PfSense более как роутер

Hoper

Хотел использовать pfSense больше для роутинга между серыми сетями.
Собралось 3 (172…. 192.168.1.0/16 192.168.5.0/16) сети, за которыми есть еще сети.
Все это дело хочу свести на pfSense, фактически это будет LAN1, LAN2, LAN3.
А у pfSense обязательно должен быть WAN и для него есть особенности.
Столкнулся при быстром развертывании:
LANnet–----LAN[pfSense]WAN–---DMZ-----LAN[FW-bsd]WAN–-Inrenet
GW:FW-bsd
Если оставлять правила:
1. RFC 1918 networks
2. Reserved/not assigned by IANA
то в DMZ остальные сервера не видят pfSense
Если эти правила отключить - через какое-то время (10 - 30 мин) отваливается GW (насколько я поминаю срабатывает блокировка, только вот что за она???)
Получается что надо делать так:
LANnet–----LAN[pfSense]LAN–---DMZ-----LAN[FW-bsd]WAN–-Inrenet
Но я не нашел как это сделать.

Возможно ли сделать LAN[pfSense]LAN ?
Или подскажите почему отваливается GW?

dvserg

Должен на WAN нормально работать. Нарисуйте общую схему и какие настройки сделаны? Не понятно в каком режиме у Вас что работает.
Правила (1) и (2) для серых сетей обязательно отключать.

nomeron

C отключенными
Block private networks
Block bogon networks
и разрешающим правилом, первая схема у меня работает.
Чтобы реализовать LAN1, LAN2, LAN3 ставьте физические адаптеры, или добавляете Firewall: Virtual IP Address
и WAN тогда не понадобиться
При маршрутизации очень поможет
System: Advanced: Firewall and NAT
Включить Bypass firewall rules for traffic on the same interface

Hoper

Схема такая:
172.23.0.0–----172.23.1.1[pfSense]192.168.10.10–---DMZ-----192.168.10.1[FW-bsd]1.2.3.4–-Inrenet

рис. 1 - WAN- LAN

рис. 2 - config WAN

рис. 3 - config LAN

рис. 4 - rules WAN

рис. 5 - rules LAN

рис. 6 - NAT

Вот с такими настройками GW отваливается через минут 10-20. Т.е. карточка status: active и с других серверов пингуется. А с нее пинга нет.
Если на WAN что то сделать (перепустить, поменять правило, переткнуть кабель) то на сеть востанавливается на 10-20 мин.
Могут ли быть проблемы если карточки 100 и 1000???

dvserg

Железо, как один из вариантов.

rubic

@dvserg:

Железо, как один из вариантов.

Настройки pfSense правильные и не мешают пингам.

Hoper

сменил полностью машину.
Другие сетевые, другой процессор, другая материнка
Общее только то, что внутренняя сетевая на 1000 Мб/с а внешняя на 100Мб/с
А проблема таже: исходящий пинг отваливается через неопределенное время

Чую где то накосячил в настройках… но вот где? Что может срабатывать и на какое событие... ?

netormoz

1. Надо выключить NAT и посмотреть, как будут ходить пакеты между лановскими сетями.
2. При включенном и автоматически создаваемом NAT надо прописывать default gateway для каждой лановской подсети. Предположим,
задается адрес на PFsense 172.16.0.1  .Ниже строчкой он указывается как default gateway. Ну а дальше в Rules прописываешь какая сеть Lan какую видит.
3. Я обычно запрещаю автоматическое создание NAT при назначении адреса новой подсети на интерфейсе. Поэтому правила в Rules не нужны, но без указания default gateway сетки друг друга по-моему не видят.

nomeron

Я бы на вашем месте
1. отключил LAN физически и запустил пинг шлюза  с WAN интерфейса
чтобы удостовериться что сегмент работает (лучше узла в интернете по имени, чтобы проверить NAT и DNS на шлюзе заодно)
и обратил внимание на TTL (если значение разные- то пакеты могут бегать разными путями)

2. потом вернул LAN и включил сбор пакетов на WAN
и проверил нет фрагментации, непонятных arp пакетов, мультикаста и тп.

Hoper

@nomeron:

Я бы на вашем месте
1. отключил LAN физически и запустил пинг шлюза  с WAN интерфейса
чтобы удостовериться что сегмент работает (лучше узла в интернете по имени, чтобы проверить NAT и DNS на шлюзе заодно)
и обратил внимание на TTL (если значение разные- то пакеты могут бегать разными путями)

2. потом вернул LAN и включил сбор пакетов на WAN
и проверил нет фрагментации, непонятных arp пакетов, мультикаста и тп.

1. TTL постоянно
2. на WAN непонятно только это:
block          WAN   0.0.0.0:68   255.255.255.255:67 UDP - у меня в DMZ нет DHCP сервера да и клиентов тоже неоткуда взять (все статика)

StanislawK

@Hoper:

2. на WAN непонятно только это:
block           WAN    0.0.0.0:68    255.255.255.255:67 UDP - у меня в DMZ нет DHCP сервера да и клиентов тоже неоткуда взять (все статика)

В DMZ какой ни будь комп опрашивает кто там рядом есть.
Совсем не обязательно что он хочет получить IP адрес. Например он хочет узнать у DHCP как выйти в интернет.