Вопрос по маршрутизации между VLAN

AntonR69

@pigbrother said in Вопрос по маршрутизации между VLAN:

@werter said in Вопрос по маршрутизации между VLAN:

Достаточно ЯВНО указать шлюз в правиле fw на ВЛАН-интерфейсе(-ах) (WAN_GW) и в ЛАН уже никто не попадет

Здравствуйте. Я испробовал ваш совет добавить гетвей в правило, не помогает. И в правило пробовал, и в интерфейс.
У меня получилось по другому. Он подходит когда много vlan, каждому нужен интернет и при этом их нужно друг от друга изолировать.

1. Создаем алиас в котором перечисляем сети всех вланов, если нужно и Lan-ов. Он будет один для правил всех вланов (интерфейсов).
2. Для каждого влана (интерфейса) создаем 3 правила.
   1. разрешаем ходить на собственный влан. Дист "имя влана" (* * vlan01 * *)
   2. запретить ходить на другие вланы. Дист имя ранее созданного алиаса. (* * vlans * *)
   3. Разрешить все всем. (* * * * *)
      И оно работает. Мы получаем изолированный влан с доступом в интернет.
      На днях помучал ИКС https://xserver.a-real.ru/sysadmins/ Он тоже на freebcd. Но ему такой трюк как я описал выше не нужен. Там в правилах, в графе дист есть "интернет". Так вот, там достаточно одного правила, разрешить ходить до "интернет", и этот интерфейс ходит исключительно в интернет. Почему в pfsense этого нет до сих пор не пойму.

werter

@antonr69 said in Вопрос по маршрутизации между VLAN:

Здравствуйте. Я испробовал ваш совет добавить гетвей в правило, не помогает. И в правило пробовал, и в интерфейс.

Почему-то уверен, что порядок правил неверный у вас (

разрешаем ходить на собственный влан. Дист "имя влана" (* * vlan01 * *)

Лишнее. Пф этим не рулит. Пф рулит от себя вовне и наборот.

На днях помучал ИКС https://xserver.a-real.ru/sysadmins/ Он тоже на freebcd

Открыл демку. Потыкал. Увидел, что это "супер-ультра-мега-комбайн" с почтой, fw и т.д. Закрыл демку. Эти поделием пользоваться, если только ЗАСТАВЯТ.

Надо почту? Отдельно (mailcow, iredmail или руками)
Надо ftp? Отдельно (truenas, xigmanas, omv)
Надо firewall? Вы поняли )

Зы. Ребята имеют сертиф от ФСТЭК. 99.9% что контора создана под дядю из структур, к-му нужно госбабло ))

AntonR69

@werter Без первого правила пинг до ip самого влана не идет, и нет интернета.

werter

@antonr69
Пинг - это не про интернет.

Покажите скрины правил на ВСЕХ интерфейсах.

sirota

@antonr69 тогда ставим в дестенейщене this firewall

werter

@antonr69

Покажите скрины правил на ВСЕХ интерфейсах.

Зы. И никаких WAN net в dst. Этим вы точно доступ в инет не дадите )

AntonR69

@sirota said in Вопрос по маршрутизации между VLAN:

@antonr69 тогда ставим в дестенейщене this firewall

Да, в третьем правиле можно и так, в дестенейщене this firewall. Скрин прилагаю.

sirota

@antonr69 первое правило это сам на себя? Зачем всем давать доступ к примеру ssh pf'а? Если нужен только пинг, то так и делаем, icmp и дальше параметры допущенные.
И нет. В третьем нет.

werter

@antonr69
Ок
1-е - оставляем.
2-е - в src - VLAN net (вашу влан-сеть) и в Шлюз - указать имя шлюза в Инет.
3-е - откл
Сбросить states для чистоты.
Всё.

Зы. Еще. Никогда не используйте VLAN 1 - это СЛУЖЕБНЫЙ тег.
Зы2. И русский в вебках ИНОСТРАННОГО ПО тоже не пользуйте. Это дурной тон.

AntonR69

@werter Спасибо за комментарий. Завтра ваш вариант попробую. А влан01 это для примера. В боевом режиме там совсем другой номер влана.

werter

@antonr69
Пробуйте )

AntonR69

А ИКС в бесплатном варианте только 9 учеток. Типа вход в морду, впн и узерпрокси если надо. В остальном нет ограничений. Многим не большим организациям это хватит. Правда у меня он коряво работает с моими сетевушками. Одна отваливается, вторая в мультиван режиме при переключении не подхватывает дхсп. Выключишь-включишь адрес получает.

werter

@antonr69
там 31 день же триал?

werter

@antonr69
Вот хороший мануал по VLAN на пф https://nguvu.org/pfsense/pfsense-baseline-setup/

AntonR69

@werter said in Вопрос по маршрутизации между VLAN:

@antonr69
Ок
1-е - оставляем.
2-е - в src - VLAN net (вашу влан-сеть) и в Шлюз - указать имя шлюза в Инет.
3-е - откл
Сбросить states для чистоты.
Всё.

Попробовал ваш вариант. Не работает. Нет интернета.

sirota

@antonr69 а должно. Скрин можно?

AntonR69

@werter said in Вопрос по маршрутизации между VLAN:

@antonr69
там 31 день же триал?

ИКС без регистрации работает работает в триале без ограничений. Если зарегистрировать версию lite, то будет бесплатно, но ограничение на 9 учетных записей.

AntonR69

@sirota said in Вопрос по маршрутизации между VLAN:

@antonr69 а должно. Скрин можно?

sirota

@antonr69 естественно не будет работать. Поменять дроп на акцепт. И дестенейшен сменить с вланс на *

AntonR69

@sirota said in Вопрос по маршрутизации между VLAN:

@antonr69 естественно не будет работать. Поменять дроп на акцепт. И дестенейшен сменить с вланс на *

Так я уже пробовал, да, интернет есть, но изоляции от других интерфейсов нет.