Доступ к ресурсам OPT1, OPT2 из LAN
-
Народ, хелп! Я себе ломаю мозг вторые сутки и как-то безуспешно. Суть вот в чем.
Имеется комп (сервер) на котором инсталлирован xenserver. На нем запущены три машины. Этакий домашний сервер..-
Роутер на pfSense
-
Сетевое хранилище на Nas4Free
-
Веб сервер на Debian
Так же в этот сервер воткнуто две сетевых карты.
-
Смотрит в инет WAN
-
Смотрит в домашнюю локальную сеть LAN, а именно в коммутатор и на еще несколько компов.
И для каждой ВМ создан свой сетевой интерфейс в xenserver со своим набором ip адресов.
Вот такая схема сети в итоге должна получиться:

В pfSense добавляю все эти интерфейсы, прописываю всем им статические адреса (для самих интерфейсов)..
На LAN интерфейсе стоит DHCP сервер, а на интерфейсах к другим ВМ я вручную прописываю адреса.
Вообщем, к LAN компам инет идет нормально. Но вот на другие (OPT) интерфейсы для ВМ инет не идет. Окей. Если в Gateways я прописываю скажем 192.168.2.1 то инет появляется на машине Nas4Free. И пинг проходит как только угодно.. и на машину и с машины и в инет и в локальную сеть.. И в Rules я ставил разрешения на все что только можно, но никак не получается у меня войти (открыть), скажем, в веб интерфейс Nas4Free по адресу 192.168.2.2 из локальной сети (с компа например 192.168.1.101) при этом все пинги проходят.
Вообщем я не знаю что делать дальше.. =( Полагаю как то надо NAT настраивать или еще что.. Я много чего перетыкал, но все безуспешно. Из локалки я не могу обратиться к сервисам на ВМ.
(После того, как все заведется в локальной сети, я полагаю пробросить порты и доменные адреса к нужной ВМ из WAN будет просто)Если не сложно, растолкуйте как настроить все это безобразие.. Я в потерянности уже
export-2.png -
-
У меня была следующая ситуация - из VPN(Pfsense был сервером VPN) дать доступ к шарам в LAN и оградить все это от OPT1. Доступ из VPN(с этой точки зрения разницы между OPT2, OPT1 и VPN никакой) в LAN дал добавив в фаерволе, в правилах для LAN добавив правило разрешающее прием и отдачу любого трафика с и в VPN, а в правилах фаервола для VPN добваил абсолютно такие же, для трафика в и с LAN.
Ограждение OPT1 от остальных сетей оказалось посложнее:
Взаимные запрещающие правила, по аналогии с вышепреведенным в обоих интерфейсах не работали, шары LAN были доступны из OPT1. Проблема решилась добавив эти правила запрета не в правилах конкретных интерфейсов, а в разделе фаервола "Flouting".Попробуй в правилах OPT и LAN добавить разрешения на прохождение любого трафика, а затем, меняя правило оставив разрешение только на нужные протоколы/порты.
З.Ы. Все это делается в фаерволе
-
На сетевой карте у xen, к-ая работает ВАНом, не должно быть ip-адреса - всем должна рулить ВМ с пф.
Можно вообще отдать (пробросить) эту сетевую в ВМ с пф (если железо позволяет (vt-d, amd-v) - cpu, chipset).P.s. Xen - не лучший выбор в плане вирт-ции, имхо. Рекомендую KVM - Proxmox (от 2-ух hdd + zfs raid). Отличная статья - http://onreader.mdl.ru/VirtualizationComplete/content/index.html . Причем сам nas4free можно развернуть на флешке, пробросить эту флешку в ВМ на proxmox как загр. уст-во и в эту же ВМ пробросить физ. диски для хранилища.
-
Если можно в 2-х словах - чем так хороша ZFS?
В инете, естественно, полно инфы, но интересует именно ваше мнение.
-
http://wolandblog.com/601-zfs-novyj-vzglyad-na-fajlovye-sistemy/
http://xgu.ru/wiki/ZFSКоротко говоря — ZFS совмещает в себе функции файловой системы и менеджера томов.
Софт-рейд, как-бы. Бонусом идёт несколько разных алгоритмов прозрачного сжатия данных "на лету", дедупликация, контроль целостности (и всё это работает на блочном уровне), механизм квот, мгновенные снапшоты, и прочая, и прочая. Вкусно, короче. -
Спасибо. Хорошие ссылки.
