В этой стать я опишу свой личный опыт настройки pfsense для работы с сетью ЕСПД (Единая сеть передачи данных).
Задача
Настроить pfsense, чтобы можно было самому управлять какому компьютеру ходить в интернет с контентной фильтрацией, а какому без неё.
Немного предыстории
По началу был у нас в организации интернет от Ростелекома. У меня было настроено на pfsense proxy сервер с контентной фильтрацией, чтобы студенты не лазили по плохим сайтам. Потом подключили ЕСПД. Преподавателей я оставил на интернете от Ростелекома, а студентов перевёл на ЕСПД. В один прекрасный момент у нас отключили интернет от Ростелекома. Оказалось, Ростелеком теперь не имеет право заключать договора на интернет с образовательными организациями, у которых есть ЕСПД. Благо к этому времени сделали личный кабинет ЕСПД, авторизуясь через Госуслуги, можно удобно создавать заявки на отключение контентной фильтрации.
Данные
Сеть ЕСПД нам дали с маской /24, а у нас в организации сеть с маской /23, уже изначально не хватает ip адресов. И мне не хотелось менять ip адреса которые у нас в сети уже используются. На втором ip адресе сети ЕСПД я оставил контентную фильтрацию, так как он уже использовался для доступа к интернету студентов (ходят в интернет через проброс порта), а на третий ip адрес я составил заявку о снятии контентной фильтрации, что служба технической поддержки ЕСПД и сделала. Осталось мне реализовать, чтобы преподаватели ходили через третий ip адрес.
Реализация
Сертификат ЕСПД на компьютеры был поставлен через групповые политики домена, а какие компьютеры к домену не подключены, пришлось ставить ручками.
Прокси сервер, так же был прописан через групповые политики домена, либо ручками на компьютерах которые не подключены к домену (ещё прокси сервер самого pfsense, а не ЕСПД, а студенты ходили в интернет, как я уже раньше писал пробросом порта на прокси сервер ЕСПД).
Настройка виртуального IP
На pfsene заходим в Межсетевой экран / Виртуальные IPs нажимаем кнопку добавить. Выбираем тип: «IP Алиас».
Интерфейс: свой «WAN» интерфейс, который смотрит в сеть ЕСПД.
Тип адреса: «Одиночный адрес».
В поле «Адрес» пишем IP адрес, с которого сняли контентную фильтрацию, а у меня на самом WAN интерфейсе прописан IP адрес с контентной фильтрацией.
Маска подсети, которую дали ЕСПД, у меня 24.
Описание — для себя понятное описание, у меня ESPD open.
Нажимаем кнопку «Сохранить».
![](https://habrastorage.org/getpro/habr/upload_files/c42/f0c/706/c42f0c70684cb5a422965801140545b5.jpg)
Настройка правил межсетевого экрана
Заходим в Межсетевой экран / Правила выбираем вкладку со своим «LAN» интерфейсом.
Нажимаем кнопку «Добавить»
Действие: «Разрешить
Интерфейс: «LAN»
Адресное семейство: «IPv4+IPv6»
Протокол: «Любой»
Источник: «Любой»
Назначение: «Любой»
В описании у меня написано «All to all»
Нажимаем кнопку «Сохранить»
Это правило нужно для того чтобы работало обновление ОС и других открытых ресурсов в сети ЕСПД.
![](https://habrastorage.org/getpro/habr/upload_files/505/845/6be/5058456be2581e47094c22dabc5abb4c.jpg)
Настройка проброса портов
Настройка проброса портов нужна только если у вас был до этого настроен прокси сервер на компьютерах, отличны от прокси сервера ЕСПД и менять вы его не хотите (как было у меня — прокси сервер сам pfsense). Если у вас прописан прокси сервер ЕСПД, то предыдущим правилом мы разрешили хождение к серверу ЕСПД.
Идём в Межсетевой экран / Сетевая трансляция адресов (NAT)
Вкладка «Проброс порта»
Интерфейс: «LAN»
Адресное семейство: «IPv4»
Протокол: «TCP/UDP»
Источник не трогаем, оставляем любой.
Назначение: «LAN address», что означает адрес pfsense на порту LAN
Диапазон портов назначения: от порта «другой» частный «8080» К порту «другой» частный «8080» (у вас будет другой, который был у вас, у меня такой)
Перенаправляемый целевой IP: Тип «Один узел» Адрес «10.0.62.52» (у вас в зависимости от региона будет свой адрес прокси сервера, у меня такой)
Перенаправляемый целевой порт: Порт «Другой» Частный «3128» (порт вроде у всех одинаковый)
Описание: «ESPD filtered» (у вас любое понятное для вас)
Нажимаем кнопку «Сохранить».
![](https://habrastorage.org/getpro/habr/upload_files/113/fbb/f49/113fbbf4939e3acb3f6f6ab3f5ea8e77.jpg)
Настройка алиасов (псевдонимов)
Идём в Межсетевой экран / Алиасы
Во вкладке «IP» мы нажимаем кнопку «Добавить»
Имя: «My_proxy» (у вас может быть любое понятное вам)
Тип: «Хосты»
IP или полностью определенное доменное имя или алиас: добавляем свои IP адреса на которых хотим снять контентную фильтрацию и описание их в соответствующее поле
Нажимаем кнопку «Добавить хост» для добавления ещё одного IP адреса компьютера
После того как введём IP адреса всех компьютеров нажимаем кнопку «Сохранить».
![](https://habrastorage.org/getpro/habr/upload_files/794/b89/384/794b893847fc969d9f08b25b06aa50d0.jpg)
Настройка подмены IP адреса
Идём в Межсетевой экран / Сетевая трансляция адресов (NAT)
Выбираем «Исходящий»
Режим исходящей Сетевой Трансляции Адресов (NAT) выбираем: «Гибридное» (чтобы мы могли сами прописывать правила и ещё чтобы работала автоматическая)
Нажимаем кнопку «Добавить»
Интерфейс: «WAN» (ваш интерфейс который смотрит в сеть ЕСПД)
Адресное семейство: «IPv4»
Протокол: «любой»
Источник: Тип «Сеть» Сеть источника для соответствия исходящей Сетевой Трансляции Адресов «My_proxy» маска /32 Порт или Диапазон оставляем пустой (My_proxy это алиас (псевдонимы), где у меня прописаны IP адреса компьютеров преподавателей, а порт почему оставляем пустым, насколько я помню, что порт источника может быть любым, а не таким же как порт назначения)
Назначение: Тип «Сеть» Сеть назначения для соответствия исходящей Сетевой Трансляции Адресов «10.0.62.52» маска /32 (у вас в зависимости от региона будет свой адрес прокси сервера, у меня такой)
Порт или Диапазон: «3128»
Трансляция
Адрес: «10.62.203.3» (тот адрес на котором снята контентная фильтрация его же мы прописывали в «Виртуальных IP», у меня такой)
Порт или Диапазон: ставим галочку «Статический Порт»
Описание: «ip substitution» (может быть любое понятное для вас)
Нажимаем кнопку «Сохранить».
![](https://habrastorage.org/getpro/habr/upload_files/455/f9b/c01/455f9bc01258fb518545f17040d4fb91.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/300/c20/547/300c205475ff988856ce36d6382fb45a.jpg)
Это правило нам нужно, чтобы прокси север видел IP адрес WAN интерфейса у которого не снята контентная фильтрация, а адрес Виртуального IP со снятой контентной фильтрацией.
Разобраться в этой настройке мне помогла информация с сайта.
Надеюсь, что моя статья кому-нибудь будет полезной.
ссылка на оригинал статьи https://habr.com/ru/articles/704526/
Добавить комментарий