Вопрос по маршрутизации между VLAN
-
@antonr69 Ну так вы и разрешите из каждого vlan доступ к нужным vlan как поступили с LAN.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 Ну так вы и разрешите из каждого vlan доступ к нужным vlan как поступили с LAN.
Проблема в том, что влан не получает интернет пока ему не разрешишь доступ к LAN или к Это фаервол. А получив доступ к любым из этих двух перечисленных, влан получает доступ ко всем влан. В правилах НАТ все вланы присутствуют. Не понимаю почему нет интернета если я влану разрешаю ходить на WAN.
-
@antonr69 А при чем тут интернет и LAN?
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Этот фаервол.
-
@antonr69 Да я прочитал.
- Во первых должны быть прописаны маршруты верные.
- Для каждого из интерфейса создаем правила файрвола разрешающие с источником имя-инетрефеса_NET (Т.е. в примеру на файрволе LAN не ставим правило с source *, а именно что LAn_net) и соответственно назначением.
- Запрещающее правило в теории можно не ставить. По идее будет работать дефолтное правило block. Мне оно не нравится из-за задержки и руками в конце добавляю правило к примеру source-lan net dest-* action - reject. так приложения понимают сразу что были посланы ))) )
В вашем случае:
Для интерфейса VLAN10
s:vlan10-net d:vlan20-net a:accept
s:vlan10-net d:* a:rejectДля интерфейса VLAN30
s:vlan30-net d:vlan20-net a:reject
s:vlan30-net d:vlan10-net a:reject
s:vlan30-net d:* a:accept (тут можно указать gateway руками через который вы получаете инет)Для интерфейса LAN
s:lan-net d:* a:acceptЕдинственное я вот не вспомню надо ли создавать обратные правила на соответствующих интерфейсах. Т.е. к примеру на vlan10 создать правило:
s:lan-net d:vlan10-net a:accept
Но вроде бы не надо. -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Это фаервол.
Потому что там не верно указан gateway скорее всего.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Это фаервол.
Потому что там не верно указан gateway скорее всего.
Все там верно указано
-
@antonr69 Значит не верно настроены правила файрвола. У меня 3 подсети и все везде нормально маршрутизируется.
-
@sirota Может быть дело в том, что у меня пока тестирую в интернет смотрит роутер, а pfsense подключен в лан роутера, адрес получает по дхсп. Влан у которого нет интернета, которому разрешено ходить до Wan pfsense, у него пинг проходит до роутера, а далее нет. Но при этом лан pfsense ходит куда угодно.
-
@antonr69 Ради интереса лану дал права только на ван, и у лана тоже пропал интернет. Или у него в этом режиме не работает НАТ.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
@antonr69 Ради интереса лану дал права только на ван, и у лана тоже пропал интернет. Или у него в этом режиме не работает НАТ.
работает. но в таком раскладе файрволл рубит соединения где dest отличается от wan. А у тебя там dest будет к примеру 8.8.8.8. Т.е. маршрут к примеру 192.168.0.100 (клиент) - 192.168.0.1 (pf lan) - 10.10.10.10 (шлюз прова) - 8.8.8.8 (конечная точка). В таком раскладе у тебя пакет дропнется, ибо dest не равен WAN (хз что ты там указал wan net или wan address)
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota Может быть дело в том, что у меня пока тестирую в интернет смотрит роутер, а pfsense подключен в лан роутера, адрес получает по дхсп. Влан у которого нет интернета, которому разрешено ходить до Wan pfsense, у него пинг проходит до роутера, а далее нет. Но при этом лан pfsense ходит куда угодно.
Грубо говоря без разницы как ты получаешь сам инет. Главное правильно это указать в System - Routing - Gateways - Default gateway IPv4, если есть какие-то сложности там, то в System - Routing - Static Routes и потом уже Firewall - Rules - инетрфейс - Extra Options - Advanced Options - Gateway. Если в последнем не указывать ни чего (default), то маршрутизация будет работать по списку из Diagnostics - Routes
-
@sirota said in Вопрос по маршрутизации между VLAN:
хз что ты там указал wan net или wan address
wan net -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
хз что ты там указал wan net или wan address
wan netСкрины всех правил с группировкой по интерфейсам (чтобы понять можно было что и куда). Ну а так я вам уже объяснил что надо сделать чтобы все было хорошо.
-
@sirota Спасибо огромное. Скрины сегодня уже не успеваю, короткий день. На следующей неделе попробую обмозговать ваши советы, испробовать, если не заработает как надо покажу скрины.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
-
@pigbrother и?
-
@sirota said in Вопрос по маршрутизации между VLAN:
и?
@pigbrother said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
Непонятно, о каком правиле идет речь.
-
@pigbrother said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
и?
@pigbrother said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
Непонятно, о каком правиле идет речь.
IPv4 * VLAN30 net * WAN net * * none
Я так понимаю, это правило разрешает интерфейсу VLAN30 ходить на WAN. Но при таком правиле интернета на VLAN30 нет. В керио контрол с таким правиом все рабртатет. Интернет есть. -
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем. Я же нарисовал в общих тонах правила. И почему так инета не будет уже объяснил.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем.
Спасибо. Проверил, работает. То что было не понятно связано с опытом КериоКонтрол. Там можно создать ОДНО правило: такому то ИНТЕРФЕЙСУ влану можно ходить на ИНТЕРФЕЙС ван. И все работает. Этот влан имеет интернет, и в то же время отделен от других интерфейсов. Ключевое различие что правило построено на взаимодействии интерфейсов. Почему в pfsense так нельзя не понимаю. Еще не могу понять разницу van net, wan adr и "этот фаервол"