4. Pfsense как маршрутизатор между подсетями

Pfsense как маршрутизатор между подсетями

  • A

    Здравствуйте. Подскажите, может ли pfsense выступать как маршрутизатор между подсетями vlan? Сеть построена на коммутаторах d-link 2го уровня, есть 4 vlana(у каждого свой прокси zentyal и свой интернет). Т.е. pfsense использовать только для маршрутизации между vlan-ми.

    0
  • W

    Добрый.
    Да.

    0
  • A

    Сейчас добавил vlan интерфейсы(они выделены красным), сам нахожусь в сети ORIH, задал правило для этого интерфейса открыть всё. Но в итоге не вижу машины и пинги не идут. Что я делаю неправильно?




    0
  • W

    Схему сети с адресацией.
    Скрин настроек VLAN, cкрин правил fw на всех интерфейсах.

    0
  • A

    Схему пока только на словах могу объяснить:
    3 вилана:
    1 - YarDC(172.30.30.0/24)
    2 - ORIH (10.1.1.0/24)
    3 - CHOU(172.20.1.0/24)

    Все они на одних и тех же коммутаторах работают автономно. У каждого свой dhcp, шлюз. Сейчас сетевую карту локальной сети pfsense подключил к тегированному порту на коммутаторе и он раздал адреса(172.30.30.153/24, 10.1.1.18/24, 172.20.1.126/24). Сам нахожусь в сети ORIH(мой адрес: 10.1.1.93). Правила только те что на картинках.
























    0
  • A

    Интерфейсы общее


    0
  • A

    шлюзы


    0
  • W

    1. Умеет ли ваш rl0 (реалтек 8139?) VLAN вообще ? Проверьте это.

    2. На WAN, LAN правила fw неверные.

    WAN не трогайте вообще - верните как было.

    На ЛАН пока что одно общее правило - LAN net * *  *
    Такое же правило и на всех VLAN-интерфейсах (VLAN net * * *)

    0
  • A

    1. Предполагаю что умеет, т.к. он смог получить от dhcp серверов ip по vlan-ам. Модель точно только завтра смогу посмотреть.
    2. Т.к. на этой машине только 2 сетевых интерфейса то по WAN я получаю доступ к веб-конфигуратору. Поэтому там такое правило. А по Lan подключаются vlan-ы. LAN используется только для vlan-ов.

    Добавил правила, пакеты идут, но доступа так и нет ни к чему.






    0
  • O

    Есть программа

    Realtek_LAN_Utility_XPVistaWin7_8_VER2023

    Которая покакажет что могут карты Realtek

    https://rebyte.me/ru/asus/77065/file-518514/

    0
  • A

    @oleg1969:

    Есть программа

    Realtek_LAN_Utility_XPVistaWin7_8_VER2023

    Которая покакажет что могут карты Realtek

    https://rebyte.me/ru/asus/77065/file-518514/

    Спасибо, проверю завтра на работе.

    0
  • A

    @werter:

    1. Умеет ли ваш rl0 (реалтек 8139?) VLAN вообще ? Проверьте это.

    Доброе утро. Вы были правы, карта была на Lan-е 8139D, утилита показала что она не умеет рабоать с vlan-ми. Поставил 8139B(в ней утилита показывает vlan-ы). В pfsens-е назначились новые адреса, но доступа пока так и нет.

    0
  • P

    IMHO, для хождения трафика между интерфейсами (а VLAN, с точки зрения PF это интерфейс) не нужны ни шлюзы в эти VLAN, ни маршруты через эти шлюзы. Достаточно разрешающих правил  правил на VLAN.

    0
  • W

    Добрый.
    Порт на свитче, в к-ый воткнут ЛАН от пф должен быть untagged своим ВЛАНом + tagged всеми остальными вашими ВЛАНами. Если свитч это умеет, конечно. Проверьте этот момент.

    Зы. Если есть возможность, я бы сделал бэкап конфига свитча и обновил его прошивку до самой последней. Для чистоты эксперимента.

    Зы2. @oleg1969:

    Есть программа

    Realtek_LAN_Utility_XPVistaWin7_8_VER2023

    Которая покакажет что могут карты Realtek

    https://rebyte.me/ru/asus/77065/file-518514/

    Достаточно нативной ifconfig https://www.cyberciti.biz/faq/find-freebsd-nic-speed-ifconfig-network-tool/
    Она покажет, поддерживает ли сетевая карта ВЛАН. И не только это.

    0
  • A

    @pigbrother:

    IMHO, для хождения трафика между интерфейсами (а VLAN, с точки зрения PF это интерфейс) не нужны ни шлюзы в эти VLAN, ни маршруты через эти шлюзы. Достаточно разрешающих правил  правил на VLAN.

    Теперь, когда проверяю доступность машины из другой подсети с самого pfsens(Diagnostics\Ping) - пакеты идут. но если пробую со своей машины достучаться до кого нибудь из другой подсети - то ничего не находит. Может проблема, в данном случае, в том что pfsens не является шлюзом для моей машины?

    0
  • P

    Может проблема, в данном случае, в том что pfsens не является шлюзом для моей машины?

    Общее правило - пакеты уходят либо по конкретному (заданному) маршруту, либо в шлюз по умолчанию.
    Сделайте трассировку со своей машины до хоста в другой сети - пакеты наверняка провалятся в  в шлюз по умолчанию.

    Чтобы не менять шлюз на своей машине для теста добавьте маршрут через route add и посмотрите на результат.

    0
  • W

    Может проблема, в данном случае, в том что pfsens не является шлюзом для моей машины?

    Кх-кх-кх поперхнулся печенькой

    Это не "проблема" - это то, с чего начинать надо было.
    У остальных машин во ВЛАНах проверьте, чтобы соответст. адрес пф был у них шлюзом в сетевых настройках.

    0
  • A

    @pigbrother:

    Может проблема, в данном случае, в том что pfsens не является шлюзом для моей машины?

    Общее правило - пакеты уходят либо по конкретному (заданному) маршруту, либо в шлюз по умолчанию.
    Сделайте трассировку со своей машины до хоста в другой сети - пакеты наверняка провалятся в  в шлюз по умолчанию.

    Чтобы не менять шлюз на своей машине для теста добавьте маршрут через route add и посмотрите на результат.

    Действительно дело было в шлюзе. Сейчас пинги идут и есть доступ к машинам(там где добавлен маршрут к шлюзу). Всем спасибо что помогли разобраться!

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy