PfSense более как роутер

dvserg · Mar 27, 2013, 7:37 AM

Должен на WAN нормально работать. Нарисуйте общую схему и какие настройки сделаны? Не понятно в каком режиме у Вас что работает.
Правила (1) и (2) для серых сетей обязательно отключать.

nomeron · Mar 27, 2013, 7:44 AM

C отключенными
Block private networks
Block bogon networks
и разрешающим правилом, первая схема у меня работает.
Чтобы реализовать LAN1, LAN2, LAN3 ставьте физические адаптеры, или добавляете Firewall: Virtual IP Address
и WAN тогда не понадобиться
При маршрутизации очень поможет
System: Advanced: Firewall and NAT
Включить Bypass firewall rules for traffic on the same interface

Hoper · Mar 27, 2013, 8:13 AM

Схема такая:
172.23.0.0–----172.23.1.1[pfSense]192.168.10.10–---DMZ-----192.168.10.1[FW-bsd]1.2.3.4–-Inrenet

рис. 1 - WAN- LAN

рис. 2 - config WAN

рис. 3 - config LAN

рис. 4 - rules WAN

рис. 5 - rules LAN

рис. 6 - NAT

Вот с такими настройками GW отваливается через минут 10-20. Т.е. карточка status: active и с других серверов пингуется. А с нее пинга нет.
Если на WAN что то сделать (перепустить, поменять правило, переткнуть кабель) то на сеть востанавливается на 10-20 мин.
Могут ли быть проблемы если карточки 100 и 1000???

dvserg · Mar 27, 2013, 12:54 PM

Железо, как один из вариантов.

rubic · Mar 27, 2013, 2:35 PM

@dvserg:

Железо, как один из вариантов.

Настройки pfSense правильные и не мешают пингам.

Hoper · Mar 28, 2013, 12:34 PM

сменил полностью машину.
Другие сетевые, другой процессор, другая материнка
Общее только то, что внутренняя сетевая на 1000 Мб/с а внешняя на 100Мб/с
А проблема таже: исходящий пинг отваливается через неопределенное время

Чую где то накосячил в настройках… но вот где? Что может срабатывать и на какое событие... ?

netormoz · Mar 30, 2013, 9:31 AM

1. Надо выключить NAT и посмотреть, как будут ходить пакеты между лановскими сетями.
2. При включенном и автоматически создаваемом NAT надо прописывать default gateway для каждой лановской подсети. Предположим,
задается адрес на PFsense 172.16.0.1 .Ниже строчкой он указывается как default gateway. Ну а дальше в Rules прописываешь какая сеть Lan какую видит.
3. Я обычно запрещаю автоматическое создание NAT при назначении адреса новой подсети на интерфейсе. Поэтому правила в Rules не нужны, но без указания default gateway сетки друг друга по-моему не видят.

nomeron · Mar 30, 2013, 1:33 PM

Я бы на вашем месте
1. отключил LAN физически и запустил пинг шлюза с WAN интерфейса
чтобы удостовериться что сегмент работает (лучше узла в интернете по имени, чтобы проверить NAT и DNS на шлюзе заодно)
и обратил внимание на TTL (если значение разные- то пакеты могут бегать разными путями)

2. потом вернул LAN и включил сбор пакетов на WAN
и проверил нет фрагментации, непонятных arp пакетов, мультикаста и тп.

Hoper · Apr 3, 2013, 10:00 AM

@nomeron:

Я бы на вашем месте
1. отключил LAN физически и запустил пинг шлюза с WAN интерфейса
чтобы удостовериться что сегмент работает (лучше узла в интернете по имени, чтобы проверить NAT и DNS на шлюзе заодно)
и обратил внимание на TTL (если значение разные- то пакеты могут бегать разными путями)

2. потом вернул LAN и включил сбор пакетов на WAN
и проверил нет фрагментации, непонятных arp пакетов, мультикаста и тп.

1. TTL постоянно
2. на WAN непонятно только это:
block WAN 0.0.0.0:68 255.255.255.255:67 UDP - у меня в DMZ нет DHCP сервера да и клиентов тоже неоткуда взять (все статика)

StanislawK · Apr 3, 2013, 2:43 PM

@Hoper:

2. на WAN непонятно только это:
block WAN 0.0.0.0:68 255.255.255.255:67 UDP - у меня в DMZ нет DHCP сервера да и клиентов тоже неоткуда взять (все статика)

В DMZ какой ни будь комп опрашивает кто там рядом есть.
Совсем не обязательно что он хочет получить IP адрес. Например он хочет узнать у DHCP как выйти в интернет.