Вопрос по маршрутизации между VLAN
-
@antonr69 А при чем тут интернет и LAN?
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Этот фаервол.
-
@antonr69 Да я прочитал.
- Во первых должны быть прописаны маршруты верные.
- Для каждого из интерфейса создаем правила файрвола разрешающие с источником имя-инетрефеса_NET (Т.е. в примеру на файрволе LAN не ставим правило с source *, а именно что LAn_net) и соответственно назначением.
- Запрещающее правило в теории можно не ставить. По идее будет работать дефолтное правило block. Мне оно не нравится из-за задержки и руками в конце добавляю правило к примеру source-lan net dest-* action - reject. так приложения понимают сразу что были посланы ))) )
В вашем случае:
Для интерфейса VLAN10
s:vlan10-net d:vlan20-net a:accept
s:vlan10-net d:* a:rejectДля интерфейса VLAN30
s:vlan30-net d:vlan20-net a:reject
s:vlan30-net d:vlan10-net a:reject
s:vlan30-net d:* a:accept (тут можно указать gateway руками через который вы получаете инет)Для интерфейса LAN
s:lan-net d:* a:acceptЕдинственное я вот не вспомню надо ли создавать обратные правила на соответствующих интерфейсах. Т.е. к примеру на vlan10 создать правило:
s:lan-net d:vlan10-net a:accept
Но вроде бы не надо. -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Это фаервол.
Потому что там не верно указан gateway скорее всего.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Это фаервол.
Потому что там не верно указан gateway скорее всего.
Все там верно указано
-
@antonr69 Значит не верно настроены правила файрвола. У меня 3 подсети и все везде нормально маршрутизируется.
-
@sirota Может быть дело в том, что у меня пока тестирую в интернет смотрит роутер, а pfsense подключен в лан роутера, адрес получает по дхсп. Влан у которого нет интернета, которому разрешено ходить до Wan pfsense, у него пинг проходит до роутера, а далее нет. Но при этом лан pfsense ходит куда угодно.
-
@antonr69 Ради интереса лану дал права только на ван, и у лана тоже пропал интернет. Или у него в этом режиме не работает НАТ.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
@antonr69 Ради интереса лану дал права только на ван, и у лана тоже пропал интернет. Или у него в этом режиме не работает НАТ.
работает. но в таком раскладе файрволл рубит соединения где dest отличается от wan. А у тебя там dest будет к примеру 8.8.8.8. Т.е. маршрут к примеру 192.168.0.100 (клиент) - 192.168.0.1 (pf lan) - 10.10.10.10 (шлюз прова) - 8.8.8.8 (конечная точка). В таком раскладе у тебя пакет дропнется, ибо dest не равен WAN (хз что ты там указал wan net или wan address)
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota Может быть дело в том, что у меня пока тестирую в интернет смотрит роутер, а pfsense подключен в лан роутера, адрес получает по дхсп. Влан у которого нет интернета, которому разрешено ходить до Wan pfsense, у него пинг проходит до роутера, а далее нет. Но при этом лан pfsense ходит куда угодно.
Грубо говоря без разницы как ты получаешь сам инет. Главное правильно это указать в System - Routing - Gateways - Default gateway IPv4, если есть какие-то сложности там, то в System - Routing - Static Routes и потом уже Firewall - Rules - инетрфейс - Extra Options - Advanced Options - Gateway. Если в последнем не указывать ни чего (default), то маршрутизация будет работать по списку из Diagnostics - Routes
-
@sirota said in Вопрос по маршрутизации между VLAN:
хз что ты там указал wan net или wan address
wan net -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
хз что ты там указал wan net или wan address
wan netСкрины всех правил с группировкой по интерфейсам (чтобы понять можно было что и куда). Ну а так я вам уже объяснил что надо сделать чтобы все было хорошо.
-
@sirota Спасибо огромное. Скрины сегодня уже не успеваю, короткий день. На следующей неделе попробую обмозговать ваши советы, испробовать, если не заработает как надо покажу скрины.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
-
@pigbrother и?
-
@sirota said in Вопрос по маршрутизации между VLAN:
и?
@pigbrother said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
Непонятно, о каком правиле идет речь.
-
@pigbrother said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
и?
@pigbrother said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
Непонятно, о каком правиле идет речь.
IPv4 * VLAN30 net * WAN net * * none
Я так понимаю, это правило разрешает интерфейсу VLAN30 ходить на WAN. Но при таком правиле интернета на VLAN30 нет. В керио контрол с таким правиом все рабртатет. Интернет есть. -
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем. Я же нарисовал в общих тонах правила. И почему так инета не будет уже объяснил.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем.
Спасибо. Проверил, работает. То что было не понятно связано с опытом КериоКонтрол. Там можно создать ОДНО правило: такому то ИНТЕРФЕЙСУ влану можно ходить на ИНТЕРФЕЙС ван. И все работает. Этот влан имеет интернет, и в то же время отделен от других интерфейсов. Ключевое различие что правило построено на взаимодействии интерфейсов. Почему в pfsense так нельзя не понимаю. Еще не могу понять разницу van net, wan adr и "этот фаервол" -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем.
Спасибо. Проверил, работает. То что было не понятно связано с опытом КериоКонтрол. Там можно создать ОДНО правило: такому то ИНТЕРФЕЙСУ влану можно ходить на ИНТЕРФЕЙС ван. И все работает. Этот влан имеет интернет, и в то же время отделен от других интерфейсов. Ключевое различие что правило построено на взаимодействии интерфейсов. Почему в pfsense так нельзя не понимаю. Еще не могу понять разницу van net, wan adr и "этот фаервол"Потому что как сделано в PF - логично. Я могу разрешить маршрут вплоть до WAN интерфейса, но далее запретить. К примеру у провайдера есть локальные ресурсы (телефония) в этой же подсети. Я разрешаю для телефона доступ к WAN net и не более. Все. Интернета у телефонии не будет, но будет доступ к серверу телефонии. Т.е. всего 1 правило.
С керио лет 10 уже как не знаком, но осмелюсь предположить там просто нет в конце запрещающего правила на все. У PF если совсем грубо на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop
Т.е. все что мы явно не разрешили выше будет дропаться. Так сделано во всех нормальных файрволах. -
@sirota said in Вопрос по маршрутизации между VLAN:
на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop. Т.е. все что мы явно не разрешили выше будет дропаться.
Так то оно так, но задача дать интерфейсу интернет, разрешает все. Выше упомянутое правило перестает работать. И приходится городить правила чтобы запретить не нужное. Вот в этом я вижу не логичность. И это сбивает с толку не только меня. Я нашел много тем с этим же вопросом. Вот пример, чел пишет: у меня один ван и одил лан. Я решил сделать сеть влан для гостей. Решение в этой конфигурации предложили не стандартное. Создать разрешающие правило для влана ходить на лан, но лан инвертировать. И мы получаем интернет на влане без доступа к лан. Я бы не догадался так сделать. Надо наверно тему создать для примеров решений стандартных и не только ситуаций.