маршрутизация между vlan pfsence 2.3.4 (amd64)



  • Здравствуйте,
    искал-искал и отчаялся найти ответ. Я новичек в pfsense. Прошу помощи.
    есть 2.3.4-RELEASE (amd64)  wan порт с белым IP и несколько VLAN ведущих из сетевой карты в cisco свич. (OPT1-10.10.10.0/24 OPT2-10.10.20.0/24 OPT3-10.10.30.0/24 OPT4-10.10.40.0/24) Cisco Vlanы видит и раздает адреса. Все видят интернет. а веб-интерфейс роутера видят только из OPT1 .

    Соответственно нужно что бы из сети OPT3 и OPT4 ходили компьютеры в OPT1, а друг-друга они не видели. А из OPT2 могли ходить везде.

    Я насколько понял, это надо делать в статических маршрутах? Прошу помощи. или укажите на тему такую же. сам не смог найти. есть что-то отдаленно напоминающее, но как то все не то, что смогло бы подойти. тут или VPN описывают или соединение 2х Pfsence.



  • По идее достаточно правил на нужных интерфейсах
    например правило
    IPv4 * OPT3 net * OPT1 net * * none
    даст полный доступ  OPT3->OPT1 (но не даст  OPT1->OPT3)

    И не забывайте, что встроенный в Windows брандмауэр блокирует по умолчанию доступ из других подсетей.



  • тестовое правило типа такого

    IPv4 *    *  *    *  *    *    none

    созданное на обоих интерфейсах Firewall - Rules

    не проходят пинги и не видно расшаренную папку на компьютере в OPT1
    этот метод точно должен работать?
    (спасибо за ответ)



  • IPv4 *    *  *    *  *    *    none

    В таком виде не пробовал.
    OPT-интерфейсы имеют назначенные IP?
    Брандмауэр на целевой машине отключен?
    К папкам обращаться попробуйте по IP
    \10.10.10.1

    В  Diagnostics-Routes
    есть записи вида
    10.10.х.0/24 link#х U



  • К папкам обращаюсь по IP.

    Брандмауэр выключил думаю что полностью. В 2х местах. И в защитнике windows 10 брандмауэр  и касперский выключил самозащиту и выгрузил полностью.

    есть:
    10.10.10.1 link#8 UHS 42302 16384 lo0

    интерфейсы? ну при формировании vlan я явно задавал, включать DHCP адреса и диапазоны. Адреса во вланах выдаются как задумывалось.  текущие компьютеры зарезервировал по маку к IP. из пока 2.
    но из первой сети шлюз 10.10.10.1 пингуется и открывается веб-морда, а из второго 10.10.20.1 не пингуется и соответственно 10.10.10.1 тоже не пингуется..

    на компе 10.10.10.11 собрал сейчас виртуальную машину. на ней поднял самба-шару, получил адрес 10.10.10.53 и с 10.10.10.11 я ее вижу эту шару и пингую и папку вижу и в сети она есть . а вот из 10.10.20.5 ее не вижу, не пингую.

    не работает что-то.
    и в poute PRINT на 10.10.20.5 нет маршрута в 10.10.10.0 а я так понимаю он там должен же появиться?

    Так, все. "доотключал" брандмауэр в 10.10.20.5 и пинги с 10.10.10.11 пошли. Ох уш мне эта windows 10 ))) Благодарю "pigbrother" за помощь. Буду дальше разбираться.



  • и в poute PRINT на 10.10.20.5 нет маршрута в 10.10.10.0 а я так понимаю он там должен же появиться?

    Нет. Шлюзом по умолчанию для каждой подсети каждой VLAN должен, по идее, являться IP соответстующего этой сети OPTx, который обычно задается статически.
    И именно через этот шлюз по умолчанию конкретная подсеть обращается к другой подсети.

    Я не использую VLAN, но описанный способ доступа через правила задействован  для взаимодействия LAN<->DMZ.

    В  Diagnostics-Routes должны быть записи
    10.10.х.0**/24**  link#х  U
    для каждой подсети.