מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



פתרון אופטימלי ליצירת שתי רשתות LAN נפרדות בבית


עמוד 2 מתוך 4
עבור לעמוד הקודם  |  1  |  2  |  3  |  4  |  הבא 
   פורומים > HTPC ומחשוב > רשתות, IT ומחשוב
מחבר הודעה
evgenetic
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Dec 25, 2010
הבעות תודה: 314
מספר הודעות: 2641

 #16  נשלח: א' 23/09/2018 15:42

rm1
הC7 כרגע הוא עם קשחה מקורית, בלי כל מיני משחקים עם VLAN. אני חושב שpfsense חוסם גישה כברירת מחדל, אני כרגע לא יכול לעשות ping מהמכונות וירטואליות שמחוברות לpfsense למחשבים שברשת הביתית שמחוברות לC7.
(עריכה - טעות, אני דווקא כן יכול, אבל להיפך לא. צריך לטפל).
פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 464
מספר הודעות: 2456

 #17  נשלח: א' 23/09/2018 16:32

NegativeIQ כתב:
ציטוט:
...

יש סיבה לזה שזה ככה. בד"כ בראוטרים הזולים הפורטים של ה-LAN וה-WAN נמצאים על אותו Switch ורק מופרדים לשני VLAN-ים שונים. זה יותר זול ככה כי היצרן לא צריך לחבר שני כרטיסי רשת נפרדים. כפועל יוצא של התמיכה ב-VLAN-ים אז אפשר לעשות קונפיגורציה יותר חכמה עם OpenWRT.
נ.ב. כן, זה תיאורטית פוגע בביצועים אבל כל עוד זה מגיע ל-1Gbps זה גם ככה לא יהיה צוואר הבקבוק. אגב, לפעמים יש גם בעיות אחרות עם זה, לדוגמה ב-WR1043NDv1 עד שהקושחה עולה ומקנפגת את ה-VLAN-ים אז ה-Switch מעביר תקשורת חופשית בין ה-LAN ל-WAN, פוטנציאלית מאפשר לחדור לכם לרשת (אם כי כנראה שרק הספק יוכל לעשות את זה).
·


למעשה המצב הוא בדיוק הפוך. ברוב הנתבים הזולים, כאלה כמו אותו C7 למשל קיימים שני כרטיסה רשת עצמאיים, שאחד מהם כבר מחובר למתג מנוהל של חמישה פורטים. ובשביל לראות את הנקודה המדוברת צירפתי כבר מקודם את הממשק ניהול של שעוסק בכרטיסי רשת פיזיים, במתג וב VLANS של הנתב C7. בממשק זה ניתן לראות בבירור את שני כרטיסי רשת עצמאיים, בעלי מעבד מרכזי נפרד לכל אחד מהם. אבל אני אצרף עוד הפעם את הצילום הרלוונטי וגם אסמן את הנקודות באדום. כמובן, אחרת גם לא יכול להיות, כי כל נתב שחייב לספק מהירות LAN TO WAN של יותר מ 450MBPS חייב לכלול שני ממשקי רשת עצמאיים.
באמת שפעם לפני שנים רבות עוד היו נתבים בעלי כרטיס רשת אחד שמחובר למתג של שישה פורטים שהייה על ידי שימוש ב VLANS מייצר הפרדה בין LAN ל WAN. דוגמה לכך, היא TP-Link TL-WDR4300 למשל. כל הנתבים האלה שהיו נפוצים לפני יותר מעשור תמכו גם במהירויות חיבור לאינטרנט של עד ל 300MBPS. אבל מדובר על היסטוריה רחוקה.



(1) הבעות תודה: eran405
פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 464
מספר הודעות: 2456

 #18  נשלח: א' 23/09/2018 16:46

rm1 כתב:
אם לא הפעלתה את אופצית ה VLAN ב C7 אתה יכול גם לאפשר ולחסום גישה לרשת הביתית מהשרתים הוירטואלים וה VPN
ע"י חוקים ב pfsense
·


בשביל ש PFSENSE שמותקן על מכונה וירטואלית שמחוברת דרך כרטיס רשת פיזי בודד לרשת ישמש כנתב לרשת זו, נדרש שהחיבור של המחשב פיזי שמארח את המכונה הוירטואלית יהיה מחובר לרשת זו דרך מתג שתומך ב VLANS וב VLAN TRUNKING. המתג, זה יכול להיות מתג שבנתב C7 או מתג מנוהל ייעודי שבו כבר יוגדר VLAN TRUNK על אותו פורט שמחובר בו כרטיס רשת של מחשב שמריץ את המכונה וירטואלית. ואז, VLAN אחד ישמש לחיבור למודם שדרכו PFSENSE יחובר לאינטרנט ו VLAN אחר ישמש לרשת LAN ועוד VLAN יוגדר לצורך רשת של אותם השרתים הווירטואליים שאליהם כבר מתחברים מרחוק דרך VPN ושהם צריכים להיות מבודדים מהרשת LAN הביתית. אחרי זה, כמובן נדרש להגדיר את החוקים של FIREWALL ב PFSENSE, בין VLANS השונים. אחרת, לא ניתן להפריד בצורה אמתית את תתי רשתות אלו, שללא השימוש ב VLANS מחוברות בתווך משותף. צירפתי שרטות פשוט שממחיש את המבנה של רשת זו



פרופיל | שלח הודעה | חפש
rm1
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Mar 11, 2013
הבעות תודה: 128
מספר הודעות: 1189

 #19  נשלח: א' 23/09/2018 17:57

sys_admin
תמיד אתה צריך לדחוף VLAN ומתג מנוהל לכל מקום.
במקרה הזה לא צריך בכלל. !!
סה"כ צריך לחבר את השרת לרשת רגיל בחיבור רגיל ללא כל VLAN שמילן.
את הכרטיס הפיזי מנתבים לצד ה WAN של ה pfsense
הצד ה LAN שלו הוא מחובר לסויץ וירטואלי במכונה ולשאר המכונות הוירטואליות.
בנתב C7 צריך להפנות את פורט ה VPN לכתובת ה WAN שמוגדר ל pfsense.
זהו.
שאר ההגדרות והניתובים ו OPENVPN מוגדר רגיל ב pfsense כאילו הוא השרת שמחובר ישירות לאינטרנט.
אפשר לחסום את הגישה לרשת הביתית דרכו ואפשר לפתוח סלקטיבית מה שרוצים.
(1) הבעות תודה: nir11
פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 464
מספר הודעות: 2456

 #20  נשלח: א' 23/09/2018 18:21

rm1
·

מה לעשות. כמו שתגיד. כל פעם שצריכים רשת מחשבים ישר דוחפים שם כרטיסי רשת, כבלים ומתגים. כך גם שצריכים להפריד רשתות על גבי תשתית פיזית יחידה, אז לצורך זה משתמשים ב VLANS. ומדובר על דבר טריוויאלי שבשימוש ברשתות מחשב כבר משנות התשעים.
כמובן שבמקרה זה, כמו גם במקרים אחרים ניתן להשתמש במקום ב VLANS בהתקנה של כרטיס רשת פיזי נוסף במחשב שמריץ את השרת הווירטואלי, רק שזה יהיה מיותר ועדיף גם לשימושים עתידיים לא לבצע את זה עם כרטיס רשת פיזי נוסף. וכל זה מסיבה פשוטה, והיא ש PFSENSE הוא נתב שצריך לשרת את הרשת המדוברת ומה לעשות שנתב מצריך יותר ממשק רשת אחד, שיכול להיות ממשק פיזי או וירטואלי ( VLAN ). כך, שבמקום לחבר את הכניסת WAN של PFSENSE למודם עם כרטיס רשת נוסף, ניתן לבצע את זה בקלות על ידי הגדרות מתאימות על גבי תשתית קיימת עם VLANS. זה כל הסיפור.
פרופיל | שלח הודעה | חפש
rm1
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Mar 11, 2013
הבעות תודה: 128
מספר הודעות: 1189

 #21  נשלח: א' 23/09/2018 18:41

אבל הוא לא צריך את זה.
כל הרשת שלו רצה מתוך מחשב שרת אחד שמריץ מכונות וירטואליות.
בצד ה LAN לא צריך לזה כרטיס פיזי ולא VLAN על כרטיס פיזי.
פשוט סויץ לוגי ללא חיבור פיזי.
אם היה מדובר במחשב נוסף או ציוד אחר אז צריך שני רשתות או VLAN.
אבל במקרה הנדרש הנ"ל לא צריך את זה.
פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 464
מספר הודעות: 2456

 #22  נשלח: א' 23/09/2018 19:37

rm1
·
ברגע שמשתמשים ב PFSENSE, אז היגיוני שהוא ישרת את כל הרשת הביתית ולא רק את המכונות הוירטואליות וגם בנוסף לזה, אם הוא לא ישתמש ב PFSENSE כבנתב לכל הרשת שלו, אלה שישים אותו אחרי NAT של נתב ביתי אחר, יווצר לו המצב של DUAL NAT לכל התקן שמחובר אחרי PFSENSE, דבר שבעיתי ביותר כשלעצמו. כמו כן, אם PFSENSE זה יהיה אחרי NAT של נתב נוסף ברשת וישימש תוך כדי כך כשרת VPN, דבר זה יצור מצב של חוסר יציבות בתקשורת VPN זו. וזה רק כמה מהבעיות הרבות שבתרכיש כזה.


נערך בפעם אחרונה על-ידי sys_admin בתאריך א' 23/09/2018 19:41, נערך סך הכל פעם אחת
פרופיל | שלח הודעה | חפש
rm1
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Mar 11, 2013
הבעות תודה: 128
מספר הודעות: 1189

 #23  נשלח: א' 23/09/2018 19:40

אין לי כח.
הלקוח מרוצה.
פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 464
מספר הודעות: 2456

 #24  נשלח: א' 23/09/2018 19:44

rm1
·
כמו שלפני זה הוא הייה מרוצה מה softether, עד שהרגיש והבין שבצורה זו פשוט לא ניתן לעבוד, כי כל פעם זה קורס ולא עובד בצורה צפויה. כך שמראש כדאי לבנות רשת תקינה ולא להשתמש בקיצורי דרך, שלטווח ארוך יצאו יותר מתוסבכים ובסוף יהיה בכל מקרה צורך לבנות את הרשת בצורה היגיונית.
פרופיל | שלח הודעה | חפש
evgenetic
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Dec 25, 2010
הבעות תודה: 314
מספר הודעות: 2641

 #25  נשלח: א' 23/09/2018 20:12

sys_admin
זו כנראה לא הייתה אשמת softether אלא הגדרה לא נכונה של openwrt מצידי. בקושחה רגילה אני באמת מרוצה מאיך שהוא עובד.
בקונפיגורציה נוכחית לא נתקלתי בבעיות עם ניתוקים VPN למכונות וירטואליות, אני מניח שזה משהו שעובד או לא, אם הforwarding תקין והIP של pfesense קבוע, אז מאיזו סיבה יכולות להיות הבעיות ובאילו נסיבות הן יצוצו?
פרופיל | שלח הודעה | חפש
Lyonia
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Jan 02, 2011

מיקום: מרכז הארץ, בקעת אונו
הבעות תודה: 20
מספר הודעות: 335

 #26  נשלח: א' 23/09/2018 20:21

הייתי ממליץ ללכת על mikrotik או ubnt, יש להם כמה דברים נחמדים:

  • EdgeRouter
  • EdgeMax
  • UniFi USG פתרון יחסי זול (119$ בארה''ב) שמתאם לך ויכול להחיק וכן מחזיק חברות קתנות שלמות (spec)

_________________
Life is too short for bad coffee
פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 464
מספר הודעות: 2456

 #27  נשלח: א' 23/09/2018 20:21

evgenetic
·
את הנסיבות לבעיות אלו אני כבר פירטתי והן למשל, אם PFSENSE ממוקם מאחורי NAT, דבר שלעצמו מאוד בעיתי. בשביל שהרשת תעבוד בתורה תקינה, PFSENSE צריך לקבל לקבל כתובת IP חוקית ברגל WAN שלו.

דרך אגב, softether מוכר כתוכנה די בעיתית וממש לא ברור למה הית צריך אותה, אם הייה לך כבר את OPENWRT, שגם הוא היה יכול לשמש כשרת של OPENVPN. בכל מקרה, גם השרת VPN שמיושם ב PFSENSE הרבה יותר יציב והמערכת של PFSENSE יכולה לתת לך מענה לכל הצרכים שלך שברשת הביתית, גם כ FIREWALL, גם כשרת VPN, גם כטרמינצייה וניתוב של VLANS , וגם לדברים רבים אחרים.
פרופיל | שלח הודעה | חפש
evgenetic
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Dec 25, 2010
הבעות תודה: 314
מספר הודעות: 2641

 #28  נשלח: א' 23/09/2018 20:44

sys_admin
בכל מקרה עכשיו הכל עובד פיקס. אם אני אסתבך אז פשוט ארד לאופציה של רשת אחת כפי שהיה במקור, עם VMs זה בסה"כ להחליף להם כרטיס רשת מinternal לexternal. לאחר מכן כבר אחשוב איך לעשות את זה יותר מסודר עם pfsense/ראוטר פיזי אחד שיתחבר למודם וייצור מספר LANים נפרדים כפי שאתה ואחרים פירטו.

אני משתמש בsoftether כי בשבילי זה כאב ראש להגדיר את OPENVPN ידנית (גם pfsense פותר את הכאב ראש הזה). עד כה הוא לא אכזב אותי.
פרופיל | שלח הודעה | חפש
Lyonia
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Jan 02, 2011

מיקום: מרכז הארץ, בקעת אונו
הבעות תודה: 20
מספר הודעות: 335

 #29  נשלח: א' 23/09/2018 20:59
Re: פתרון אופטימלי ליצירת שתי רשתות LAN נפרדות בבית

evgenetic
1. vpn אתה צריך לחיבור לרשת ביתי או לשרת?
2. עד כמה אתה צריך גישה לשרת מהרשת ביתי?


·
פרופיל | שלח הודעה | חפש
evgenetic
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Dec 25, 2010
הבעות תודה: 314
מספר הודעות: 2641

 #30  נשלח: א' 23/09/2018 22:09
Re: פתרון אופטימלי ליצירת שתי רשתות LAN נפרדות בבית

Lyonia
1. גם וגם, אבל כרגע בשביל הרשת הביתית מספיק לי softether שעובד על המחשב הראשי בבית, אל הVMs כבר יתחברו דרך הpfsense עם שרת הVPN שלו. כנראה בעתיד אני אעביר את הכל לניהול של pfsense.
2. בקונפיגורציה הנוכחית כבר יש לי גישה לVMSERVER מהרשת הביתית וזה בסדר מבחינתי, העיקר היה לגרום לכך שהרשת הביתי לא תהיה חשופה לVMs.
פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון קיץ - ישראל (GMT+3) הצג הודעות קודמות:    
פורומים > רשתות, IT ומחשוב עבור לעמוד הקודם  |  1  |  2  |  3  |  4  |  הבא 


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht