PfSense гонит маршруты через внешку
-
Вы имеете ввиду прописать этот маршрут на http-сервере?
Да, у него defroute 192.168.1.254.
Прописал статически маршрут route add -net 192.168.10.0/24 gw 192.168.1.253 и все заработало. ПК из vlan 10 достучался до этого сервера. Значит косяк в pfsense, как я и думал, но вот в чем... -
@max5775 Это называется "ассиметричная маршрутизация"
-
@Konstanti типа туда идет по одному маршруту, обратно по другому?
Почему пинг то проходит? -
@max5775 А как вы считаете , куда ответит 1.253 хост , если изначально пакет пришел от 1.10 ?
-
@Konstanti ну если они в одной сети, то напрямую, минуя 1.254
-
@max5775 Это не косяк PF , это "косяк" структуры Вашей сети
-
@Konstanti подскажите, как это все грамотно развести? пока в мыслях убрать маршрут в 192.168.10.0/24 через 1.253 и добавить на pfsense vlan 10 интерфейс и маршрутизировать через него
-
@max5775 сложно так сказать
Но я бы часть работы повесил бы на коммутатор ( он же у Вас 3-го уровня ) ?
Ну , вот пусть и маршрутизирует трафик между внутренними сетями . А всем остальным пусть PF занимается . -
Третьего, просто заморочка идет с тем, что есть вот эта старая сеть с неуправляемыми свитчами, без vlan-ов и пр. И в ближайшей перспективе на ее переделку денег не будет, поэтому выкручиваемся как можем.
P.S: удалил скрины из постов выше, раз с проблемой более-менее все понятно -
Собственно решил пока таким образом. Убрал на SW адрес 1.253. Создал vlan 5 и vlan интрефейс с адресом 10.10.5.254/30. На pfsens также создал vlan 5 и виртуальный интрефейс с адресом 10.10.5.1/30, соединил их транком. В SW прописал маршрут по дефолту на 10.10.5.1, а на pfsens прописал статику вида
192.168.10.0/24 через 10.10.5.254. Так все работает нормально.
Конечно, с точки зрения правильности это не совсем верно, т.к трафик от серверов из vlan 1 и к ним из vlan 10 будет проходить через pfsense, который не совсем для этого подходит и более правильно будет коммутировать все через ядро SW. Поэтому в ближайшее время переделаю таким образом, что шлюзом для всех будет являтся SW, к которому через транк подключен pfsene, который будет только раздавать интернет