Белый IP (VIP) на машину в LAN
-
1. Запросить у провайдера инфу: какой ip в каком vlan
2. На пф на wan порту создать vlan с тегом\ми которые дал провайдер.
3. На пф на лан порту проделать аналогичное.
4. На всех коммутаторах, вплоть до kvm switch(при необходимости) назначатить транки с этими вланами.
5. На квм свитче(при необзодимости) или же на последнем к виртуалке коммутаторе назначать ацес порты.
Все зависит как скомутировано и настроенно у вас, по схеме инфы мало. Да и как работает свитч у проксмокс я не знаю. -
1. Запросить у провайдера инфу: какой ip в каком vlan
2. На пф на wan порту создать vlan с тегом\ми которые дал провайдер.
3. На пф на лан порту проделать аналогичное.
4. На всех коммутаторах, вплоть до kvm switch(при необходимости) назначатить транки с этими вланами.
5. На квм свитче(при необзодимости) или же на последнем к виртуалке коммутаторе назначать ацес порты.
Все зависит как скомутировано и настроенно у вас, по схеме инфы мало. Да и как работает свитч у проксмокс я не знаю.про vlan мне провайдер ничего не сказал
-
Пробуем без влан.
1. У всех вирт. маш (kvm и LXC) шлюзом должен быть лан-адрес пф. Проверьте это внимательно.
2. Почему у пф на ВАН два GW ? У вас 2 ВАНа ?https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses
Вам нужен IP Alias. -
Пробуем без влан.
1. У всех вирт. маш (kvm и LXC) шлюзом должен быть лан-адрес пф. Проверьте это внимательно.
2. Почему у пф на ВАН два GW ? У вас 2 ВАНа ?https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses
Вам нужен IP Alias.1. У виртуалок Шлюзом pfsense, а ip - которые установить в VirtualIP
2. Провайдер выдал один из ip из другой подсети.
Vip на какой интерфейс вешать? -
Вот такие настройки как я понял, но ничего не робит.
 -
Доброе.
Мил человек, так оно и не будет работать. Вы зачем контейнеру присвоили внешний белый адрес ? У него должен быть локальный ip адрес из той же сети, что и лан-адрес пф,
шлюзом же - лан пф-а. После создавайте на ван пф virt ip с белым ip и делайте nat 1:1 на лок. адрес контейнера. Действуйте. -
Доброе.
Мил человек, так оно и не будет работать. Вы зачем контейнеру присвоили внешний белый адрес ? У него должен быть локальный ip адрес из той же сети, что и лан-адрес пф,
шлюзом же - лан пф-а. После создавайте на ван пф virt ip с белым ip и делайте nat 1:1 на лок. адрес контейнера. Действуйте.ну а как мне назначить белый ip контейнеру?
-
Перечитайте внимательно еще раз написанное выше.
-
-
Пробуйте так
https://forum.pfsense.org/index.php/topic,47724.0.html
Но эту ссылку вы уже давали :oЭто выполнено ?
В NAT outbound не должно быть ничего касающегося xxx.xxx.yyy.112/29 (все удалить), ковыряйте правила брандмауэра на интерфейсе LAN. По аналогии с LAN subnet, нужно сделать правило пускающее сеть xxx.xxx.yyy.112/29 по любому протоколу на любой порт куда угодно.
Да. IP alias создавать на LAN в таком случае.
-
Только я пошел другим путем, добавил карточку физическую pfsense, затем бридж WAN - OPT1 (эта карта).
На сервере где виртуальная машина, добавил тоже одну карточку. Там (в PROXMOX) подключился к этой карте из виртуальной машины(назначил данные провайдера). Удалил VIP записи и почистил NAT. Но чудеса. Внешне виртуальная машина доступна только по правилам из NAT, изнутри не видит даже шлюз. -
Думаю, что это лишнее - добавлять физ. карты.
Попробуйте все внимательно сделать с нуля по инс-ции с этого форума от rubic. -
Думаю, что это лишнее - добавлять физ. карты.
Попробуйте все внимательно сделать с нуля по инс-ции с этого форума от rubic.в моем случае инструкция не сработала
-
Удалил VIP записи и почистил NAT
1. NAT в этом случае вообще не нужен был.
2. Попробуйте маску сети /32 для вирт. ip. -
Удалил VIP записи и почистил NAT
1. NAT в этом случае вообще не нужен был.
2. Попробуйте маску сети /32 для вирт. ip.система пишет недопустимый ip
-
У меня 6 белых IP от провайдера. дал он их с данными шлюза и маской 27. Нужно назначить их виртуальным машинам под LAN.
Пробовал по инструкции выше, пробовал с картами. Ничего не работает, форумчане прошу помощи. Если нужно - могу дать доступ teamviewer.
Тут похожая тема, и у ТС все работает.
https://community.spiceworks.com/topic/173515-adding-to-a-pfsense-which-is-acting-as-a-transparent-firewall-a-dmz -
Возможно провайдер дал все ip в влан1. Тогда по рекомендациям уважаемого rubic:
““Вам нужно вот что: сделать еще один интерфейс (не важно как вы этого добьетесь - вставите в pfSense еще одну сетевую карту и соедините ее отдельным кабелем с арендатором, или на существующей карте LAN сделаете VLAN и настроите свитч так, чтобы арендатор был в этом VLAN'е). Затем взять 4 IP, которые вам даст провайдер (скажем, x.x.x.32, x.x.x.33, x.x.x.34 и x.x.x.35), назначить второй из них (x.x.x.33) новому интерфейсу pfSense, третий (x.x.x.34) - компу арендатора, маска подсети и там и там: 255.255.255.252 (т.е. /30). Назначить шлюзом на компе арендатора адрес нового интерфейса pfSense (x.x.x.33) и настроить firewall (никакого NAT не надо, если есть - убрать!). Это - все!””
Значения ставьте свои.
-
-
Если вам провайдер выделил целую подсеть, можно спокойно воспользоваться Proxy-Arp, а если провайдер в добавок использует IPoE подключение, то на самом PF можно даже не оставлять IP из выданной подсети.
На Wan интерфейсе — добавляете все ваши выданные IP в ProxyArp.
На LAN интерфейсе — IP шлюза провайдера в ProxyArp, и статические маршруты /32 на интерфейс до выданных IP.(делал это на pf 2.1, а он не разрешал держать 2-е одинаковые подсети на разных интерфейсах почему-то)
Ну и накрайний случай никто не мешает настраивать серверы с Classless маршрутизацией.
В такой конфигурации я клиентам предоставлял реальники от провайдера очень долго, потом просто договорился с провайдером о маршрутизации реальной подсети. -
Если вам провайдер выделил целую подсеть, можно спокойно воспользоваться Proxy-Arp, а если провайдер в добавок использует IPoE подключение, то на самом PF можно даже не оставлять IP из выданной подсети.
На Wan интерфейсе — добавляете все ваши выданные IP в ProxyArp.
На LAN интерфейсе — IP шлюза провайдера в ProxyArp, и статические маршруты /32 на интерфейс до выданных IP.(делал это на pf 2.1, а он не разрешал держать 2-е одинаковые подсети на разных интерфейсах почему-то)
Ну и накрайний случай никто не мешает настраивать серверы с Classless маршрутизацией.
В такой конфигурации я клиентам предоставлял реальники от провайдера очень долго, потом просто договорился с провайдером о маршрутизации реальной подсети.спасибо за ответ. подсеть для меня дорого. как понять, с этой маской (27) у меня подсеть или как? )
вот тут аналогичная проблема https://forum.pfsense.org/index.php?topic=16245.0
