Вопрос по маршрутизации между VLAN

sirota

@antonr69 said in Вопрос по маршрутизации между VLAN:

@sirota said in Вопрос по маршрутизации между VLAN:

@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем.
Спасибо. Проверил, работает. То что было не понятно связано с опытом КериоКонтрол. Там можно создать ОДНО правило: такому то ИНТЕРФЕЙСУ влану можно ходить на ИНТЕРФЕЙС ван. И все работает. Этот влан имеет интернет, и в то же время отделен от других интерфейсов. Ключевое различие что правило построено на взаимодействии интерфейсов. Почему в pfsense так нельзя не понимаю. Еще не могу понять разницу van net, wan adr и "этот фаервол"

Потому что как сделано в PF - логично. Я могу разрешить маршрут вплоть до WAN интерфейса, но далее запретить. К примеру у провайдера есть локальные ресурсы (телефония) в этой же подсети. Я разрешаю для телефона доступ к WAN net и не более. Все. Интернета у телефонии не будет, но будет доступ к серверу телефонии. Т.е. всего 1 правило.
С керио лет 10 уже как не знаком, но осмелюсь предположить там просто нет в конце запрещающего правила на все. У PF если совсем грубо на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop
Т.е. все что мы явно не разрешили выше будет дропаться. Так сделано во всех нормальных файрволах.

AntonR69

@sirota said in Вопрос по маршрутизации между VLAN:

на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop. Т.е. все что мы явно не разрешили выше будет дропаться.
Так то оно так, но задача дать интерфейсу интернет, разрешает все. Выше упомянутое правило перестает работать. И приходится городить правила чтобы запретить не нужное. Вот в этом я вижу не логичность. И это сбивает с толку не только меня. Я нашел много тем с этим же вопросом. Вот пример, чел пишет: у меня один ван и одил лан. Я решил сделать сеть влан для гостей. Решение в этой конфигурации предложили не стандартное. Создать разрешающие правило для влана ходить на лан, но лан инвертировать. И мы получаем интернет на влане без доступа к лан. Я бы не догадался так сделать. Надо наверно тему создать для примеров решений стандартных и не только ситуаций.

sirota

@antonr69 said in Вопрос по маршрутизации между VLAN:

@sirota said in Вопрос по маршрутизации между VLAN:

на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop. Т.е. все что мы явно не разрешили выше будет дропаться.
Так то оно так, но задача дать интерфейсу интернет, разрешает все. Выше упомянутое правило перестает работать. И приходится городить правила чтобы запретить не нужное. Вот в этом я вижу не логичность. И это сбивает с толку не только меня. Я нашел много тем с этим же вопросом. Вот пример, чел пишет: у меня один ван и одил лан. Я решил сделать сеть влан для гостей. Решение в этой конфигурации предложили не стандартное. Создать разрешающие правило для влана ходить на лан, но лан инвертировать. И мы получаем интернет на влане без доступа к лан. Я бы не догадался так сделать. Надо наверно тему создать для примеров решений стандартных и не только ситуаций.

1. Научитесь нормально отвечать на комменты. Дико не удобно потом читать когда отвечаете внутри чужого комментария
2. Да нет, как раз таки это нормально и вполне себе стандартное решение (так же к примеру делается и у микротика если не использовать интерфейсы: s:vlan10 net d:!lan net a:accept Все. ). Всего в 1 правило умещается - разрешить все что не LAN net. И в инет пустили подсеть и в локалку не пустили.

werter

@sirota
@AntonR69
Достаточно ЯВНО указать шлюз в правиле fw на ВЛАН-интерфейсе(-ах) (WAN_GW) и в ЛАН уже никто не попадет. И на ЛАН тоже, если надо доступ во ВЛАНЫ закрыть. Это наз-ся Policy-based Routing (PBR)

Зы. Читаю и перечитываю https://linkmeup.ru/blog/11.html

pigbrother

@werter said in Вопрос по маршрутизации между VLAN:

Достаточно ЯВНО указать шлюз в правиле fw на ВЛАН-интерфейсе(-ах) (WAN_GW) и в ЛАН уже никто не попадет

Я это ТС указал 1-м ответом на его вопрос.

AntonR69

@pigbrother said in Вопрос по маршрутизации между VLAN:

@werter said in Вопрос по маршрутизации между VLAN:

Достаточно ЯВНО указать шлюз в правиле fw на ВЛАН-интерфейсе(-ах) (WAN_GW) и в ЛАН уже никто не попадет

Здравствуйте. Я испробовал ваш совет добавить гетвей в правило, не помогает. И в правило пробовал, и в интерфейс.
У меня получилось по другому. Он подходит когда много vlan, каждому нужен интернет и при этом их нужно друг от друга изолировать.

1. Создаем алиас в котором перечисляем сети всех вланов, если нужно и Lan-ов. Он будет один для правил всех вланов (интерфейсов).
2. Для каждого влана (интерфейса) создаем 3 правила.
   1. разрешаем ходить на собственный влан. Дист "имя влана" (* * vlan01 * *)
   2. запретить ходить на другие вланы. Дист имя ранее созданного алиаса. (* * vlans * *)
   3. Разрешить все всем. (* * * * *)
      И оно работает. Мы получаем изолированный влан с доступом в интернет.
      На днях помучал ИКС https://xserver.a-real.ru/sysadmins/ Он тоже на freebcd. Но ему такой трюк как я описал выше не нужен. Там в правилах, в графе дист есть "интернет". Так вот, там достаточно одного правила, разрешить ходить до "интернет", и этот интерфейс ходит исключительно в интернет. Почему в pfsense этого нет до сих пор не пойму.

werter

@antonr69 said in Вопрос по маршрутизации между VLAN:

Здравствуйте. Я испробовал ваш совет добавить гетвей в правило, не помогает. И в правило пробовал, и в интерфейс.

Почему-то уверен, что порядок правил неверный у вас (

разрешаем ходить на собственный влан. Дист "имя влана" (* * vlan01 * *)

Лишнее. Пф этим не рулит. Пф рулит от себя вовне и наборот.

На днях помучал ИКС https://xserver.a-real.ru/sysadmins/ Он тоже на freebcd

Открыл демку. Потыкал. Увидел, что это "супер-ультра-мега-комбайн" с почтой, fw и т.д. Закрыл демку. Эти поделием пользоваться, если только ЗАСТАВЯТ.

Надо почту? Отдельно (mailcow, iredmail или руками)
Надо ftp? Отдельно (truenas, xigmanas, omv)
Надо firewall? Вы поняли )

Зы. Ребята имеют сертиф от ФСТЭК. 99.9% что контора создана под дядю из структур, к-му нужно госбабло ))

AntonR69

@werter Без первого правила пинг до ip самого влана не идет, и нет интернета.

werter

@antonr69
Пинг - это не про интернет.

Покажите скрины правил на ВСЕХ интерфейсах.

sirota

@antonr69 тогда ставим в дестенейщене this firewall

werter

@antonr69

Покажите скрины правил на ВСЕХ интерфейсах.

Зы. И никаких WAN net в dst. Этим вы точно доступ в инет не дадите )

AntonR69

@sirota said in Вопрос по маршрутизации между VLAN:

@antonr69 тогда ставим в дестенейщене this firewall

Да, в третьем правиле можно и так, в дестенейщене this firewall. Скрин прилагаю.

sirota

@antonr69 первое правило это сам на себя? Зачем всем давать доступ к примеру ssh pf'а? Если нужен только пинг, то так и делаем, icmp и дальше параметры допущенные.
И нет. В третьем нет.

werter

@antonr69
Ок
1-е - оставляем.
2-е - в src - VLAN net (вашу влан-сеть) и в Шлюз - указать имя шлюза в Инет.
3-е - откл
Сбросить states для чистоты.
Всё.

Зы. Еще. Никогда не используйте VLAN 1 - это СЛУЖЕБНЫЙ тег.
Зы2. И русский в вебках ИНОСТРАННОГО ПО тоже не пользуйте. Это дурной тон.

AntonR69

@werter Спасибо за комментарий. Завтра ваш вариант попробую. А влан01 это для примера. В боевом режиме там совсем другой номер влана.

werter

@antonr69
Пробуйте )

AntonR69

А ИКС в бесплатном варианте только 9 учеток. Типа вход в морду, впн и узерпрокси если надо. В остальном нет ограничений. Многим не большим организациям это хватит. Правда у меня он коряво работает с моими сетевушками. Одна отваливается, вторая в мультиван режиме при переключении не подхватывает дхсп. Выключишь-включишь адрес получает.

werter

@antonr69
там 31 день же триал?

werter

@antonr69
Вот хороший мануал по VLAN на пф https://nguvu.org/pfsense/pfsense-baseline-setup/

AntonR69

@werter said in Вопрос по маршрутизации между VLAN:

@antonr69
Ок
1-е - оставляем.
2-е - в src - VLAN net (вашу влан-сеть) и в Шлюз - указать имя шлюза в Инет.
3-е - откл
Сбросить states для чистоты.
Всё.

Попробовал ваш вариант. Не работает. Нет интернета.