Свежеустановленный pfSense не видит сеть (одна с
-
Всем доброго!
Увидел я у знакомых в конторе интернет-шлюз на pfSense, установленный на тонкий клиент с одной сетевухой + коммутатор с VLan-ами.
Очень меня заинтересовал этот вариант, поэтому я затеял установить pfSense для "посмотреть и поизучать", тем более, что у меня есть как раз свободный тонкий клиент с одним сетевым интерфейсом, Intel Atom, 4 Гб оперативки и свободный управляемый коммутатор.
В качестве дистрибутива был выбран pfSense-memstick-2.1-RELEASE-amd64.img.gz, благополучно записан на флешку и установлен. В процессе установки ошибок не было. После установки были созданы два vlan, назначены WAN и LAN - интерфейсы и назначены статические IP каждому:
WAN (wan) -> re0_vlan2 ->v4: 172.16.0.101/24
LAN (lan) -> re0_vlan3 ->v4: 192.168.8.5/21
В настоящий момент в тестовой сети есть три девайса: сам тонкий клиент с pfSense и настройками, указанными выше; коммутатор, с назначенным адресом 192.168.8.200/21 и комп с ХР и адресами на интерфейсе 192.168.8.41/21 и 172.16.0.41/24
Суть проблемы в том, что свежеустановленный и начально-сконфигурированный pfSense "не видит" никого, кроме себя. Т.е. ping host идет только по адресам, назначенным его интерфейсам, но ни коммутатор, ни машину с ХР ни по одному адресу не пингует. С ХР его, соответственно тоже не видно. Ни ping-ом, ни через браузер по http://172.16.0.101 или http://192.168.8.5
Пробовал заменить коммутатор на обычный, без настроенных VLan-ов - не помогло. Модель тонкого клиента назвать затрудняюсь, ибо "намертво" приклеен к монитору не то двойным скотчем, не то еще чем-то. Про сетевуху могу сказать, что это Realtek, причем, судя по индикации на коммутаторе - гигабитный.
Пробовал ставить и другой дистрибутив, i386 (pfSense-memstick-2.1-RELEASE-i386.img.gz) - проблемы аналогичные.
При ping-е индикатор порта коммутатора радостно моргает. -
Частично разобрался, в чем была моя ошибка - в процессе первоначальной настройки почти по русски было сказано, что не надо создавать VLan-ы, если не хочешь получить проблемы при работе с веб-конфигуратором! :)
Ок, после сброса на дефолтные настройки, не стал их (VLan-ы) создавать, дал адрес WAN-интерфейсу и смог подключиться браузером к pfSense.
Сначала были проблемы по ходу выполнения настроек мастера конфигуририрования, который запускался при первом подключении по http. А именно - после попыток создать и назначить Lan интерфейс. После его создания, адрес Wan интерфейса становился недоступным для браузера. Ладно, я пошел другим путем - на первом же шаге мастера нажал на логотип pfSense и попал на страницу с Dashboard-ом. Ура, казалось бы, но нет. Суть проблемы не изменилась - как только я создаю VLan, создаю интерфейс Lan и помещаю его в созданный VLan, я теряю доступ по http к pfSense. Причем, адрес для Lan я еще не успел настроить, а Wan уже недоступен.
Подскажите, плз, в чем ошибка? Подскажите последовательность действий или ткните в какой-нить материал по настройке pfSense с одним интерфейсом. -
Настройка VLAN (правда с 2-мя сетевыми), но может натолкнет на какую мысль - http://www.iceflatline.com/2013/09/how-to-create-and-configure-vlans-in-pfsense/
P.s. Вы случаем VLAN 1 не используете при настройке ? http://www.theninjageek.co.za/pfsense-configuring-vlans/
never configure VLAN 1 for use on your pfSense firewall as this is generally the VLAN Management ID across the switches and shouldn’t be used for anything else.
-
Проблему пока не решил, для настройки с одним сетевым адаптером пока мало инфы нашел. За линк спасибо, посмотрю, но не уверен, что это мой случай…
ps VLan1 не использовал, только 2 и 3 -
Хммм, вот тут пишут , что все ок и с ождной сетевой. Человек просто перезагрузился после настройки VLAN:
http://forum.pfsense.org/index.php/topic,43189.msg223616.html#msg223616
Quote from: wallabybob on November 20, 2011, 05:06:10 pm
Have you ever rebooted after changing the configuration to use VLANs and then the system to the VLAN configuration you set on the previous startup? (This would mean the system started with the VLAN configuration.) Though I can't recall the specifics I have seen some problems when changing significant network parameters through the console.
In short, rebooting pfSense fixed everything; Thank you so much.
I had rebooted once before, due to a caution in the pfSense book that some NICs required it the first time a VLAN was set up. Not sure why that didn't do the trick. I had also noticed that (in the console) after assigning interfaces to the VLAN, I also needed to reset the interface IP addresses, even though they appeared correct in the console; that may have been a clue that things were not going exactly as they should have.
So this time, I assigned LAN to em3_vlan10 and WAN to em3_vlan900, changed the cabling to reflect that, and rebooted pfSense. When pfSense came up, the LAN and WAN were working properly through the VLAN trunk to pfSense. After verifying that LAN and WAN were connected properly, I used the pfSense GUI to add VLAN 20 to em3 and assign em3_vlan20 to the WLAN; changed cable for the WLAN and it came up without needing to reboot.
Thanks much again for your help. It seems that Occam's Razor is still valid. Perhaps this saga will be of help to others attempting similar configurations. Your point about significant changes through the console perhaps not taking effect properly and therefore possibly requiring a reboot is one that should be kept in mind when working with pfSense.
-
Ок, спасибо! Сегодня доберусь до офиса - попробую! На виртуалке Hyper-V в составе Windows 8.1 не получается. Если в виртуалке установлен обычный адаптер, то дистрибутив его вообще не видит - No available network interface detected или что-то в этом роде, а если поставить Legacy адаптер, то другое сообщение - No VLAN capable interfaces detected.
-
Hyper-V ?!!! Вы сперва поищите-почитайте, как "чудесно" работает FreeBSD в общем, и pfsense в частности на гипере от M$.
Люди даже спец. дистрибутив создали для этого дела - http://forum.pfsense.org/index.php/topic,56565.135.html .Там же появился и пост о VLAN на Hyper-V :
RE: lack of VLAN support, one workaround I've been using successfully on Hyper-V PF vm's is to simply create additional vNics in Hyper-V, tagging at the Host level. PF just sees them as separate Network Adapters, which should work just fine for your needs.
Best advice, at least in 2012 / 2012 R2 with Hyper-V is to team all the host nics, then use the HV Virtual Switch to break out vNics via powershell, especially if you need to expose them to the host.
Add-VMNetworkAdapter -VMNetworkAdapterName "eth1" -VMName "PFsense"
Set-VMNetworkAdapterVlan -VMName "PFsense" -Trunk -NativeVlanId 1 -AllowedVlanIdList 1-4094 -VMNetworkAdapterName "eth1"
Where PFsense is the name of your Virtual.To set the VLAN on the Host vNics, you'll need the -ManagementOS flag.
Set-VMNetworkAdapterVlan -ManagementOS [-Access] [-AllowedVlanIdList <string>] [-Community] [-ComputerName <string[]>] [-Isolated] [-NativeVlanId <int32>] [-Passthru] [-PrimaryVlanId <int32>] [-Promiscuous] [-SecondaryVlanId <int32>] [-SecondaryVlanIdList <string>] [-Trunk] [-Untagged] [-VlanId <int32>] [-VMNetworkAdapterName <string>] [-Confirm] [-WhatIf] [ <commonparameters>]</commonparameters></string></int32></string></int32></int32></int32></string[]></string>P.s. Мой "рейтинг" совместимости с гипервизорами :
1. VmWare ESXi
2. Proxmox
3. Xen (если вручную заставить эмулировать интеловскую e1000 вместо дефолтного realtek-а)
4. MS Hyper-V :'( - только тогда, когда возможности в виде установки другого гипера или отдельной железки 100% нет. -
2werter: спасибо за ссылку, почитаю, надеюсь разберусь.
Я на выходные взял домой неттоп, дабы все же разобраться. На текущий момент ситуация следующая: доступ через web получаю только если при первичной настройке отказаться от создания VLan. В этом случае я создаю только WAN, дальше получаю на него адрес с домашнего роутера и захожу в webconfigurator, назначаю статику на WAN интерфейсе, прописываю gateway. После чего, используя новый, только что назначенный адрес, опять же без проблем могу зайти браузером в webconfigurator. Вижу, что появился доступ в интернет, т.к. проверка обновлений говорит, что "You are on the latest version." Дальше я создаю два VLan-а - 2 и 3. Сохраняю. Пока еще доступ есть, страница обновляется и есть возможность перехода по разным пунктам меню. Создаю Lan интерфейс, сразу включаю его, назначаю ему статический IP 192.168.1.6 и привязываю его к VLan3. Все. Тут появляется надпись, что мне необходимо применить изменения, чтобы изменения вступили в силу. А после сохранения этих изменений нет доступа к web через любой из двух имеющихся адресов. Что я делаю не правильно, в чем ошибка?
ps Перезагрузка pfSense не помогает.
pps Единственным сетевым адаптером неттоп подключен к домашнему свичу. WAN интерфейс получает адрес от домашнего роутера, адрес сети 192.168.8.0/24, адрес меняю на статику из того же диапазона. На сетевушке компа, с которого конфигурирую pfSense вторым адресом указан 192.168.1.22/24 Из этого же диапазона назначаю статический адрес LAN на pfSense -
Может всетаки косяк в настройках?
Я бы добавил еще один интерфейс с vlan и стал бы его настраивать, не теряя связь с консолью -
Создаю Lan интерфейс, сразу включаю его
А не включая , его возможно настроить (задать ИП, маску м т.д.), перезагрузиться и только после этого включить?
P.s. Я смотрю у вас сетевая Realtek - возможно в этом проблема.
-
ТОПИК СТАРТЕР, всё же просто как два рубля.
в pfsense есть такое правило доступа к вэб морде ( по которому ты собственно туда и заходишь) которое по умолчанию прописывается на интерфейс, оно не удаляемое. точнее его можно отключить в адвансед.
когда ты настраиваешь первый и единственный интерфейс ( пфсенс его считает за WAN) это правило прописывается на него.
как только ты создаешь ещё один интерфейс (не важно физический или vlan ) пф сенс сразу начинает его ( именно второй по счёту таблицы интерфейсов OPTn) считать LAN и перекидывает, это самое правило на него.
и ты куришь бамбук.
решение простое.
простив визард заходишь в правила FireWall WAN интерфейса и пишешь теда доступ из своей подсети или вообще any то WAN interface adress
ставишь либо tcp 80 либо опять таки any протоколы
и спокойно начинаешь конфигурировать дальше, собственно тут ты и увидишь, что то самое правило переметнулось.
успеховв -
WY6EPT
Спасибо!
Побежал пробовать :)
werterА не включая , его возможно настроить (задать ИП, маску м т.д.), перезагрузиться и только после этого включить?
Тож попробую.
P.s. Я смотрю у вас сетевая Realtek - возможно в этом проблема.
Да, читал о проблемах с этими картами. Надеюсь, не в ней дело.
-
Наметился определенный прогресс! :)
Создал VLan2 и VLan3, создал и привязал к VLan3 интерфейс Lan, назначил айпишник, включил, проверил, что в фаерволе есть разрешающее правило. Вроде, все должно быть Ок, но ни зайти по этому IP на веб-морду pfSense, ни пингануть как клиента с pfSense, так и pfSense с клиента я не могу.
В тестовой сети сейчас 3 устройства:1. Неттоп с pfSense. WAN->re0 (10.99.0.101/24); LAN->VLan3 (192.168.8.5/21)
2. PC под управлением Win7. Адреса на сетевушке: 10.99.0.20/24 и 192.168.8.20/21
3. Коммутатор DLink пока без настроенных VLanВ итоге, доступ к web-морде pfSense с виндовой машины есть только по адресу Wan-интерфейса: http://10.99.0.101. И пинг от pfSense идет только на адрес 10.99.0.20/24
Я где-то ошибся или и правда дело в Realtek-e?