Вопрос по маршрутизации между VLAN
-
Добрый день. Уже не первый день не могу сварить кашу с маршрутизацией между VLANами. Документацию читал, гуглил, опять не нашел ответа. Долгое время работал с керио контролл. Если я пытаюсь сделать по аналогии как я делал в керио, то ничего не получается. Например: vlan30 нужно выпустить в интернет, создаю правило, разрешающее ходить vlan30 на wan, сохранить, применить. Проверяю, нет интернета на vlan30. Никак не могу понять концепцию формирования правил в pfsense. Братцы помогите освоить, pfsense мне очень нравиться. Надеюсь что посмотрев примеры пойму как правильно это делать.
Есть 2.5.2
wan
lan
vlan10
vlan20
vlan30
Задача:- vlan10 может ходить на vlan20, но не может ходить в интернет
- vlan30 может ходить только в интернет, более никуда.
- lan может ходить куда угодно.
Спасибо
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
разрешающее ходить vlan30 на wan
Правило нужно создавать не на WAN, а, как пример, для интерфейса vlan30, по аналогии с правилом на LAN:
IPv4 * LAN net * * * * none Default allow LAN to any rule
то есть:
IPv4 * VLAN30 net * * * * none
Ну и в Firewall-NAT-Outbound, если включен Automatic outbound NAT или Hybrid Outbound NAT должно автоматически создаться правило для подсети VLAN30 как и для остальных VLAN.
-
@pigbrother said in Вопрос по маршрутизации между VLAN:
@antonr69 said in Вопрос по маршрутизации между VLAN:
разрешающее ходить vlan30 на wan
Правило нужно создавать не на WAN, а, как пример, для интерфейса vlan30, по аналогии с правилом на LAN:
IPv4 * LAN net * * * * none Default allow LAN to any rule
то есть:
IPv4 * VLAN30 net * * * * none
Ну и в Firewall-NAT-Outbound, если включен Automatic outbound NAT или Hybrid Outbound NAT должно автоматически создаться правило для подсети VLAN30 как и для остальных VLAN.
Все правильно, правило создается на интерфейсе VLAN30
При таком правиле IPv4 * VLAN30 net * * * * none
VLAN30 интернет имеет, но он также ходит и на VLAN10, VLAN20 и на LAN, а мне нужно чтоб только на WAN. Если я создаю правило
IPv4 * VLAN30 net * WAN net * * none
то с этого интерфейса вообще попасть не могу ни куда. -
@antonr69 Продолжаю экcперименты.
Если я делаю на интерфейсе VLAN30 следующие правила:
Запретить
IPv4 * VLAN30 net * WLAN10 net * * none
IPv4 * VLAN30 net * WLAN20 net * * none
Разрешить
IPv4 * VLAN30 net * LAN net * * none
То уже ближе к цели, интернет есть, с остальным вланам доступа нет. Но если у pfsense по умолчанию все запрещено, то зачем мне все разрешать и запрещать то что не надо. Если по умолчанию все запрещено, то достаточно разрешить что разрешено, но это не работает. Пока влану не дашь разрешение на все или на LAN, то интернета нет. А получив разрешение на LAN, влан получает доступ ко всему. Мартышкин труд. А если у тебя 100 вланов, и все они должны быть изолированые друг от друга, представляете какую кучу правил нужно нагородить чтобы это заработало. Надеюсь что есть более удобный способ маршрутизации. -
@antonr69 Ну так вы и разрешите из каждого vlan доступ к нужным vlan как поступили с LAN.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 Ну так вы и разрешите из каждого vlan доступ к нужным vlan как поступили с LAN.
Проблема в том, что влан не получает интернет пока ему не разрешишь доступ к LAN или к Это фаервол. А получив доступ к любым из этих двух перечисленных, влан получает доступ ко всем влан. В правилах НАТ все вланы присутствуют. Не понимаю почему нет интернета если я влану разрешаю ходить на WAN.
-
@antonr69 А при чем тут интернет и LAN?
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Этот фаервол.
-
@antonr69 Да я прочитал.
- Во первых должны быть прописаны маршруты верные.
- Для каждого из интерфейса создаем правила файрвола разрешающие с источником имя-инетрефеса_NET (Т.е. в примеру на файрволе LAN не ставим правило с source *, а именно что LAn_net) и соответственно назначением.
- Запрещающее правило в теории можно не ставить. По идее будет работать дефолтное правило block. Мне оно не нравится из-за задержки и руками в конце добавляю правило к примеру source-lan net dest-* action - reject. так приложения понимают сразу что были посланы ))) )
В вашем случае:
Для интерфейса VLAN10
s:vlan10-net d:vlan20-net a:accept
s:vlan10-net d:* a:rejectДля интерфейса VLAN30
s:vlan30-net d:vlan20-net a:reject
s:vlan30-net d:vlan10-net a:reject
s:vlan30-net d:* a:accept (тут можно указать gateway руками через который вы получаете инет)Для интерфейса LAN
s:lan-net d:* a:acceptЕдинственное я вот не вспомню надо ли создавать обратные правила на соответствующих интерфейсах. Т.е. к примеру на vlan10 создать правило:
s:lan-net d:vlan10-net a:accept
Но вроде бы не надо. -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Это фаервол.
Потому что там не верно указан gateway скорее всего.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Это фаервол.
Потому что там не верно указан gateway скорее всего.
Все там верно указано
-
@antonr69 Значит не верно настроены правила файрвола. У меня 3 подсети и все везде нормально маршрутизируется.
-
@sirota Может быть дело в том, что у меня пока тестирую в интернет смотрит роутер, а pfsense подключен в лан роутера, адрес получает по дхсп. Влан у которого нет интернета, которому разрешено ходить до Wan pfsense, у него пинг проходит до роутера, а далее нет. Но при этом лан pfsense ходит куда угодно.
-
@antonr69 Ради интереса лану дал права только на ван, и у лана тоже пропал интернет. Или у него в этом режиме не работает НАТ.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
@antonr69 Ради интереса лану дал права только на ван, и у лана тоже пропал интернет. Или у него в этом режиме не работает НАТ.
работает. но в таком раскладе файрволл рубит соединения где dest отличается от wan. А у тебя там dest будет к примеру 8.8.8.8. Т.е. маршрут к примеру 192.168.0.100 (клиент) - 192.168.0.1 (pf lan) - 10.10.10.10 (шлюз прова) - 8.8.8.8 (конечная точка). В таком раскладе у тебя пакет дропнется, ибо dest не равен WAN (хз что ты там указал wan net или wan address)
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota Может быть дело в том, что у меня пока тестирую в интернет смотрит роутер, а pfsense подключен в лан роутера, адрес получает по дхсп. Влан у которого нет интернета, которому разрешено ходить до Wan pfsense, у него пинг проходит до роутера, а далее нет. Но при этом лан pfsense ходит куда угодно.
Грубо говоря без разницы как ты получаешь сам инет. Главное правильно это указать в System - Routing - Gateways - Default gateway IPv4, если есть какие-то сложности там, то в System - Routing - Static Routes и потом уже Firewall - Rules - инетрфейс - Extra Options - Advanced Options - Gateway. Если в последнем не указывать ни чего (default), то маршрутизация будет работать по списку из Diagnostics - Routes
-
@sirota said in Вопрос по маршрутизации между VLAN:
хз что ты там указал wan net или wan address
wan net -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
хз что ты там указал wan net или wan address
wan netСкрины всех правил с группировкой по интерфейсам (чтобы понять можно было что и куда). Ну а так я вам уже объяснил что надо сделать чтобы все было хорошо.
-
@sirota Спасибо огромное. Скрины сегодня уже не успеваю, короткий день. На следующей неделе попробую обмозговать ваши советы, испробовать, если не заработает как надо покажу скрины.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
-
@pigbrother и?
-
@sirota said in Вопрос по маршрутизации между VLAN:
и?
@pigbrother said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
Непонятно, о каком правиле идет речь.
-
@pigbrother said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
и?
@pigbrother said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
Непонятно, о каком правиле идет речь.
IPv4 * VLAN30 net * WAN net * * none
Я так понимаю, это правило разрешает интерфейсу VLAN30 ходить на WAN. Но при таком правиле интернета на VLAN30 нет. В керио контрол с таким правиом все рабртатет. Интернет есть. -
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем. Я же нарисовал в общих тонах правила. И почему так инета не будет уже объяснил.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем.
Спасибо. Проверил, работает. То что было не понятно связано с опытом КериоКонтрол. Там можно создать ОДНО правило: такому то ИНТЕРФЕЙСУ влану можно ходить на ИНТЕРФЕЙС ван. И все работает. Этот влан имеет интернет, и в то же время отделен от других интерфейсов. Ключевое различие что правило построено на взаимодействии интерфейсов. Почему в pfsense так нельзя не понимаю. Еще не могу понять разницу van net, wan adr и "этот фаервол" -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем.
Спасибо. Проверил, работает. То что было не понятно связано с опытом КериоКонтрол. Там можно создать ОДНО правило: такому то ИНТЕРФЕЙСУ влану можно ходить на ИНТЕРФЕЙС ван. И все работает. Этот влан имеет интернет, и в то же время отделен от других интерфейсов. Ключевое различие что правило построено на взаимодействии интерфейсов. Почему в pfsense так нельзя не понимаю. Еще не могу понять разницу van net, wan adr и "этот фаервол"Потому что как сделано в PF - логично. Я могу разрешить маршрут вплоть до WAN интерфейса, но далее запретить. К примеру у провайдера есть локальные ресурсы (телефония) в этой же подсети. Я разрешаю для телефона доступ к WAN net и не более. Все. Интернета у телефонии не будет, но будет доступ к серверу телефонии. Т.е. всего 1 правило.
С керио лет 10 уже как не знаком, но осмелюсь предположить там просто нет в конце запрещающего правила на все. У PF если совсем грубо на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop
Т.е. все что мы явно не разрешили выше будет дропаться. Так сделано во всех нормальных файрволах. -
@sirota said in Вопрос по маршрутизации между VLAN:
на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop. Т.е. все что мы явно не разрешили выше будет дропаться.
Так то оно так, но задача дать интерфейсу интернет, разрешает все. Выше упомянутое правило перестает работать. И приходится городить правила чтобы запретить не нужное. Вот в этом я вижу не логичность. И это сбивает с толку не только меня. Я нашел много тем с этим же вопросом. Вот пример, чел пишет: у меня один ван и одил лан. Я решил сделать сеть влан для гостей. Решение в этой конфигурации предложили не стандартное. Создать разрешающие правило для влана ходить на лан, но лан инвертировать. И мы получаем интернет на влане без доступа к лан. Я бы не догадался так сделать. Надо наверно тему создать для примеров решений стандартных и не только ситуаций. -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop. Т.е. все что мы явно не разрешили выше будет дропаться.
Так то оно так, но задача дать интерфейсу интернет, разрешает все. Выше упомянутое правило перестает работать. И приходится городить правила чтобы запретить не нужное. Вот в этом я вижу не логичность. И это сбивает с толку не только меня. Я нашел много тем с этим же вопросом. Вот пример, чел пишет: у меня один ван и одил лан. Я решил сделать сеть влан для гостей. Решение в этой конфигурации предложили не стандартное. Создать разрешающие правило для влана ходить на лан, но лан инвертировать. И мы получаем интернет на влане без доступа к лан. Я бы не догадался так сделать. Надо наверно тему создать для примеров решений стандартных и не только ситуаций.- Научитесь нормально отвечать на комменты. Дико не удобно потом читать когда отвечаете внутри чужого комментария
- Да нет, как раз таки это нормально и вполне себе стандартное решение (так же к примеру делается и у микротика если не использовать интерфейсы: s:vlan10 net d:!lan net a:accept Все. ). Всего в 1 правило умещается - разрешить все что не LAN net. И в инет пустили подсеть и в локалку не пустили.
-
-
@werter said in Вопрос по маршрутизации между VLAN:
Достаточно ЯВНО указать шлюз в правиле fw на ВЛАН-интерфейсе(-ах) (WAN_GW) и в ЛАН уже никто не попадет
Я это ТС указал 1-м ответом на его вопрос.
-
@pigbrother said in Вопрос по маршрутизации между VLAN:
@werter said in Вопрос по маршрутизации между VLAN:
Достаточно ЯВНО указать шлюз в правиле fw на ВЛАН-интерфейсе(-ах) (WAN_GW) и в ЛАН уже никто не попадет
Здравствуйте. Я испробовал ваш совет добавить гетвей в правило, не помогает. И в правило пробовал, и в интерфейс.
У меня получилось по другому. Он подходит когда много vlan, каждому нужен интернет и при этом их нужно друг от друга изолировать.- Создаем алиас в котором перечисляем сети всех вланов, если нужно и Lan-ов. Он будет один для правил всех вланов (интерфейсов).
- Для каждого влана (интерфейса) создаем 3 правила.
- разрешаем ходить на собственный влан. Дист "имя влана" (* * vlan01 * *)
- запретить ходить на другие вланы. Дист имя ранее созданного алиаса. (* * vlans * *)
- Разрешить все всем. (* * * * *)
И оно работает. Мы получаем изолированный влан с доступом в интернет.
На днях помучал ИКС https://xserver.a-real.ru/sysadmins/ Он тоже на freebcd. Но ему такой трюк как я описал выше не нужен. Там в правилах, в графе дист есть "интернет". Так вот, там достаточно одного правила, разрешить ходить до "интернет", и этот интерфейс ходит исключительно в интернет. Почему в pfsense этого нет до сих пор не пойму.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
Здравствуйте. Я испробовал ваш совет добавить гетвей в правило, не помогает. И в правило пробовал, и в интерфейс.
Почему-то уверен, что порядок правил неверный у вас (
разрешаем ходить на собственный влан. Дист "имя влана" (* * vlan01 * *)
Лишнее. Пф этим не рулит. Пф рулит от себя вовне и наборот.
На днях помучал ИКС https://xserver.a-real.ru/sysadmins/ Он тоже на freebcd
Открыл демку. Потыкал. Увидел, что это "супер-ультра-мега-комбайн" с почтой, fw и т.д. Закрыл демку. Эти поделием пользоваться, если только ЗАСТАВЯТ.
Надо почту? Отдельно (mailcow, iredmail или руками)
Надо ftp? Отдельно (truenas, xigmanas, omv)
Надо firewall? Вы поняли )Зы. Ребята имеют сертиф от ФСТЭК. 99.9% что контора создана под дядю из структур, к-му нужно госбабло ))
-
@werter Без первого правила пинг до ip самого влана не идет, и нет интернета.
-
@antonr69
Пинг - это не про интернет.Покажите скрины правил на ВСЕХ интерфейсах.
-
@antonr69 тогда ставим в дестенейщене this firewall
-
Покажите скрины правил на ВСЕХ интерфейсах.
Зы. И никаких WAN net в dst. Этим вы точно доступ в инет не дадите )
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 тогда ставим в дестенейщене this firewall
Да, в третьем правиле можно и так, в дестенейщене this firewall. Скрин прилагаю.
-
@antonr69 первое правило это сам на себя? Зачем всем давать доступ к примеру ssh pf'а? Если нужен только пинг, то так и делаем, icmp и дальше параметры допущенные.
И нет. В третьем нет. -
@antonr69
Ок
1-е - оставляем.
2-е - в src - VLAN net (вашу влан-сеть) и в Шлюз - указать имя шлюза в Инет.
3-е - откл
Сбросить states для чистоты.
Всё.Зы. Еще. Никогда не используйте VLAN 1 - это СЛУЖЕБНЫЙ тег.
Зы2. И русский в вебках ИНОСТРАННОГО ПО тоже не пользуйте. Это дурной тон. -
@werter Спасибо за комментарий. Завтра ваш вариант попробую. А влан01 это для примера. В боевом режиме там совсем другой номер влана.
-
@antonr69
Пробуйте )