Вопрос по маршрутизации между VLAN
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 естественно не будет работать. Поменять дроп на акцепт. И дестенейшен сменить с вланс на *
Так я уже пробовал, да, интернет есть, но изоляции от других интерфейсов нет.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 тогда ставим в дестенейщене this firewall
Странно, должно работ ать, но не работает. Нет интернета.
-
@antonr69 как нет? У вас жёстко указан гетвей. Он не может физически знать о ваших вланах
-
@antonr69 это было про доступ к самому pfsense. Вы все путаете. Это надо было в первом правиле делать.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 как нет? У вас жёстко указан гетвей. Он не может физически знать о ваших вланах
Ели так, то интернет есть, изоляции нет.
-
@antonr69
Так тоже самое
-
@antonr69 Дамс... Source ваш влан. И изоляции точно нет? Вы получаете доступ к своим сервисам за другими вланами или просто пингуете? В интернете чего только нет.
-
@antonr69 это единственное правило на интерфейсе? Сделайте reset states и потом трассировку до узла на другом влане.
-
@antonr69 и в вашем мультиване что за роуты? Там случаем не затисались роуты до ваших вланов?
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 Дамс... Source ваш влан. И изоляции точно нет? Вы получаете доступ к своим сервисам за другими вланами или просто пингуете? В интернете чего только нет.
Просто пингую, на них еще ничего нет. Тестовый полигон.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 и в вашем мультиване что за роуты? Там случаем не затисались роуты до ваших вланов?
Там ничего нет, пусто.
-
@werter said in Вопрос по маршрутизации между VLAN:
@antonr69
Вот хороший мануал по VLAN на пф https://nguvu.org/pfsense/pfsense-baseline-setup/Спасибо. Годная вещь.
-
@antonr69 Надо не пинговать а делать tracert. Очень легко может оказаться что у вашего провайдера где-то есть такой же IP внутри сети. Или не вашего, а вышестоящего. И пинговать вы будете не свой девайс.
Просто если не указывать gateway, то будет работать в соответствии с таблицей маршрутизации PF и тогда да, вполне что там есть роут до всех вланов. Но если указать шлюзом то через что вы ходите в инет, то там маршрутов до ваших вланов ни как быть не может. -
@sirota
Спасибо, учту. -
@antonr69
Вообщето, да, можно обойтись и двумя правилами, если во втором правиле изменить на разрешить, а в дист сделать инвертирование.
-
@werter said in Вопрос по маршрутизации между VLAN:
@antonr69
Ок
1-е - оставляем.
2-е - в src - VLAN net (вашу влан-сеть) и в Шлюз - указать имя шлюза в Инет.
3-е - откл
Сбросить states для чистоты.
Всё.Зы. Еще. Никогда не используйте VLAN 1 - это СЛУЖЕБНЫЙ тег.
Зы2. И русский в вебках ИНОСТРАННОГО ПО тоже не пользуйте. Это дурной тон.Короче странно, но не работает действительно:
К сожалению девайса за PF в этой подсети у меня подконтрольного нет чтобы с него проверить. Но в переделах интерфесов PF ни чего не работает.
А вот это вообще финиш:
и результат тот же, маршрут разрешается. 192.168.0.228 находится в подсети Lan net -
- Ping разрешен ТОЛЬКО на GUEST address.
- Трафик разрешен ТОЛЬКО через шлюз FailoverGroup, к-ый существует для выхода в инет.
Вопрос: C какого перепугу будет доступен хост 192.168.0.228 (сеть LAN) из сети GUEST, если для него НЕТ разрешающего правила?
ВЫШЕ правила с FailoverGroup добавьте правило для доступа в сеть LAN. В gw указать GUEST_GW (или ничего не указывать - проверить). При этом ВСЕ правила deny to other net должны быть откл.
-
@werter said in Вопрос по маршрутизации между VLAN:
- Ping разрешен ТОЛЬКО на GUEST address.
- Трафик разрешен ТОЛЬКО через шлюз FailoverGroup, к-ый существует для выхода в инет.
Вопрос: C какого перепугу будет доступен хост 192.168.0.228 (сеть LAN) из сети GUEST, если для него НЕТ разрешающего правила?
ВЫШЕ правила с FailoverGroup добавьте правило для доступа в сеть LAN. В gw указать GUEST_GW (или ничего не указывать - проверить). При этом ВСЕ правила deny to other net должны быть откл.
Ну... вот и я не пойму.
Reset states сделал естественно. -
@werter said in Вопрос по маршрутизации между VLAN:
- Ping разрешен ТОЛЬКО на GUEST address.
- Трафик разрешен ТОЛЬКО через шлюз FailoverGroup, к-ый существует для выхода в инет.
Вопрос: C какого перепугу будет доступен хост 192.168.0.228 (сеть LAN) из сети GUEST, если для него НЕТ разрешающего правила?
ВЫШЕ правила с FailoverGroup добавьте правило для доступа в сеть LAN. В gw указать GUEST_GW (или ничего не указывать - проверить). При этом ВСЕ правила deny to other net должны быть откл.
А вот тут у меня вообще взрыв шаблона
-
FailoverGroup - это gw для ИНТЕРНЕТА. Зачем его использовать для доступа из GUEST net в LAN net (2-й вопрс. знак) ?
Касаемо 1-го вопрс. знака.
Для доступа из GUEST net в LAN достаточно РАЗРЕШАЮЩЕГО правила:
IPv4* GUEST net * LAN net * *
Всё. Никаких GUEST address и т.д.GUEST address - это адрес САМОГО пф-а. Не надо его трогать без понимания.
Зы. Дорогие мои. Мой вам совет - начните работу с сетями со более СЛОЖНОГО. Купите б\у Микротик (или новый hap lite ~ 20$) и на нем потренируйтесь. Осилите МТ - велком ту пф. Нет? До свидания, it - это не ваше.
Есть множество др. достойных профессий. Потому как очередной идиотизм на рынке вакансий. В 90-е все в юристо-экономисты перлись за баблом, сейчас - в it.
И разочарую тех, кто думает, что курсы типа "За 1-2-3 месяца в девопсы\программисты" и т.д. чем-то помогут. Не помогут. Это ГОДЫ труда и борьбы с собою, с собственной ленью прежде всего. Это ГОДЫ (само)обучения. Простите, но назрело. Уже "залюбился" объяснять элементарные вещи (Зы3. Прекрасный и БЕСПЛАТНЫЙ курс по сетям. В закладки (для тех кто ХОЧЕТ)
https://linkmeup.ru/blog/1188/
https://linkmeup.gitbook.io/sdsm/
Пользую сам.Зы4. Кому интересно. Список ресурсов, к-ые просматриваю ЕЖЕНЕДЕЛЬНО. Нес-ко ДЕСЯТКОВ штук. Мои "университеты", т.с.