маршрутизация между vlan pfsence 2.3.4 (amd64)

reanews

Здравствуйте,
искал-искал и отчаялся найти ответ. Я новичек в pfsense. Прошу помощи.
есть 2.3.4-RELEASE (amd64)  wan порт с белым IP и несколько VLAN ведущих из сетевой карты в cisco свич. (OPT1-10.10.10.0/24 OPT2-10.10.20.0/24 OPT3-10.10.30.0/24 OPT4-10.10.40.0/24) Cisco Vlanы видит и раздает адреса. Все видят интернет. а веб-интерфейс роутера видят только из OPT1 .

Соответственно нужно что бы из сети OPT3 и OPT4 ходили компьютеры в OPT1, а друг-друга они не видели. А из OPT2 могли ходить везде.

Я насколько понял, это надо делать в статических маршрутах? Прошу помощи. или укажите на тему такую же. сам не смог найти. есть что-то отдаленно напоминающее, но как то все не то, что смогло бы подойти. тут или VPN описывают или соединение 2х Pfsence.

pigbrother

По идее достаточно правил на нужных интерфейсах
например правило
IPv4 * OPT3 net * OPT1 net * * none
даст полный доступ  OPT3->OPT1 (но не даст  OPT1->OPT3)

И не забывайте, что встроенный в Windows брандмауэр блокирует по умолчанию доступ из других подсетей.

reanews

тестовое правило типа такого

IPv4 *    *  *    *  *    *    none

созданное на обоих интерфейсах Firewall - Rules

не проходят пинги и не видно расшаренную папку на компьютере в OPT1
этот метод точно должен работать?
(спасибо за ответ)

pigbrother

IPv4 *    *  *    *  *    *    none

В таком виде не пробовал.
OPT-интерфейсы имеют назначенные IP?
Брандмауэр на целевой машине отключен?
К папкам обращаться попробуйте по IP
\10.10.10.1

В  Diagnostics-Routes
есть записи вида
10.10.х.0/24 link#х U

reanews

К папкам обращаюсь по IP.

Брандмауэр выключил думаю что полностью. В 2х местах. И в защитнике windows 10 брандмауэр  и касперский выключил самозащиту и выгрузил полностью.

есть:
10.10.10.1 link#8 UHS 42302 16384 lo0

интерфейсы? ну при формировании vlan я явно задавал, включать DHCP адреса и диапазоны. Адреса во вланах выдаются как задумывалось.  текущие компьютеры зарезервировал по маку к IP. из пока 2.
но из первой сети шлюз 10.10.10.1 пингуется и открывается веб-морда, а из второго 10.10.20.1 не пингуется и соответственно 10.10.10.1 тоже не пингуется..

на компе 10.10.10.11 собрал сейчас виртуальную машину. на ней поднял самба-шару, получил адрес 10.10.10.53 и с 10.10.10.11 я ее вижу эту шару и пингую и папку вижу и в сети она есть . а вот из 10.10.20.5 ее не вижу, не пингую.

не работает что-то.
и в poute PRINT на 10.10.20.5 нет маршрута в 10.10.10.0 а я так понимаю он там должен же появиться?

Так, все. "доотключал" брандмауэр в 10.10.20.5 и пинги с 10.10.10.11 пошли. Ох уш мне эта windows 10 ))) Благодарю "pigbrother" за помощь. Буду дальше разбираться.

pigbrother

и в poute PRINT на 10.10.20.5 нет маршрута в 10.10.10.0 а я так понимаю он там должен же появиться?

Нет. Шлюзом по умолчанию для каждой подсети каждой VLAN должен, по идее, являться IP соответстующего этой сети OPTx, который обычно задается статически.
И именно через этот шлюз по умолчанию конкретная подсеть обращается к другой подсети.

Я не использую VLAN, но описанный способ доступа через правила задействован  для взаимодействия LAN<->DMZ.

В  Diagnostics-Routes должны быть записи
10.10.х.0**/24**  link#х  U
для каждой подсети.