Не могу зайти pfSense с одной из подсети



  • Добрый день!
    На PfSense 2.2.6-RELEASE (i386) подняты VLAN для разных подсетей. Между этими сетями проблем нет все пакеты ходят как надо, но есть одно..

    VLAN 3 в ней айпишники получают 192.168.3.0/24  ip pfsense 192.168.3.254
    VLAN 4 в ней айпишники получают 192.168.4.0/24  ip pfsense 192.168.4.254
    VLAN 5 в ней айпишники получают 192.168.5.0/24  ip pfsense 192.168.5.254

    с подсети 192.168.3.0/24 и 192.168.5.0/24 я могу по-любому из 3 ip pfsense зайти на веб интерфейс 3.254 4.254 5.254 без разницы, а вот с подсети 192.168.4.0/24 могу зайти только на 3.254 и 5.254. Выходит что не могу зайти на пфку своей же подсети, выходит сообщение "Не удается получить доступ к сайту Сайт 192.168.4.254 не позволяет установить соединение." Через диагностику порта все показывает ок, в логах фаервола с машина которой тестирую вообще мой айпишник не засвечивается. Как можно отследить по какому правилу меня не пускает на пфку?



  • Доброе
    Скрины правил fw



  • Скрины..








  • Доброе
    Зачем вам !Localsnet (тем более, что !Localnets) в правилах ? Вы когда шлюз указываете явно (или исп. дефолтный) пакеты и так будут правильно бегать. Или у вас там еще и шейпер\лимитер имеется ?

    Я бы сохранил бэкап конфига, хорошо подумал и переписал правила fw. Особенно касаемо явного указания !Localsnet



  • @werter:

    Доброе
    Зачем вам !Localsnet (тем более, что !Localnets) в правилах ? Вы когда шлюз указываете явно (или исп. дефолтный) пакеты и так будут правильно бегать. Или у вас там еще и шейпер\лимитер имеется ?

    Я бы сохранил бэкап конфига, хорошо подумал и переписал правила fw. Особенно касаемо явного указания !Localsnet

    pfSense достался так сказать в наследство, первоначальную настройку делали без меня. Лимитер уже начал использовать я и он используется только в к4. Сейчас попробую вообще описать как все построено..Есть два корпуса к1,к2 это К1 и к3,к4,к5 это К3, в К1 и К3 по pfSense, соединены они через городскую АТС, т.е. с обоих корпусов на АТСку идет оптика там в коммутатор по VLAN, в pfSense интерфейс называется VPN. В каждый корпус приходит свой интернет, когда в одном корпусе инет падает, то юзеры идут через другой инет (по крайне мере должны, т.к. в system->routing все собрано в группу с расставленными tier) С любого интерфейса можно попасть в любой другой, кроме wifi public. И почему в том же system->routing подефолту стоит gateway другой корпус… т.е.в К3 дефаулт К1 и наоборот в К1 дефаулт gateway K3 вот не знаю почему так, но все работает. Если нужна какая то еще инфа скажите предоставлю.



  • Доброе.
    Рисуйте схему с адресацией.