljes on mitu interface'i ja mis aadressidega? Milline on LAN1 ja LAN 2 konf, subnet on sul kirjas, aga gateway?
|
|
| tagasi üles |
|
|
trantor3
Aeg Maha 2a
liitunud: 26.06.2015
|
|
27.06.2015 00:21:37
Re: pFsense |
|
|
| wiinanina kirjutas: |
kui tahad keerulist elu siis kirjuta ruutingutabelisse, et 192.168.2.5/32 paketid tuleb saata lan1 kaudu. ja pane metric väiksemaks |
Nii ma tegingi. Metricut pole tarvis, kuna normaalne ruuter peab alati otsima pikema subnetiga aadressi. Metric on siis kui on võrdsed. Aga vahepeal sain teada et
pfsense puhul seda ei pea tegema, kuna tal on selline funktsionaalsus nagu "reply-to", mis jätab meelde mis interfacest pakett tuli ning reply paketid saadab sinna
tagasi vaatamata ruutimistabelist. See toimib ainult interface tabide all, mitte floating reeglites ja ainult kui interfacel on seadistatud gateway. Seda "reply-to" saab igal reeglil ka maha võtta individuaalselt......Ruutimistabeli puudusteks on et kui näiteks seesamune 192.168.2.5 tulebki otse lan2 pealt, siis ühendust ei toimu, kuna ruuting on lan1 peale. "reply-to" aga toimib mõlamal juhul. Ruutimistabel on jäik võrreldes dünaamilise näiteks "policy based routinguga", mida pfsensel vist pole. Ruutimistabelis saab määrata ainult destinationi mitte sourcet......Aga ma tahtsin üldse käsitsi suunata. Pfsensel saab reeglisse kirjutada ka gateway, iga reegli kohta. See pole päris policy based routing kuna on statefull. Policy based routing on stateless funktsioon. Ühesõnaga ma tahtsin teha stateless policy ruutimist ja lülisin reeglis state üldse välja. Tegin kaks reeglit, mõlemas suunas. Tööle igaljuhul ei hakanud. Ei tea miks. Uurin seda momendil et miks see siis ei toimi. See "reply-to" toimib ilusti.
|
|
| tagasi üles |
|
|
zork
HV vaatleja
liitunud: 17.12.2007
|
|
27.06.2015 01:24:27
|
|
|
| Ju siis ei tööta, kuna sul on asjad valesti. Ei saa ikka aru, milline sul võrk on ja mida õieti saavutada tahad. Algset kirja lugedes võiks arvata, et sul on pfsense, mille küljes on WAN ja LAN1, LAN2 interface. Edasi lugedes aga paistab, nagu sul oleks LAN2 LAN1'e taga ja käiks internetis sealtkaudu. Võibolla, kui sa oma konfiguratsiooni kirjeldad saab mõni ka öelda, mis valesti on või mida teisiti teha.
|
|
| tagasi üles |
|
|
trantor3
Aeg Maha 2a
liitunud: 26.06.2015
|
|
27.06.2015 02:57:38
|
|
|
| zork kirjutas: |
| Ju siis ei tööta, kuna sul on asjad valesti. Ei saa ikka aru, milline sul võrk on ja mida õieti saavutada tahad. Algset kirja lugedes võiks arvata, et sul on pfsense, mille küljes on WAN ja LAN1, LAN2 interface. Edasi lugedes aga paistab, nagu sul oleks LAN2 LAN1'e taga ja käiks internetis sealtkaudu. Võibolla, kui sa oma konfiguratsiooni kirjeldad saab mõni ka öelda, mis valesti on või mida teisiti teha. |
Pfsense on mul sisevõrgu subnettide kommutaator. Sinna jookseb kokku 5 interfeissi, vahet pole kas wan või lan kuna interneti sinna ei tule (internet muidugi on aga nati eemal seadmetes), kõik on võrdselt sisevõrgud, subnette aga jookseb pisut rohkem. Ja mõnikord jooksevad subnetid pfsensesse sisse erinevaid teid pidi. Asja üldine point on selles et kasutan pfsenset sellise kommutaatorina kus kerge ümberlülitusega juhin mingist teisest seadmest liikluse läbi, juhin mingist muust seadmest või siis juhin mingist seadmest mööda. Ilma et füüsiliselt peaksin mingeid kaableid ringi tõstma. Erineva liikluse kohta on ka valikuvõimalus erinevaid seadmeid teele ette panna. Suures osas on see abiks igasugu asjade testimiseks aga mitte ainult testimiseks.......Antud juhul huvitas mind miks stateless ühendus ei toimi. Äkki polegi ette nähtud, mul pole seda tasulist helpi ja ta enda dokumentatsioon on rohkem huumor, kuigi suure otsimisega midagi siiski leiab.
|
|
| tagasi üles |
|
|
zork
HV vaatleja
liitunud: 17.12.2007
|
|
27.06.2015 16:56:42
|
|
|
| Pfsense'l on üsa hea dokumentatsioon/wiki olemas. Stateless asjadel ehk floating rule with quick option abiks. See stateless asi ei peagi vist töötama, sest kui asi vastab reeglile, kus on no state valitud, siis ei hoita mitte midagi meeles ja tulemüür ei tea, et tagasitulev pakett oli mingit moodi mingi eelmise paketiga seotud ning suunab asja vastavalt olemasolevatele reeglitele kuhugi edasi.
|
|
| tagasi üles |
|
|
trantor4
Aeg Maha 2a
liitunud: 27.06.2015
|
|
27.06.2015 17:30:17
|
|
|
| zork kirjutas: |
| Pfsense'l on üsa hea dokumentatsioon/wiki olemas. Stateless asjadel ehk floating rule with quick option abiks. See stateless asi ei peagi vist töötama, sest kui asi vastab reeglile, kus on no state valitud, siis ei hoita mitte midagi meeles ja tulemüür ei tea, et tagasitulev pakett oli mingit moodi mingi eelmise paketiga seotud ning suunab asja vastavalt olemasolevatele reeglitele kuhugi edasi. |
See wiki dokumentatsioon on pask, lollidele kirjutatud lollide poolt. Korralik dokumentatsioon algab sellega et kirjeldatakse mis on karul kõhus üldse. Vaata
võrdluseks CheckPointi dokumentatsiooni, see on tasuta, mitte nagu pFsensel et kui peale wiki pasa tahad midagi (nimetavad veel raamatuks), siis maksad.
Nii ei hakka paljud seda üldse kasutama. Sitt marketing. Paljud proovivad, vaatavad et ei tööta ja viskavad prügikasti. Ega siis kõik sellised innukad pole nagu mina et kui ei tööta siis niikaua katsetan kuni tööle hakkab. Ja see "ei peagi töötama" on umbes sama nagu "vist polegi rase". Nii rallit ei sõideta. ......Ei peagi meeles pidama, see oligi mul eesmärk, tagasitulevatele pakettidele on mul eraldi reeglid.
|
|
| tagasi üles |
|
|
zork
HV vaatleja
liitunud: 17.12.2007
|
|
27.06.2015 18:44:51
|
|
|
| Wiki dokumentatsioon pluss foorum lisaks on täiesti adekvaatne infoallikas. Kui sealt ei oska kätte saada, mida vaja, siis sa tõenäoliselt ei tea isegi, mida tahad. Karul on aga kõhus FreeBSD, nii et kui tahad täpsemalt teada, mis seal on, siis võta FreeBSD dokumentatsioon ette.
|
|
| tagasi üles |
|
|
trantor5
Aeg Maha 2a
liitunud: 27.06.2015
|
|
27.06.2015 19:07:22
|
|
|
| zork kirjutas: |
| Wiki dokumentatsioon pluss foorum lisaks on täiesti adekvaatne infoallikas. Kui sealt ei oska kätte saada, mida vaja, siis sa tõenäoliselt ei tea isegi, mida tahad. Karul on aga kõhus FreeBSD, nii et kui tahad täpsemalt teada, mis seal on, siis võta FreeBSD dokumentatsioon ette. |
Aga ise Sa ju ei tea samuti, ainult mula tuleb nagu sealt wikistki. Ma tean et on FreeBSD aga FreeBSD-l pole selliseid funktsioone nagu pFsensel. Enamus tulemüüridel näiteks pole "reply-to" tabelit, samuti pole eriti nagu kuulnud müüridest millel on statefull policy routing. CheckPointil on näiteks stateless policy routing. Ega ma ei ütlegi et pFsense on halb, vastupidi, mulle tundub et ta on tohutult arenenud viimaste aastatega ja omab suurt potentsiaali. Ainult et see ei jõua
hästi inimesteni. Osaliselt seepärast et dokumentatsioon on puudulik, osaliselt seepärast et kasutajad ei viitsigi süveneda või on ajude asemel tellis. Aga pFsensest
juba nende uuenduste poolest võiks saada vabalt korralik enterprise müür kui developerid vähem õlut jooksid.
|
|
| tagasi üles |
|
|
zork
HV vaatleja
liitunud: 17.12.2007
|
|
27.06.2015 23:16:39
|
|
|
Ma ei tea mida? Sa pole siiamani suutnud adekvaatselt ära seletada, mis seis sul on ja milles probleem on.
Ja kui sul nii spetsiifiline probleem on, siis võiksid pigem pfsense foorumist küsida. Palju tõenäolisem asjalikku vastust saada, kui ainult õigesti küsida oskad.
|
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
