Настройка маршрутизации между двумя инте

Serg11

Добрый день!
Работаю с PFSense недавно. Прошу помощи в настройке PFSense.

Использую в работе PFSense:
2.2.4-RELEASE (amd64)
built on Sat Jul 25 19:57:37 CDT 2015
FreeBSD 10.1-RELEASE-p15

Установлен PFSense в качестве виртуальной машины на POXMOX.

Изначально в PFSense организованы следующие интерфейсы:
Интерфейс Lan: Локальная сеть 192.168.100.0\24
Интерфейс Wan: интернет.

В такой конфигурации все работает.

Так же есть отдельная локальная сеть 192.168.101.0\24

ЗАДАЧА: Подключить сеть 192.168.101.0\24 к PFSense и организовать к ней доступ из сети 192.168.100.0\24. Т. е. чтобы с хоста из подсети 100.0 были видны все хосты из сети 101.0 и обратно.

ЧТО СДЕЛАНО:
1. Коммутатор из сети 101.0\24 скоммутирован в сервер с PROXMOX на отдельный Lan порт. Этому порту выдан ip 192.168.101.10. Организован он в виде моста, чтобы был доступен виртуальной PFSense.
2. В PFSense добавлен новый интерфейс Lan2 и ему присвоен ip 192.168.101.20, выбран порт к которому подключен кабель из сети 101.0\24.
3. В правилах Firewall - Rules для интерфейса Lan2 созданы разрешающие правила:

Proto     Source                 Port         Destination Port  Gateway             Queue
IPv4*    LAN2 Net           *               *           *           *                     none
IPv6*    LAN2 Net           *               *           *           *                     none
IPv4*  192.168.100.0/24  *   192.168.101.0/24   *           *                     none
IPv4*  192.168.101.0/24  *   192.168.100.0/24   *           *                     none

Проверяем:
1. Пингуем хосты с компьютера из подсети 100.0\24:
    101.10 - пингуется
    101.20 - пингуется
    101.30 (адрес коммутатора подключаемой сети) - не пингуется.

2. Пингуем хосты из PFSense с интерфеса Lan и Lan2:
    101.10 (физический сетевой интерфейс в сервере) - пингуется
    101.20  (интерфейс Lan2 в PFSense)-  пингуется
    101.30 (адрес коммутатора подключаемой сети) - не пингуется.

3. Подключаемся по SSH к PROXMOX:
    101.10 (физический сетевой интерфейс в сервере) - пингуется
    101.20  (интерфейс Lan2 в PFSense)-  пингуется
    101.30 (адрес коммутатора подключаемой сети) - Пингуется.
    100.22 (хост из основной локальной сети) - пингуется.

Описание проблемы: хосты из подключаемой сети 101.0\24 не видны из основной сети 100.0\24, но при этом физический интерфейс сервера (101.10) и интерфейс Lan2 PFSense (101.20) доступны.
При этом PROXMOX видит все хосты из сети 101.0\24, все хосты из основной сети, новый интерфейс PFSens.

Где чего не докрутил не могу понять. NAT Outbound стоит в режиме Automatic outbound NAT rule generation
(IPsec passthrough included).

Уважаемые форумчане, прошу помощи :)

Всем заранее благодарен.

werter

Доброе.

Коммутатор из сети 101.0\24 скоммутирован в сервер с PROXMOX на отдельный Lan порт. Этому порту выдан ip 192.168.101.10. Организован он в виде моста, чтобы был доступен виртуальной PFSense.

А зачем Вы явно назначаете ip интерфейсу ? Насколько я понимаю, ip назначается непосредственно в вирт. машине pf.

Serg11

Я делал по аналогии с настройкой интерфейса основной локальной сети 100.0. Там адрес прописан и в PROXMOX на физ. интерфейсе и в PF.

Попробую убрать адрес с физического интерфейса, оставить только тот, что прописан в PF. Может быть в этом загвоздка.

Serg11

Добрый день!
Удалось достичь следующих результатов:

1. Убрал явно заданный адрес с физического сетевого интерфейса на PROXMOX. Оставил только интерфейс на PF (101.20)
2. Переключил режим работы NAT Outbound с "Automatic outbound NAT rule generation" на "Hybrid Outbound NAT rule generation".
3. Добавил в правила NAT Outbound два правила:

Interface               Source Source Port Destination Destination Port     NAT Address         NAT Port Static Port
LAN2 192.168.100.0/24     *                       *               *           LAN2 address               *             NO
LAN2 192.168.101.0/24     *                        *               *           LAN2 address               *             NO

Доступ в 101 сеть из 100 сети появился. Хосты 101 сети пингуются, можно на них заходить. PF пингует хосты 101 как с Lan интерфейса так и с Lan2 (подключенного) интерфейса.

ПРОБЛЕМА: заключается в том, что с хоста 101 сети не видно хостов 100 сети. Шлюз 192.168.101.1 не пингуется, 192.168.100.1 не пингуется. Интернета на хостах сети 101.0 - нет.

Попробовал добавить разных разрешающих правил на обоих локальных интерфейсах:

4. Добавил следующие разрешающие правила для интерфейсов Lan (основная сеть 100.0\24) и Lan2 (подключаемая сеть 101.0\24):
Для интерфейса Lan2:

Proto    Source Port Destination Port Gateway Queue Schedule

IPv4 * 192.168.100.0/24 * 192.168.101.0/24 *       * none

IPv4 * 192.168.101.0/24 * 192.168.100.0/24 *       * none

IPv4 * LAN net * LAN2 net       *       * none

IPv4 * LAN2 net         * LAN net *      * none

Такие же правила добавил для интерфейса Lan.

Эффекта это не дало. Доступа из 101.0 сети нет.

rootmax

Эффекта это не дало. Доступа из 101.0 сети нет.

101 сеть должна знать куда слать пакеты. Пропиши хостам из 101 сети gw IP pfsense.