Белый IP (VIP) на машину в LAN

ivanscm

А можно пример использования?

werter

Вполне.
http://g.zeos.in/?q=pfsense%20nat%201%201

ivanscm

@werter:

Доброе.
NAT 1:1

это все не то. А можно wan адреса упаковать в lan, и так их использовать?

ivanscm

вот тут описана проблема моя https://forum.pfsense.org/index.php?topic=99031.0 но решения нет, vlan я не умею конфигурировать
по инструкции https://www.reddit.com/r/PFSENSE/comments/39gxwj/assigning_a_public_ip_to_a_vlan/ ничего не завелось

werter

Доброе.
Так у вас еще и proxmox имеется ? Кстати, там уже не openvz, а lxc исп-ся.
Как сеть организована ? Пф - реальная или вирт. машины ? Полное ТЗ в студию.

P.s. Сколько у вас реальных (белых) ip в распоряжении ?

ivanscm

@werter:

Доброе.
Так у вас еще и proxmox имеется ? Кстати, там уже не openvz, а lxc исп-ся.
Как сеть организована ? Пф - реальная или вирт. машины ? Полное ТЗ в студию.

P.s. Сколько у вас реальных (белых) ip в распоряжении ?

Все работает по такой схеме, но через NAT. Задача требует все белые ip передать виртуалкам и контейнерам, иначе софт некорректно работает. Также необходимо будет на одной виртуалке разместить нейм сервер.

pf.png_thumb

bill_open

1. Запросить у провайдера инфу: какой ip в каком vlan
2. На пф на wan порту создать vlan с тегом\ми которые дал провайдер.
3. На пф на лан порту проделать аналогичное.
4. На всех коммутаторах, вплоть до kvm switch(при необходимости) назначатить транки с этими вланами.
5. На квм свитче(при необзодимости) или же на последнем к виртуалке коммутаторе назначать ацес порты.
Все зависит как скомутировано и настроенно у вас, по схеме инфы мало. Да и как работает свитч у проксмокс я не знаю.

ivanscm

@bill_open:

1. Запросить у провайдера инфу: какой ip в каком vlan
2. На пф на wan порту создать vlan с тегом\ми которые дал провайдер.
3. На пф на лан порту проделать аналогичное.
4. На всех коммутаторах, вплоть до kvm switch(при необходимости) назначатить транки с этими вланами.
5. На квм свитче(при необзодимости) или же на последнем к виртуалке коммутаторе назначать ацес порты.
Все зависит как скомутировано и настроенно у вас, по схеме инфы мало. Да и как работает свитч у проксмокс я не знаю.

про vlan мне провайдер ничего не сказал

werter

Пробуем без влан.

1. У всех вирт. маш (kvm и LXC) шлюзом должен быть лан-адрес пф. Проверьте это внимательно.
2. Почему у пф на ВАН два GW ? У вас 2 ВАНа ?

https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses
Вам нужен IP Alias.

ivanscm

@werter:

Пробуем без влан.

1. У всех вирт. маш (kvm и LXC) шлюзом должен быть лан-адрес пф. Проверьте это внимательно.
2. Почему у пф на ВАН два GW ? У вас 2 ВАНа ?

https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses
Вам нужен IP Alias.

1. У виртуалок Шлюзом pfsense, а ip - которые установить в VirtualIP
2. Провайдер выдал один из ip из другой подсети.
Vip на какой интерфейс вешать?

ivanscm

Вот такие настройки как я понял, но ничего не робит.

![QIP Shot - Screen 215.png](/public/imported_attachments/1/QIP Shot - Screen 215.png)
![QIP Shot - Screen 215.png_thumb](/public/imported_attachments/1/QIP Shot - Screen 215.png_thumb)
![QIP Shot - Screen 216.png](/public/imported_attachments/1/QIP Shot - Screen 216.png)
![QIP Shot - Screen 216.png_thumb](/public/imported_attachments/1/QIP Shot - Screen 216.png_thumb)

werter

Доброе.
Мил человек, так оно и не будет работать. Вы зачем контейнеру присвоили внешний белый адрес ? У него должен быть локальный ip адрес из той же сети, что и лан-адрес пф,
шлюзом же - лан пф-а. После создавайте на ван пф virt ip с белым ip и делайте nat 1:1 на лок. адрес контейнера. Действуйте.

ivanscm

@werter:

Доброе.
Мил человек, так оно и не будет работать. Вы зачем контейнеру присвоили внешний белый адрес ? У него должен быть локальный ip адрес из той же сети, что и лан-адрес пф,
шлюзом же - лан пф-а. После создавайте на ван пф virt ip с белым ip и делайте nat 1:1 на лок. адрес контейнера. Действуйте.

ну а как мне назначить белый ip контейнеру?

werter

Перечитайте внимательно еще раз написанное выше.

ivanscm

@werter:

Перечитайте внимательно еще раз написанное выше.

Но ведь nat 1:1 не то пальто

werter

Пробуйте так
https://forum.pfsense.org/index.php/topic,47724.0.html
Но эту ссылку вы уже давали :o

Это выполнено ?

В NAT outbound не должно быть ничего касающегося xxx.xxx.yyy.112/29 (все удалить), ковыряйте правила брандмауэра на интерфейсе LAN. По аналогии с LAN subnet, нужно сделать правило пускающее сеть xxx.xxx.yyy.112/29 по любому протоколу на любой порт куда угодно.

Да. IP alias создавать на LAN в таком случае.

ivanscm

Только я пошел другим путем, добавил карточку физическую pfsense, затем бридж WAN - OPT1 (эта карта).
На сервере где виртуальная машина, добавил тоже одну карточку. Там (в PROXMOX) подключился к этой карте из виртуальной машины(назначил данные провайдера). Удалил VIP записи и почистил NAT. Но чудеса. Внешне виртуальная машина доступна только по правилам из NAT, изнутри не видит даже шлюз.

werter

Думаю, что это лишнее - добавлять физ. карты.
Попробуйте все внимательно сделать с нуля по инс-ции с этого форума от rubic.

ivanscm

@werter:

Думаю, что это лишнее - добавлять физ. карты.
Попробуйте все внимательно сделать с нуля по инс-ции с этого форума от rubic.

в моем случае инструкция не сработала

werter

Удалил VIP записи и почистил NAT

1. NAT в этом случае вообще не нужен был.
2. Попробуйте маску сети /32 для вирт. ip.