Вопрос про создание и настройку vlan
-
Добрый день, есть пару вопросов про то как работать с vlan в pfsense.
в интерфейсах создал два vlan 100(орt1) u 200(opt2) по веб интерфейсу, если подключится клавиатурой и монитором к машине где установлен он, opt1 u opt2 идут почемуто под маркировкой vlan1 u vlan2, тут немного не понимаю, толи вебинтерфейс шалит толи ето для себя pf так обозначил?
потом как сделать что бы вланы могли видить друг друга, но не видеть lan и выходить через wan(em1)(меня интересует хотябы теория).vlan создавал на mac lan(em0)
и как убедится что все vlan исправно выходят с сетевой(em0,opt1,opt2).
-wan(em1)-lan(em0)
\vlan 100(opt1)
\vlan 200(opt2) -
vlan1, vlan2 - это да, для себя pfSense обозначает, это не 802.1Q VLAN ID.
Остальные вопросы не понял. -
да вот настроил свич, один порт тегом, другой антегом, с PF включаю в тегированный, а компьютер в антаг, на компьюторе ip адресс vlan. не пингуются ПФ с компьютером. на фаирволе все разрешил, на ПФ с opt1 пингую lan, wan.
вот и стал вопрос как убедится что ПФ всетаки выдает vlan(маркированные пакеты) на сетевую на которой настроен lan.
попробывал сделать одинаковые ip на интерфейсе opt1 и компьюторе, комп написал что такой ip уже есть в сети, думаю что свич настроен верно, но почему то не пингуется с opt1 ip компьютера. -
пробывал, пинга нет, и как бы не должно быть, потому как в данном случае свич становится обычным неуправляемым, т.е сделав ip как на лане, я пингую. а при opt1, нет.
да и как бы пытаюсь разобратся в работе вланов на ПФ, пока затычка в том что с пф я не пингую компьютор в vlane. -
Tcpdump вида
tcpdump -i ifacexx -n vlan 123
что говорит?
-
если на самом ПВ,то
BIOCSETIF: ifacexx: Device not configured.
пф ошибок не показывает
Status: InterfacesWAN interface (em1)
Status up
MAC address 00:0f:fe5a:17
IP address 192.168.181.9
Subnet mask 255.255.255.0
Gateway 192.168.181.25
ISP DNS servers 192.168.181.51
81.17.2.171Media 100baseTX <full-duplex>In/out packets 198348/39428 (83.13 MB/4.45 MB)
In/out errors 0/0
Collisions 0LAN interface (em0)
Status up
MAC address 00:10:b5:b6:c8:60
IP address 192.168.1.1
Subnet mask 255.255.255.0
Media 100baseTX <full-duplex>In/out packets 45897/103200 (5.03 MB/74.87 MB)
In/out errors 0/0
Collisions 0
Bridge (bridge0) learningOPT1 interface (vlan0)
Status up
MAC address 00:30:05:ea:93:c7
IP address 192.168.157.1
Subnet mask 255.255.255.0
Media 100baseTX <full-duplex>In/out packets 0/1 (0 bytes/42 bytes)
In/out errors 0/0
Collisions 0</full-duplex></full-duplex></full-duplex> -
вы слишком буквально поняли -ifacexx надо замеить на имя интерфейса (vr0 ral0 em1 vlan1 итд)
-
вы слишком буквально поняли -ifacexx надо замеить на имя интерфейса (vr0 ral0 em1 vlan1 итд)
ifaceXX интерфейс на котором поднят Влан
VLAN 123 - номер заменить на ВАШ -
-
-
-
-
*** Welcome to pfSense 1.2.3-RELEASE-pfSense on pfsense ***
LAN* -> em0 -> 192.168.1.1
WAN* -> em1 -> 192.168.81.9
OPT1(OPT1) -> vlan0 -> 192.168.157.1
OPT2(OPT2) -> vlan1 -> 192.168.158.1pfSense console setup
0) Logout (SSH only)
1) Assign Interfaces
2) Set LAN IP address
3) Reset webConfigurator password
4) Reset to factory defaults
5) Reboot system
6) Halt system
7) Ping host
8) Shell
9) PFtop
10) Filter Logs
11) Restart webConfigurator
12) pfSense Developer Shell
13) Upgrade from console
14) Disable Secure Shell (sshd)Enter an option: 8
tcpdump -n -i vlan0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kerneltcpdump -n -i vlan1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan1, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kerneltcpdump -i rl0 -n vlan 100
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
28862 packets received by filter
0 packets dropped by kernelкаждый раз ждал по 30 сек
-
все разобрался. нашел где косяк был, в нате лишнее правило было..
теперь стал вопрос о том как читаются правила с верху внихз или с низу верх?
пытаюсь счас сделать так что бы с opt1 уходил на wan не заходя в lan(невидился в сети лан)
и лан что бы ходил через ван и не видел опт1. -
все разобрался. нашел где косяк был, в нате лишнее правило было..
теперь стал вопрос о том как читаются правила с верху внихз или с низу верх?
пытаюсь счас сделать так что бы с opt1 уходил на wan не заходя в lan(невидился в сети лан)
и лан что бы ходил через ван и не видел опт1.Правила читаются сверху вниз. Срабатывает первое подходящее.
-
тоесть если у меня в начале стоитразрешающее правло, ходить куда угодно, то следующее которое разрешает ходить только в указанную сетку - не сработает, так получается. если я понял верно, то вначале если мне надо что бы трафик с ОПР1 ходил на ВАН, то первое правило в ОПТ1 будет примерно - опт1, все протоколы, сорс - сетка ОПТ1, дест - ван, все порты - разрешить
а на лане первое правило - Лан, все порты, сорс сетка лан,дест ОПТ1, все порты - запретить.
правильно?