маршрутизация между vlan pfsence 2.3.4 (amd64)
-
Здравствуйте,
искал-искал и отчаялся найти ответ. Я новичек в pfsense. Прошу помощи.
есть 2.3.4-RELEASE (amd64) wan порт с белым IP и несколько VLAN ведущих из сетевой карты в cisco свич. (OPT1-10.10.10.0/24 OPT2-10.10.20.0/24 OPT3-10.10.30.0/24 OPT4-10.10.40.0/24) Cisco Vlanы видит и раздает адреса. Все видят интернет. а веб-интерфейс роутера видят только из OPT1 .Соответственно нужно что бы из сети OPT3 и OPT4 ходили компьютеры в OPT1, а друг-друга они не видели. А из OPT2 могли ходить везде.
Я насколько понял, это надо делать в статических маршрутах? Прошу помощи. или укажите на тему такую же. сам не смог найти. есть что-то отдаленно напоминающее, но как то все не то, что смогло бы подойти. тут или VPN описывают или соединение 2х Pfsence.
-
По идее достаточно правил на нужных интерфейсах
например правило
IPv4 * OPT3 net * OPT1 net * * none
даст полный доступ OPT3->OPT1 (но не даст OPT1->OPT3)И не забывайте, что встроенный в Windows брандмауэр блокирует по умолчанию доступ из других подсетей.
-
тестовое правило типа такого
IPv4 * * * * * * none
созданное на обоих интерфейсах Firewall - Rules
не проходят пинги и не видно расшаренную папку на компьютере в OPT1
этот метод точно должен работать?
(спасибо за ответ) -
IPv4 * * * * * * none
В таком виде не пробовал.
OPT-интерфейсы имеют назначенные IP?
Брандмауэр на целевой машине отключен?
К папкам обращаться попробуйте по IP
\10.10.10.1В Diagnostics-Routes
есть записи вида
10.10.х.0/24 link#х U -
К папкам обращаюсь по IP.
Брандмауэр выключил думаю что полностью. В 2х местах. И в защитнике windows 10 брандмауэр и касперский выключил самозащиту и выгрузил полностью.
есть:
10.10.10.1 link#8 UHS 42302 16384 lo0интерфейсы? ну при формировании vlan я явно задавал, включать DHCP адреса и диапазоны. Адреса во вланах выдаются как задумывалось. текущие компьютеры зарезервировал по маку к IP. из пока 2.
но из первой сети шлюз 10.10.10.1 пингуется и открывается веб-морда, а из второго 10.10.20.1 не пингуется и соответственно 10.10.10.1 тоже не пингуется..на компе 10.10.10.11 собрал сейчас виртуальную машину. на ней поднял самба-шару, получил адрес 10.10.10.53 и с 10.10.10.11 я ее вижу эту шару и пингую и папку вижу и в сети она есть . а вот из 10.10.20.5 ее не вижу, не пингую.
не работает что-то.
и в poute PRINT на 10.10.20.5 нет маршрута в 10.10.10.0 а я так понимаю он там должен же появиться?Так, все. "доотключал" брандмауэр в 10.10.20.5 и пинги с 10.10.10.11 пошли. Ох уш мне эта windows 10 ))) Благодарю "pigbrother" за помощь. Буду дальше разбираться.
-
и в poute PRINT на 10.10.20.5 нет маршрута в 10.10.10.0 а я так понимаю он там должен же появиться?
Нет. Шлюзом по умолчанию для каждой подсети каждой VLAN должен, по идее, являться IP соответстующего этой сети OPTx, который обычно задается статически.
И именно через этот шлюз по умолчанию конкретная подсеть обращается к другой подсети.Я не использую VLAN, но описанный способ доступа через правила задействован для взаимодействия LAN<->DMZ.
В Diagnostics-Routes должны быть записи
10.10.х.0**/24** link#х U
для каждой подсети.