Вопрос по маршрутизации между VLAN
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Это фаервол.
Потому что там не верно указан gateway скорее всего.
Все там верно указано
-
@antonr69 Значит не верно настроены правила файрвола. У меня 3 подсети и все везде нормально маршрутизируется.
-
@sirota Может быть дело в том, что у меня пока тестирую в интернет смотрит роутер, а pfsense подключен в лан роутера, адрес получает по дхсп. Влан у которого нет интернета, которому разрешено ходить до Wan pfsense, у него пинг проходит до роутера, а далее нет. Но при этом лан pfsense ходит куда угодно.
-
@antonr69 Ради интереса лану дал права только на ван, и у лана тоже пропал интернет. Или у него в этом режиме не работает НАТ.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
@antonr69 Ради интереса лану дал права только на ван, и у лана тоже пропал интернет. Или у него в этом режиме не работает НАТ.
работает. но в таком раскладе файрволл рубит соединения где dest отличается от wan. А у тебя там dest будет к примеру 8.8.8.8. Т.е. маршрут к примеру 192.168.0.100 (клиент) - 192.168.0.1 (pf lan) - 10.10.10.10 (шлюз прова) - 8.8.8.8 (конечная точка). В таком раскладе у тебя пакет дропнется, ибо dest не равен WAN (хз что ты там указал wan net или wan address)
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota Может быть дело в том, что у меня пока тестирую в интернет смотрит роутер, а pfsense подключен в лан роутера, адрес получает по дхсп. Влан у которого нет интернета, которому разрешено ходить до Wan pfsense, у него пинг проходит до роутера, а далее нет. Но при этом лан pfsense ходит куда угодно.
Грубо говоря без разницы как ты получаешь сам инет. Главное правильно это указать в System - Routing - Gateways - Default gateway IPv4, если есть какие-то сложности там, то в System - Routing - Static Routes и потом уже Firewall - Rules - инетрфейс - Extra Options - Advanced Options - Gateway. Если в последнем не указывать ни чего (default), то маршрутизация будет работать по списку из Diagnostics - Routes
-
@sirota said in Вопрос по маршрутизации между VLAN:
хз что ты там указал wan net или wan address
wan net -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
хз что ты там указал wan net или wan address
wan netСкрины всех правил с группировкой по интерфейсам (чтобы понять можно было что и куда). Ну а так я вам уже объяснил что надо сделать чтобы все было хорошо.
-
@sirota Спасибо огромное. Скрины сегодня уже не успеваю, короткий день. На следующей неделе попробую обмозговать ваши советы, испробовать, если не заработает как надо покажу скрины.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
-
@pigbrother и?
-
@sirota said in Вопрос по маршрутизации между VLAN:
и?
@pigbrother said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
Непонятно, о каком правиле идет речь.
-
@pigbrother said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
и?
@pigbrother said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
Непонятно, о каком правиле идет речь.
IPv4 * VLAN30 net * WAN net * * none
Я так понимаю, это правило разрешает интерфейсу VLAN30 ходить на WAN. Но при таком правиле интернета на VLAN30 нет. В керио контрол с таким правиом все рабртатет. Интернет есть. -
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем. Я же нарисовал в общих тонах правила. И почему так инета не будет уже объяснил.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем.
Спасибо. Проверил, работает. То что было не понятно связано с опытом КериоКонтрол. Там можно создать ОДНО правило: такому то ИНТЕРФЕЙСУ влану можно ходить на ИНТЕРФЕЙС ван. И все работает. Этот влан имеет интернет, и в то же время отделен от других интерфейсов. Ключевое различие что правило построено на взаимодействии интерфейсов. Почему в pfsense так нельзя не понимаю. Еще не могу понять разницу van net, wan adr и "этот фаервол" -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем.
Спасибо. Проверил, работает. То что было не понятно связано с опытом КериоКонтрол. Там можно создать ОДНО правило: такому то ИНТЕРФЕЙСУ влану можно ходить на ИНТЕРФЕЙС ван. И все работает. Этот влан имеет интернет, и в то же время отделен от других интерфейсов. Ключевое различие что правило построено на взаимодействии интерфейсов. Почему в pfsense так нельзя не понимаю. Еще не могу понять разницу van net, wan adr и "этот фаервол"Потому что как сделано в PF - логично. Я могу разрешить маршрут вплоть до WAN интерфейса, но далее запретить. К примеру у провайдера есть локальные ресурсы (телефония) в этой же подсети. Я разрешаю для телефона доступ к WAN net и не более. Все. Интернета у телефонии не будет, но будет доступ к серверу телефонии. Т.е. всего 1 правило.
С керио лет 10 уже как не знаком, но осмелюсь предположить там просто нет в конце запрещающего правила на все. У PF если совсем грубо на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop
Т.е. все что мы явно не разрешили выше будет дропаться. Так сделано во всех нормальных файрволах. -
@sirota said in Вопрос по маршрутизации между VLAN:
на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop. Т.е. все что мы явно не разрешили выше будет дропаться.
Так то оно так, но задача дать интерфейсу интернет, разрешает все. Выше упомянутое правило перестает работать. И приходится городить правила чтобы запретить не нужное. Вот в этом я вижу не логичность. И это сбивает с толку не только меня. Я нашел много тем с этим же вопросом. Вот пример, чел пишет: у меня один ван и одил лан. Я решил сделать сеть влан для гостей. Решение в этой конфигурации предложили не стандартное. Создать разрешающие правило для влана ходить на лан, но лан инвертировать. И мы получаем интернет на влане без доступа к лан. Я бы не догадался так сделать. Надо наверно тему создать для примеров решений стандартных и не только ситуаций. -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop. Т.е. все что мы явно не разрешили выше будет дропаться.
Так то оно так, но задача дать интерфейсу интернет, разрешает все. Выше упомянутое правило перестает работать. И приходится городить правила чтобы запретить не нужное. Вот в этом я вижу не логичность. И это сбивает с толку не только меня. Я нашел много тем с этим же вопросом. Вот пример, чел пишет: у меня один ван и одил лан. Я решил сделать сеть влан для гостей. Решение в этой конфигурации предложили не стандартное. Создать разрешающие правило для влана ходить на лан, но лан инвертировать. И мы получаем интернет на влане без доступа к лан. Я бы не догадался так сделать. Надо наверно тему создать для примеров решений стандартных и не только ситуаций.- Научитесь нормально отвечать на комменты. Дико не удобно потом читать когда отвечаете внутри чужого комментария
- Да нет, как раз таки это нормально и вполне себе стандартное решение (так же к примеру делается и у микротика если не использовать интерфейсы: s:vlan10 net d:!lan net a:accept Все. ). Всего в 1 правило умещается - разрешить все что не LAN net. И в инет пустили подсеть и в локалку не пустили.
-
-
@werter said in Вопрос по маршрутизации между VLAN:
Достаточно ЯВНО указать шлюз в правиле fw на ВЛАН-интерфейсе(-ах) (WAN_GW) и в ЛАН уже никто не попадет
Я это ТС указал 1-м ответом на его вопрос.
-
@pigbrother said in Вопрос по маршрутизации между VLAN:
@werter said in Вопрос по маршрутизации между VLAN:
Достаточно ЯВНО указать шлюз в правиле fw на ВЛАН-интерфейсе(-ах) (WAN_GW) и в ЛАН уже никто не попадет
Здравствуйте. Я испробовал ваш совет добавить гетвей в правило, не помогает. И в правило пробовал, и в интерфейс.
У меня получилось по другому. Он подходит когда много vlan, каждому нужен интернет и при этом их нужно друг от друга изолировать.- Создаем алиас в котором перечисляем сети всех вланов, если нужно и Lan-ов. Он будет один для правил всех вланов (интерфейсов).
- Для каждого влана (интерфейса) создаем 3 правила.
- разрешаем ходить на собственный влан. Дист "имя влана" (* * vlan01 * *)
- запретить ходить на другие вланы. Дист имя ранее созданного алиаса. (* * vlans * *)
- Разрешить все всем. (* * * * *)
И оно работает. Мы получаем изолированный влан с доступом в интернет.
На днях помучал ИКС https://xserver.a-real.ru/sysadmins/ Он тоже на freebcd. Но ему такой трюк как я описал выше не нужен. Там в правилах, в графе дист есть "интернет". Так вот, там достаточно одного правила, разрешить ходить до "интернет", и этот интерфейс ходит исключительно в интернет. Почему в pfsense этого нет до сих пор не пойму.
