Маршрутизация между VLan'ами и Lan

sniperni · Feb 10, 2020, 8:19 AM

Добрый день.
Новичёк в pfSense.
Настроил машину, есть 3 сетевые карты. Две из них смотря в интернет (организован MultiWAN), третья смотрит в локалку 192.168.0.0/24, адрес у сетевухи 192.168.0.13
Всё нормально работает, выход в интернет есть, всё доступно.
В сети есть железки (принтеры, роутеры), у них адреса в подсети 192.168.3.0/24 и шлюз указан 192.168.3.1.
Создал VLan.

На вкладке назначений подцепил этот VLan. Дал ему адрес 192.168.3.1.

Создал правило для этого VLan'а
IPv4 * VLAN3 net * * * * ничего Default allow LAN to any rule

Суть проблемы в том, что я не могу достучаться из основной сети 192.168.0.0/24 до устройств в сети 192.168.3.0/24.
Ну и соответственно устройства сети 192.168.3.0/24 никуда не могут попасть.
Что я не так делаю? где ещё нужно что донастроить?
Допустим принтер 192.168.3.172.
Если делаю tracert 192.168.3.172 с машины 192.168.0.19, то пакеты доходят до моего 192.168.0.13 и всё, дальше не идут. Что я делаю не так?

Konstanti · Feb 10, 2020, 9:17 AM

@sniperni
Здр
а коммутатор знает про то , что у него есть trunk (hybrid) порт ?
Я бы лично не рекомендовал использовать VLAN1 вместе с остальными VLAN- ами на одном порту коммутатора .

sniperni · Feb 10, 2020, 9:36 AM

@Konstanti
да, коммутатор настроен уже давно. Раньше на месте моего шлюза pfSense крутился сервер на Debian, там были также настроены VLan'ы и всё работало, ну т.е. сетки видели друг друга.

Konstanti · Feb 10, 2020, 9:44 AM

@sniperni
И тоже использовался VLAN 1 для 192.168.0.0/24 ?
Обратите внимание на правило для vlan3 , которое Вы тут показали. Нет ни одного пакета , дошедшего до PFSense от хостов сети 192.168.3.0/24.

sniperni · Feb 10, 2020, 10:01 AM

@Konstanti
На старом сервере в файле /etc/network/interfaces вот так:
auto lo
iface lo inet loopback

allow-hotplug eth2
iface eth2 inet static
address 88.87.80.108
netmask 255.255.255.0
gateway 88.87.64.6
dns-nameservers 88.87.64.6 88.87.65.3

auto br0
iface br0 inet static
bridge_ports eth0
address 192.168.0.13
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

auto br0:3
iface br0:3 inet static
address 192.168.3.1
netmask 255.255.255.0
network 192.168.3.0
broadcast 192.168.3.255

auto br0:4
iface br0:4 inet static
address 192.168.4.1
netmask 255.255.255.0
network 192.168.4.0
broadcast 192.168.4.255

auto br0:6
iface br0:6 inet static
address 192.168.6.1
netmask 255.255.255.0
network 192.168.6.0
broadcast 192.168.6.255

auto br0:7
iface br0:7 inet static
address 192.168.7.1
netmask 255.255.255.0
network 192.168.7.0
broadcast 192.168.7.255

allow-hotplug eth0
iface eth0 inet manual

А по поводу "Нет ни одного пакета" - я делал скрин, когда сервер не подключен в сеть, так как сейчас работают люде через старый, и я не могу настраивать новый(

Konstanti · Feb 10, 2020, 10:06 AM

@sniperni
По поводу "использовать VLAN1 и VLANxxx на Freebsd" - сами разработчики PFSense этого не рекомендуют.
А хосты Vlan3 видят VLan4 и наоборот ?

sniperni · Feb 10, 2020, 12:00 PM

3 и 4 между собой не пробовал.
По поводу "использовать VLAN1 и VLANxxx на Freebsd - сами разработчики PFSense этого не рекомендуют." - хорошо, понял.
Подскажите тогда, как реализовать вот такую схему на pfSense? Чтобы устройства из разных подсеток видели друг-друга? Взять другую маску сети - вариант, но не самый удобный для меня(

Konstanti · Feb 10, 2020, 12:42 PM

@sniperni
Сложно сказать , по какой причине у Вас не работает маршрутизация
Попробуйте посмотреть ,что показывает tcpdump на разных интерфейсах в момент соединения .

rubic · Feb 10, 2020, 1:36 PM

@sniperni said in Маршрутизация между VLan'ами и Lan:

@Konstanti
На старом сервере в файле /etc/network/interfaces вот так:
auto lo
iface lo inet loopback

allow-hotplug eth2
iface eth2 inet static
address 88.87.80.108
netmask 255.255.255.0
gateway 88.87.64.6
dns-nameservers 88.87.64.6 88.87.65.3

auto br0
iface br0 inet static
bridge_ports eth0
address 192.168.0.13
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

auto br0:3
iface br0:3 inet static
address 192.168.3.1
netmask 255.255.255.0
network 192.168.3.0
broadcast 192.168.3.255

на старом сервере у вас нет никаких VLAN, br0:3 - это IP Alias (https://wiki.debian.org/ru/NetworkConfiguration#Multiple_IP_addresses_on_One_Interface). VLAN - это когда через точечеку: eth0.222

sniperni · Feb 10, 2020, 2:01 PM

@rubic, а такое можно настроить на pfSense? Где про это почитать можно?

rubic · Feb 10, 2020, 2:41 PM

@sniperni Firewall > Virtual IPs, тип IP Alias на em1 - туда вписываете ваши 192.168.3.1

werter · Feb 13, 2020, 8:29 AM

@rubic said in Маршрутизация между VLan'ами и Lan:

на старом сервере у вас нет никаких VLAN, br0:3 - это IP Alias (https://wiki.debian.org/ru/NetworkConfiguration#Multiple_IP_addresses_on_One_Interface). VLAN - это когда через точечеку: eth0.222

+

Это просто доп. IP на сетевой. И отношения к VLAN не имеет. Для построения ВЛАН L2-свитч нужен.

sniperni · Feb 12, 2020, 3:31 PM

@rubic , сделал, как вы написали. Подключаю к pfSense свитч со стороны локальной сети. В свит вставляю 2 ноута и больше ничего. У одного адрес 192.168.0.15, у второго 192.168.3.15.
Ноуты спокойно выходят в инет, пингуют свои шлюзы (192.168.0.12 и 192.168.3.1 соответственно). Свободно пингуют шлюзы другой подсветки. А вот друг друга не могут пропинговать. Если делаю трасерт, то все заканчивается на 192.168.0.12 для обоих ноутов. Где-то теперь нужно как-то разрешить трафик между lan сетью и ips сетью? Делаю обычное правило на lan интерфейсе, которое разрешает весь трафик из одной сети в другу и в обратную сторону, но что-то нихрена не выходит(

rubic · Feb 13, 2020, 6:42 AM

@sniperni попробуйте в System > Advanced: Firewall & NAT поставить галку Static route filtering

sniperni · Feb 13, 2020, 7:07 AM

@rubic
Поставил галку. Ping не идёт. Пингую отдновременно друг друга. Но в статистике по интерфейсу появилось вот что:

Причём почему-то он фиксирует пакеты только от 3 сетки к 0, а в обратную сторону нет.

И ещё не понятная для меня штука. У меня настроены вот такие Virtual IPs:

Но если я например пингую адрес 192.168.2.1, то он пингуется. Как это понимать?))))

Konstanti · Feb 13, 2020, 8:08 AM

@sniperni
Покажите вывод команды
ifconfig

sniperni · Feb 13, 2020, 8:23 AM

@Konstanti

werter · Feb 13, 2020, 9:12 AM

@sniperni said in Маршрутизация между VLan'ами и Lan:

Но если я например пингую адрес 192.168.2.1, то он пингуется. Как это понимать?))))

Покажите полный вывод ping 192.168.2.1

sniperni · Feb 13, 2020, 9:39 AM

@werter
Это я делаю ping на самом серваке

А это на ноуте с адресом из 3 подсетки

sniperni · Feb 13, 2020, 10:20 AM

Пинги в непонятные сети шли, потому что не стояли галочки:
Block private networks and loopback addresses и Block bogon networks.
Поставил их.
Но теперь в интернет может выходить только 192.168.0.0/24.
А сеть 192.168.3.0/24 не только не имеет доступа в интернет, но даже и 192.168.3.1 не пингует.