Настройка маршрутизации между двумя инте



  • Добрый день!
    Работаю с PFSense недавно. Прошу помощи в настройке PFSense.

    Использую в работе PFSense:
    2.2.4-RELEASE (amd64)
    built on Sat Jul 25 19:57:37 CDT 2015
    FreeBSD 10.1-RELEASE-p15

    Установлен PFSense в качестве виртуальной машины на POXMOX.

    Изначально в PFSense организованы следующие интерфейсы:
    Интерфейс Lan: Локальная сеть 192.168.100.0\24
    Интерфейс Wan: интернет.

    В такой конфигурации все работает.

    Так же есть отдельная локальная сеть 192.168.101.0\24

    ЗАДАЧА: Подключить сеть 192.168.101.0\24 к PFSense и организовать к ней доступ из сети 192.168.100.0\24. Т. е. чтобы с хоста из подсети 100.0 были видны все хосты из сети 101.0 и обратно.

    ЧТО СДЕЛАНО:
    1. Коммутатор из сети 101.0\24 скоммутирован в сервер с PROXMOX на отдельный Lan порт. Этому порту выдан ip 192.168.101.10. Организован он в виде моста, чтобы был доступен виртуальной PFSense.
    2. В PFSense добавлен новый интерфейс Lan2 и ему присвоен ip 192.168.101.20, выбран порт к которому подключен кабель из сети 101.0\24.
    3. В правилах Firewall - Rules для интерфейса Lan2 созданы разрешающие правила:

    Proto     Source                 Port         Destination Port  Gateway             Queue
    IPv4*    LAN2 Net           *               *           *           *                     none
    IPv6*    LAN2 Net           *               *           *           *                     none
    IPv4*  192.168.100.0/24  *   192.168.101.0/24   *           *                     none
    IPv4*  192.168.101.0/24  *   192.168.100.0/24   *           *                     none

    Проверяем:
    1. Пингуем хосты с компьютера из подсети 100.0\24:
        101.10 - пингуется
        101.20 - пингуется
        101.30 (адрес коммутатора подключаемой сети) - не пингуется.

    2. Пингуем хосты из PFSense с интерфеса Lan и Lan2:
        101.10 (физический сетевой интерфейс в сервере) - пингуется
        101.20  (интерфейс Lan2 в PFSense)-  пингуется
        101.30 (адрес коммутатора подключаемой сети) - не пингуется.

    3. Подключаемся по SSH к PROXMOX:
        101.10 (физический сетевой интерфейс в сервере) - пингуется
        101.20  (интерфейс Lan2 в PFSense)-  пингуется
        101.30 (адрес коммутатора подключаемой сети) - Пингуется.
        100.22 (хост из основной локальной сети) - пингуется.

    Описание проблемы: хосты из подключаемой сети 101.0\24 не видны из основной сети 100.0\24, но при этом физический интерфейс сервера (101.10) и интерфейс Lan2 PFSense (101.20) доступны.
    При этом PROXMOX видит все хосты из сети 101.0\24, все хосты из основной сети, новый интерфейс PFSens.

    Где чего не докрутил не могу понять. NAT Outbound стоит в режиме Automatic outbound NAT rule generation
    (IPsec passthrough included).

    Уважаемые форумчане, прошу помощи :)

    Всем заранее благодарен.



  • Доброе.

    Коммутатор из сети 101.0\24 скоммутирован в сервер с PROXMOX на отдельный Lan порт. Этому порту выдан ip 192.168.101.10. Организован он в виде моста, чтобы был доступен виртуальной PFSense.

    А зачем Вы явно назначаете ip интерфейсу ? Насколько я понимаю, ip назначается непосредственно в вирт. машине pf.



  • Я делал по аналогии с настройкой интерфейса основной локальной сети 100.0. Там адрес прописан и в PROXMOX на физ. интерфейсе и в PF.

    Попробую убрать адрес с физического интерфейса, оставить только тот, что прописан в PF. Может быть в этом загвоздка.



  • Добрый день!
    Удалось достичь следующих результатов:

    1. Убрал явно заданный адрес с физического сетевого интерфейса на PROXMOX. Оставил только интерфейс на PF (101.20)
    2. Переключил режим работы NAT Outbound с "Automatic outbound NAT rule generation" на "Hybrid Outbound NAT rule generation".
    3. Добавил в правила NAT Outbound два правила:

    Interface               Source Source Port Destination Destination Port     NAT Address         NAT Port Static Port
    LAN2 192.168.100.0/24     *                       *               *           LAN2 address               *             NO
    LAN2 192.168.101.0/24     *                        *               *           LAN2 address               *             NO

    Доступ в 101 сеть из 100 сети появился. Хосты 101 сети пингуются, можно на них заходить. PF пингует хосты 101 как с Lan интерфейса так и с Lan2 (подключенного) интерфейса.

    ПРОБЛЕМА: заключается в том, что с хоста 101 сети не видно хостов 100 сети. Шлюз 192.168.101.1 не пингуется, 192.168.100.1 не пингуется. Интернета на хостах сети 101.0 - нет.

    Попробовал добавить разных разрешающих правил на обоих локальных интерфейсах:

    4. Добавил следующие разрешающие правила для интерфейсов Lan (основная сеть 100.0\24) и Lan2 (подключаемая сеть 101.0\24):
    Для интерфейса Lan2:

    Proto    Source Port Destination Port Gateway Queue Schedule

    IPv4 * 192.168.100.0/24 * 192.168.101.0/24 *       * none

    IPv4 * 192.168.101.0/24 * 192.168.100.0/24 *       * none

    IPv4 * LAN net * LAN2 net       *       * none

    IPv4 * LAN2 net         * LAN net *      * none

    Такие же правила добавил для интерфейса Lan.

    Эффекта это не дало. Доступа из 101.0 сети нет.



  • Эффекта это не дало. Доступа из 101.0 сети нет.

    101 сеть должна знать куда слать пакеты. Пропиши хостам из 101 сети gw IP pfsense.