[SOLUCIONADO] pfsense como DomU en Xen, No funciona NAT en las otras DomU.
-
Buenas. Explico el escenario.
Tengo un servidor Virtual (debian 7, XEN, llamado XEN1) con 2 tarjetas de red, eth0 y eth1, donde eth0 es la IP interna 192.168.1.100 y eth1 es la publica del ISP pero no tiene IP seteada, eth1 solo hace bridge.
Pfsense esta como DomU con la IP interna 192.168.1.1 (bridge de eth0) y la ip publica 200.x.x.x (bridge de eth1)
hasta aqui todo bien, en dicho servidor XEN1 (192.168.1.100), tengo otras 3 virtuales con la IP 1.101, 1.102 y 1.103 (bridge de eth0)
Las mismas salen a internet a travez del pfsense, todo ok hasta aqui,
En otro servidor XEN (llamémoslo XEN2) , el cual solo es interno, maneja la IP 192.168.1.200, y mantiene 2 virtuales con IP 1.201 y 1.202, este servidor XEN2 no maneja ip publica, es solo servicios internos (LAN), Las maquinas salen a internet mediante pfsesne (que es si gateway). aqui todo sin problemas.
El Problema:
El NAT solo me funciona con las virtuales del XEN2 pero: NO ME FUNCIONA CON LAS VIRTUALES DEL XEN1 QUE ES DONDE ESTA EL PFSENSE.
A pesar de que los Log dicen que el paquete paso (PASS)
-
Puedes hacer un diagrama ?? Has hecho ping?
-
Todas la maquinas se ven. ping, telnet etc.
No funciona el NAT con las virtuales donde esta el mismo pfsense
En cambio en el NAT hacia el otro servidor XEN, funciona sin problemas con las DomU,
-
Y esas virtuales le hacen ping al xen donde estan??? Pon el diagrama y la configuracion de red de los equipos..has probado si es cuestion de dns? Prueba navergar por ip y no por dominio
-
Gracias Juancho por la atencion.
Te adjunto la imagen.
fijate, en el servidor xen1 tengo 2 tarjetas de red, eth1 y eth2, a nivel de xen, cree 2 bridge, uno para eth1 el cual llame xenbr1 y otro para eth2 el cual llame xenbr2.
Para efectos de IP interna del servidor, xenbr2 tiene la ip 10.168.249.100, pero para xenbr1, no tengo IP seteada, solo esta como bridge.
La vm pfsense, SI tiene seteada la ip publica 200.x.x.3 la cual sale por el bridge xenbr1, y para el bridge xenbr2 usa 10.168.249.1
En este punto, si me logueo al servidor XEN y hago IFCONFIG solo tengo la IP 10.168.249.100, no tengo IP publica. ya que mi salida es mediante la VM Pfsense de esta forma mi servidor no esta expuesto a la calle (WAN).
Las virtuales dentro de XEN1, hacen bridge a xenbr2, es decir físicamente comparten la eth2 con la interna del pfsense.
Ellas salen a internet, por IP, por DNS, etc, no tengo problemas de navegación ni DHCP. etc.
En el cuadro fijate de xen2, el cual va al router, allí tengo otras virtuales, todas navegan a través del pfsense 10.168.249.1, y se ven sin problemas con la otras VM.
Problema: El NAT del PFSENSE no me funciona con las VM donde esta el mismo PFSENSE. (en pfsense en los log, sale como si nada bloqueara).
Pero el NAT hacia las VM del XEN2, si funciona sin problemas.
-
Google xen nat site:forum.pfsense.org
https://forum.pfsense.org/index.php?topic=88467.0
https://forum.pfsense.org/index.php?topic=70617.0 (bastante viejo)
-
Gracias Bellera,
Efectivamente me ayudaron los link que me enviaste, empezó a funcionar el NAT con las DomU donde estaba el mismo Pfsense.
Aunque los alias de las virtuales (VIF) varían de acuerdo al apagado y encendido de maquinas virtuales así como la creación de nuevas maquinas, me tuve que diseñar el siguiente script y por medio de un cron para que se ejecute cada hora.
for a in
ifconfig | grep vif | awk '{print $1}'
do
ethtool -K $a tx off
doneEs importante resaltar que eso es un tema netamente de XEN que afecta cuando se usa PFSENSE como DomU en XEN o KVM.
Desconozco el comportamiento de PFSENSE con otros motores como VIrtualBox, VMWARE, entre otros.
-
Pues la verdad no he tenido ese problema, tengo varios xen virtualizando el pfsense y mis maquinas no tienen problemas para salir por pfsense.. creo que alli estas usando el hipervisor para hacer nat y no como bridge… has probado usando openvswitch para el manejo de la red entre las maquinas virtuales?
-
Hola Juancho
La verdad este es un caso que me toco por primera vez, ya que no acostumbro a usar pfsense como equipo petrimetral virtualizado, siempre he usado y es lo que recomiendo equipos dedicados.
Ahora con Xen nunca he tenido problemas de ningun tipo a nivel de red. Solo en este caso que lo unico que no me funcionaba era el NAT (wan=>lan) con las vm que estaban en la Dom0 donde estaba el mismo pfsense. En Cambio contra las otras vm de otros xen (otros Dom0) si funcionaba el NAT.
No uso NAT en XEN, es obvio por el esquema que tengo, lo tengo modo bridge, de hecho la IP publica esta para una interfaz dedicada y es la que esta seteada como IP publica en el pfsense, de esta forma el servidor XEN en si, no esta expuesto a la WAN ya que fisicamente solo maneja IP Internas.
El Link que me facilito Bellera esta claro todo: https://forum.pfsense.org/index.php?topic=88467.0