Настройка маршрутизации между двумя инте
-
Добрый день!
Работаю с PFSense недавно. Прошу помощи в настройке PFSense.Использую в работе PFSense:
2.2.4-RELEASE (amd64)
built on Sat Jul 25 19:57:37 CDT 2015
FreeBSD 10.1-RELEASE-p15Установлен PFSense в качестве виртуальной машины на POXMOX.
Изначально в PFSense организованы следующие интерфейсы:
Интерфейс Lan: Локальная сеть 192.168.100.0\24
Интерфейс Wan: интернет.В такой конфигурации все работает.
Так же есть отдельная локальная сеть 192.168.101.0\24
ЗАДАЧА: Подключить сеть 192.168.101.0\24 к PFSense и организовать к ней доступ из сети 192.168.100.0\24. Т. е. чтобы с хоста из подсети 100.0 были видны все хосты из сети 101.0 и обратно.
ЧТО СДЕЛАНО:
1. Коммутатор из сети 101.0\24 скоммутирован в сервер с PROXMOX на отдельный Lan порт. Этому порту выдан ip 192.168.101.10. Организован он в виде моста, чтобы был доступен виртуальной PFSense.
2. В PFSense добавлен новый интерфейс Lan2 и ему присвоен ip 192.168.101.20, выбран порт к которому подключен кабель из сети 101.0\24.
3. В правилах Firewall - Rules для интерфейса Lan2 созданы разрешающие правила:Proto Source Port Destination Port Gateway Queue
IPv4* LAN2 Net * * * * none
IPv6* LAN2 Net * * * * none
IPv4* 192.168.100.0/24 * 192.168.101.0/24 * * none
IPv4* 192.168.101.0/24 * 192.168.100.0/24 * * noneПроверяем:
1. Пингуем хосты с компьютера из подсети 100.0\24:
101.10 - пингуется
101.20 - пингуется
101.30 (адрес коммутатора подключаемой сети) - не пингуется.2. Пингуем хосты из PFSense с интерфеса Lan и Lan2:
101.10 (физический сетевой интерфейс в сервере) - пингуется
101.20 (интерфейс Lan2 в PFSense)- пингуется
101.30 (адрес коммутатора подключаемой сети) - не пингуется.3. Подключаемся по SSH к PROXMOX:
101.10 (физический сетевой интерфейс в сервере) - пингуется
101.20 (интерфейс Lan2 в PFSense)- пингуется
101.30 (адрес коммутатора подключаемой сети) - Пингуется.
100.22 (хост из основной локальной сети) - пингуется.Описание проблемы: хосты из подключаемой сети 101.0\24 не видны из основной сети 100.0\24, но при этом физический интерфейс сервера (101.10) и интерфейс Lan2 PFSense (101.20) доступны.
При этом PROXMOX видит все хосты из сети 101.0\24, все хосты из основной сети, новый интерфейс PFSens.Где чего не докрутил не могу понять. NAT Outbound стоит в режиме Automatic outbound NAT rule generation
(IPsec passthrough included).Уважаемые форумчане, прошу помощи :)
Всем заранее благодарен.
-
Доброе.
Коммутатор из сети 101.0\24 скоммутирован в сервер с PROXMOX на отдельный Lan порт. Этому порту выдан ip 192.168.101.10. Организован он в виде моста, чтобы был доступен виртуальной PFSense.
А зачем Вы явно назначаете ip интерфейсу ? Насколько я понимаю, ip назначается непосредственно в вирт. машине pf.
-
Я делал по аналогии с настройкой интерфейса основной локальной сети 100.0. Там адрес прописан и в PROXMOX на физ. интерфейсе и в PF.
Попробую убрать адрес с физического интерфейса, оставить только тот, что прописан в PF. Может быть в этом загвоздка.
-
Добрый день!
Удалось достичь следующих результатов:1. Убрал явно заданный адрес с физического сетевого интерфейса на PROXMOX. Оставил только интерфейс на PF (101.20)
2. Переключил режим работы NAT Outbound с "Automatic outbound NAT rule generation" на "Hybrid Outbound NAT rule generation".
3. Добавил в правила NAT Outbound два правила:Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port
LAN2 192.168.100.0/24 * * * LAN2 address * NO
LAN2 192.168.101.0/24 * * * LAN2 address * NOДоступ в 101 сеть из 100 сети появился. Хосты 101 сети пингуются, можно на них заходить. PF пингует хосты 101 как с Lan интерфейса так и с Lan2 (подключенного) интерфейса.
ПРОБЛЕМА: заключается в том, что с хоста 101 сети не видно хостов 100 сети. Шлюз 192.168.101.1 не пингуется, 192.168.100.1 не пингуется. Интернета на хостах сети 101.0 - нет.
Попробовал добавить разных разрешающих правил на обоих локальных интерфейсах:
4. Добавил следующие разрешающие правила для интерфейсов Lan (основная сеть 100.0\24) и Lan2 (подключаемая сеть 101.0\24):
Для интерфейса Lan2:Proto Source Port Destination Port Gateway Queue Schedule
IPv4 * 192.168.100.0/24 * 192.168.101.0/24 * * none
IPv4 * 192.168.101.0/24 * 192.168.100.0/24 * * none
IPv4 * LAN net * LAN2 net * * none
IPv4 * LAN2 net * LAN net * * none
Такие же правила добавил для интерфейса Lan.
Эффекта это не дало. Доступа из 101.0 сети нет.
-
Эффекта это не дало. Доступа из 101.0 сети нет.
101 сеть должна знать куда слать пакеты. Пропиши хостам из 101 сети gw IP pfsense.