Вопрос про создание и настройку vlan
-
пробывал, пинга нет, и как бы не должно быть, потому как в данном случае свич становится обычным неуправляемым, т.е сделав ip как на лане, я пингую. а при opt1, нет.
да и как бы пытаюсь разобратся в работе вланов на ПФ, пока затычка в том что с пф я не пингую компьютор в vlane. -
Tcpdump вида
tcpdump -i ifacexx -n vlan 123
что говорит?
-
если на самом ПВ,то
BIOCSETIF: ifacexx: Device not configured.
пф ошибок не показывает
Status: InterfacesWAN interface (em1)
Status up
MAC address 00:0f:fe5a:17
IP address 192.168.181.9
Subnet mask 255.255.255.0
Gateway 192.168.181.25
ISP DNS servers 192.168.181.51
81.17.2.171Media 100baseTX <full-duplex>In/out packets 198348/39428 (83.13 MB/4.45 MB)
In/out errors 0/0
Collisions 0LAN interface (em0)
Status up
MAC address 00:10:b5:b6:c8:60
IP address 192.168.1.1
Subnet mask 255.255.255.0
Media 100baseTX <full-duplex>In/out packets 45897/103200 (5.03 MB/74.87 MB)
In/out errors 0/0
Collisions 0
Bridge (bridge0) learningOPT1 interface (vlan0)
Status up
MAC address 00:30:05:ea:93:c7
IP address 192.168.157.1
Subnet mask 255.255.255.0
Media 100baseTX <full-duplex>In/out packets 0/1 (0 bytes/42 bytes)
In/out errors 0/0
Collisions 0</full-duplex></full-duplex></full-duplex> -
вы слишком буквально поняли -ifacexx надо замеить на имя интерфейса (vr0 ral0 em1 vlan1 итд)
-
вы слишком буквально поняли -ifacexx надо замеить на имя интерфейса (vr0 ral0 em1 vlan1 итд)
ifaceXX интерфейс на котором поднят Влан
VLAN 123 - номер заменить на ВАШ -
-
-
-
-
*** Welcome to pfSense 1.2.3-RELEASE-pfSense on pfsense ***
LAN* -> em0 -> 192.168.1.1
WAN* -> em1 -> 192.168.81.9
OPT1(OPT1) -> vlan0 -> 192.168.157.1
OPT2(OPT2) -> vlan1 -> 192.168.158.1pfSense console setup
0) Logout (SSH only)
1) Assign Interfaces
2) Set LAN IP address
3) Reset webConfigurator password
4) Reset to factory defaults
5) Reboot system
6) Halt system
7) Ping host
8) Shell
9) PFtop
10) Filter Logs
11) Restart webConfigurator
12) pfSense Developer Shell
13) Upgrade from console
14) Disable Secure Shell (sshd)Enter an option: 8
tcpdump -n -i vlan0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kerneltcpdump -n -i vlan1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan1, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kerneltcpdump -i rl0 -n vlan 100
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
28862 packets received by filter
0 packets dropped by kernelкаждый раз ждал по 30 сек
-
все разобрался. нашел где косяк был, в нате лишнее правило было..
теперь стал вопрос о том как читаются правила с верху внихз или с низу верх?
пытаюсь счас сделать так что бы с opt1 уходил на wan не заходя в lan(невидился в сети лан)
и лан что бы ходил через ван и не видел опт1. -
все разобрался. нашел где косяк был, в нате лишнее правило было..
теперь стал вопрос о том как читаются правила с верху внихз или с низу верх?
пытаюсь счас сделать так что бы с opt1 уходил на wan не заходя в lan(невидился в сети лан)
и лан что бы ходил через ван и не видел опт1.Правила читаются сверху вниз. Срабатывает первое подходящее.
-
тоесть если у меня в начале стоитразрешающее правло, ходить куда угодно, то следующее которое разрешает ходить только в указанную сетку - не сработает, так получается. если я понял верно, то вначале если мне надо что бы трафик с ОПР1 ходил на ВАН, то первое правило в ОПТ1 будет примерно - опт1, все протоколы, сорс - сетка ОПТ1, дест - ван, все порты - разрешить
а на лане первое правило - Лан, все порты, сорс сетка лан,дест ОПТ1, все порты - запретить.
правильно?