Не получается настроить мост в pfsense 2.3.4

mniks

Добрый день.
немного предыстории. Сдох мой старый роутер RT-N16 на замену я поднял fpSenese-2.3.4 в виртуальной машине hyper-v
На физическом сервере есть 5 портов Ethernet(1 на материнской плате и 4 на pcie карте)
В hyperv-v сделал 5 виртуальных коммутаторов, для одного из них разрешил управление операционной системой сервера, для остальных запретил

в hyper-v так же крутится виртуалка с NAS и виртуалка с windows, все они подключены к виртуальному коммутатору, на котором разрешено управление операционной системой.

созданные виртуальные коммутаторы пробросил в pfsense - WAN, LAN, OPT1, OPT2, OPT3

на WAN - заходит провод от провайдера
на LAN -подключены все виртуальные машины, сам сервер hyper-v и подключен физический свитч с проводными клиентами(компьютеры, телевизоры, приставки)
на OPT1 - подключена точка доступа wifi
на OPT2 - подключен POE свитч с камерами видеонаблюдения и регистратором
на OPT3 хочу подключить еще одну точку доступа, так как после смерти роутера покрытие wifi стало хуже

сейчас на всех LAN интерфейсах поднят dhcp раздающий  адреса для своей подсети
LAN - 192.168.1.0/24
OPT1 - 192.168.2.0/24
OPT2 - 192.168.3.0/24

Как мне настроить систему так, чтобы новая точка доступа, подключенная к OPT3, получала адреса с DHCP поднятого на OPT1?
пытался сделать бридж OPT1,OPT2
адрес задан только на OPT1, там же поднят DHCP
запретил фильтрацию на интерфейсах(OPT)  моста, и разрешил на интерфейсе самого моста
в файрволе на OPT1 и OPT3 разрешил прохождение всего трафика
но новая точка доступа адрес не получает :-(

попробовал в interfases/assign на OPT1 повесить созданный мост, в этом случае  отваливается точка доступа.
Я уже весь мозг сломал как  правильно настроить мост в pfsense.

werter

Доброе.

Вар1
Воткнуть в OPT1 свитч + кабель от проблемной ТД.

Вар2
https://www.infotechwerx.com/blog/Creating-a-Simple-pfSense-Bridge

P.s. А что за модель ТД?

mniks

Проблема не в точке, сейчас обе точки работают на двух интерфейсах только адреса у них в разных подсетях(на каждом интерфейсе свой dhcp) , а надо что бы адреса были в одной подсети.
Как раз по этому мануалу и настаивал. После того как вешаешь бридж на физический интерфейс, обе точки отваливаются и перестают получать адреса от dhcp.

rubic

IP нужно вешать не на OPT1, а на интерфейс моста. На нем же настраивать DHCP

PbIXTOP

А зачем гонять локальный трафик в pfSense, если этим может заняться VMware на своих виртуальных свичах?

mniks

@rubic:

IP нужно вешать не на OPT1, а на интерфейс моста. На нем же настраивать DHCP

так и делал.
вот снова попробовал сделать все с нуля.
OPT2 и OPT3 сконфигурированы без адресов, и объединены в мост.
На интерфейсе моста висит подсеть 192.168.3.1/24 и поднят dhcp.
Но адреса клиентам не раздаются :-(

PS: скрин не сделал, в firewall/rule разрешил весь трафик  и на OPT2 и на OPT3 и на OPT4


mniks

@PbIXTOP:

А зачем гонять локальный трафик в pfSense, если этим может заняться VMware на своих виртуальных свичах?

Не совсем понял вопроса. Вы предлагаете убрать роутер и настраивать все на хосте виртуализации?
У меня не vmware а голый hyper-v, на одном из интерфейсов у мня висит видеонаблюдение дома. Свич вынесен в консьержку и я не хочу что бы они попадали ко мне в домашнюю сеть, я для этой подсети разрешил только доступ в облако.
Для детских девайсов  планирую настроить dns фильтр.
Есть еще ряд задач, в основном организация доступа к хостам в моей сети из интернета.

Как это все настроить без чего то подобного pfsense я не знаю :-(

werter

Доброе.
Какая версия ВМ в гипер-в исп-ся ? Какой тип. сет. контроллера исп-ся в ВМ с пф ?

P.s. Попробуйте сменить свое "чудо" на Proxmox (KVM). Только используйте от 2-ух hdd и zfs raid (настраивается в самом начале установки).

mniks

Используется первая версия(во второй pfsense не запустится), естественно используются виртуальные коммутаторы с типом "внешняя сеть" я об этом написал в самом начале.
У вас есть пруф что подобная проблема исходит от hyper-v, или это только предположение?
Не хочется все ломать,  вируалки уже год работают без пооблем, сейчас добавил ещё виртуальный роутер.
Раньше пробовал routerOS(CHR), там мост создаётся без проблем при первичной настройке, но routerOS платный :-(

werter

естественно используются виртуальные коммутаторы с типом "внешняя сеть" я об этом написал в самом начале.

Вы не поняли. Паравиртуальные или legacy ? TCP checksum offload откл в настр. пф ?

У вас есть пруф что подобная проблема исходит от hyper-v, или это только предположение?

Я и не указывал в предыдущ. сообщении, что проблема именно в гипервизоре. Если есть возможность - попробуйте. Вдруг и возвращаться не захочется  ;)

mniks

чет я туплю.
под legacy подразумевается не прокидывал ли я PCI устройство в гостевую ОС?
Нет, я средствами гипер-в создал виртуальные свичи, к которым в свою очередь подключены вируалки через виртуальные адаптеры.
в arp таблицы mac адреса сгенерированные гипер-в. скрин приложил
В настройках есть hardware cheksum offloading  - включен

werter

Доброе.

под legacy подразумевается не прокидывал ли я PCI устройство в гостевую ОС?

Нет. У гипер-в есть два типа сет. карт для ВМ - legacy и паравиртуальные.
Первый эмулирует реалтековскую карточку 8139 (поправьте ?) и более универсален, т.к. драйвера под нее есть в любых ОС. Второй - без доустановки драйверов в вирт. ОС не заведется (LIS для linux, BIS - для bsd). Но сейчас второй тип драйверов также присутствует в большинстве *nix-подобных ОС. В дебиане и его родственниках - точно уже есть в ОСи. А вот для RH-подобных требуется LIS.

Судя из Вашего скрина - у вас 2-ой тип и все ок.

PbIXTOP

@mniks:

@PbIXTOP:

А зачем гонять локальный трафик в pfSense, если этим может заняться VMware на своих виртуальных свичах?

Не совсем понял вопроса. Вы предлагаете убрать роутер и настраивать все на хосте виртуализации?
У меня не vmware а голый hyper-v, на одном из интерфейсов у мня висит видеонаблюдение дома. Свич вынесен в консьержку и я не хочу что бы они попадали ко мне в домашнюю сеть, я для этой подсети разрешил только доступ в облако.
Для детских девайсов  планирую настроить dns фильтр.
Есть еще ряд задач, в основном организация доступа к хостам в моей сети из интернета.

Как это все настроить без чего то подобного pfsense я не знаю :-(

А какая разница, где у вас выйдет бридж — будет он на pfSense, виртуальном или физическом коммутаторе? Все-равно все пользователи окажутся в одном большом сегменте и будут видеть друг-друга, особенно при теперешнем включении IPv6 по умолчанию в Windows.

mniks

Проблема была в настройках сетевых адаптеров в ВМ. Надо было включить спуффинг мак адресов. https://forum.pfsense.org/index.php?topic=134913.0

Теперь устройства адреса получают, все норм, но доступ в интернет с них не работает.

Я так понимаю, что проблема на уровне файрвола. Но как ее диагностировать я не знаю.
В настойках pfsense выполнено
net.link.bridge.pfil_member  0    
net.link.bridge.pfil_bridge  1   

на интерфейсе моста добавлено правило разрешающее все.

адреса раздаются, но доступа в интернет с устройств нет.
Добавил еще группу интерфейсов и добавил для этой группы такое же правило. Без изменений :-(

После всех настроек перегружал pfsense.

NegoroX

чет не понял, для увеличения покрытия wi_fi второе устройство wi_fi настраивается в качестве репитора (читать в инструкции), так что ПФ можно не трогать.

mniks

@NegoroX:

чет не понял, для увеличения покрытия wi_fi второе устройство wi_fi настраивается в качестве репитора (читать в инструкции), так что ПФ можно не трогать.

У меня нет wifi роутера, есть два TP-LINK RE450 работающие в режиме точек доступа.
Использование таких устройств в качестве репитера вдвое снижает полосу пропускания wifi. Такой вариант используется если нет возможности соединить проводом точку доступа с роутером.

Scodezan

Так то репитер даёт падение производительности в 2 раза.

У меня вопрос, что мешает поставить аппаратный хаб?