Pfsense как маршрутизатор между подсетями

ArtMagl

Здравствуйте. Подскажите, может ли pfsense выступать как маршрутизатор между подсетями vlan? Сеть построена на коммутаторах d-link 2го уровня, есть 4 vlana(у каждого свой прокси zentyal и свой интернет). Т.е. pfsense использовать только для маршрутизации между vlan-ми.

werter

Добрый.
Да.

ArtMagl

Сейчас добавил vlan интерфейсы(они выделены красным), сам нахожусь в сети ORIH, задал правило для этого интерфейса открыть всё. Но в итоге не вижу машины и пинги не идут. Что я делаю неправильно?

1.png_thumb

2.png_thumb

werter

Схему сети с адресацией.
Скрин настроек VLAN, cкрин правил fw на всех интерфейсах.

ArtMagl

Схему пока только на словах могу объяснить:
3 вилана:
1 - YarDC(172.30.30.0/24)
2 - ORIH (10.1.1.0/24)
3 - CHOU(172.20.1.0/24)

Все они на одних и тех же коммутаторах работают автономно. У каждого свой dhcp, шлюз. Сейчас сетевую карту локальной сети pfsense подключил к тегированному порту на коммутаторе и он раздал адреса(172.30.30.153/24, 10.1.1.18/24, 172.20.1.126/24). Сам нахожусь в сети ORIH(мой адрес: 10.1.1.93). Правила только те что на картинках.

4.png_thumb

5.png_thumb

6.png_thumb

7.png_thumb

8.png_thumb

9.png_thumb

10.png_thumb

11.png_thumb

12.png_thumb

13.png_thumb

14.png_thumb

15.png_thumb

ArtMagl

Интерфейсы общее

16.png_thumb

ArtMagl

шлюзы

17.png_thumb

werter

1. Умеет ли ваш rl0 (реалтек 8139?) VLAN вообще ? Проверьте это.

2. На WAN, LAN правила fw неверные.

WAN не трогайте вообще - верните как было.

На ЛАН пока что одно общее правило - LAN net * * *
Такое же правило и на всех VLAN-интерфейсах (VLAN net * * *)

ArtMagl

1. Предполагаю что умеет, т.к. он смог получить от dhcp серверов ip по vlan-ам. Модель точно только завтра смогу посмотреть.
2. Т.к. на этой машине только 2 сетевых интерфейса то по WAN я получаю доступ к веб-конфигуратору. Поэтому там такое правило. А по Lan подключаются vlan-ы. LAN используется только для vlan-ов.

Добавил правила, пакеты идут, но доступа так и нет ни к чему.

1.png_thumb

2.png_thumb

3.png_thumb

ArtMagl

@oleg1969:

Есть программа

Realtek_LAN_Utility_XPVistaWin7_8_VER2023

Которая покакажет что могут карты Realtek

https://rebyte.me/ru/asus/77065/file-518514/

Спасибо, проверю завтра на работе.

ArtMagl

@werter:

1. Умеет ли ваш rl0 (реалтек 8139?) VLAN вообще ? Проверьте это.

Доброе утро. Вы были правы, карта была на Lan-е 8139D, утилита показала что она не умеет рабоать с vlan-ми. Поставил 8139B(в ней утилита показывает vlan-ы). В pfsens-е назначились новые адреса, но доступа пока так и нет.

pigbrother

IMHO, для хождения трафика между интерфейсами (а VLAN, с точки зрения PF это интерфейс) не нужны ни шлюзы в эти VLAN, ни маршруты через эти шлюзы. Достаточно разрешающих правил правил на VLAN.

werter

Добрый.
Порт на свитче, в к-ый воткнут ЛАН от пф должен быть untagged своим ВЛАНом + tagged всеми остальными вашими ВЛАНами. Если свитч это умеет, конечно. Проверьте этот момент.

Зы. Если есть возможность, я бы сделал бэкап конфига свитча и обновил его прошивку до самой последней. Для чистоты эксперимента.

Зы2. @oleg1969:

Есть программа

Realtek_LAN_Utility_XPVistaWin7_8_VER2023

Которая покакажет что могут карты Realtek

https://rebyte.me/ru/asus/77065/file-518514/

Достаточно нативной ifconfig https://www.cyberciti.biz/faq/find-freebsd-nic-speed-ifconfig-network-tool/
Она покажет, поддерживает ли сетевая карта ВЛАН. И не только это.

ArtMagl

@pigbrother:

IMHO, для хождения трафика между интерфейсами (а VLAN, с точки зрения PF это интерфейс) не нужны ни шлюзы в эти VLAN, ни маршруты через эти шлюзы. Достаточно разрешающих правил правил на VLAN.

Теперь, когда проверяю доступность машины из другой подсети с самого pfsens(Diagnostics\Ping) - пакеты идут. но если пробую со своей машины достучаться до кого нибудь из другой подсети - то ничего не находит. Может проблема, в данном случае, в том что pfsens не является шлюзом для моей машины?

pigbrother

Может проблема, в данном случае, в том что pfsens не является шлюзом для моей машины?

Общее правило - пакеты уходят либо по конкретному (заданному) маршруту, либо в шлюз по умолчанию.
Сделайте трассировку со своей машины до хоста в другой сети - пакеты наверняка провалятся в в шлюз по умолчанию.

Чтобы не менять шлюз на своей машине для теста добавьте маршрут через route add и посмотрите на результат.

werter

Может проблема, в данном случае, в том что pfsens не является шлюзом для моей машины?

Кх-кх-кх поперхнулся печенькой

Это не "проблема" - это то, с чего начинать надо было.
У остальных машин во ВЛАНах проверьте, чтобы соответст. адрес пф был у них шлюзом в сетевых настройках.

ArtMagl

@pigbrother:

Может проблема, в данном случае, в том что pfsens не является шлюзом для моей машины?

Общее правило - пакеты уходят либо по конкретному (заданному) маршруту, либо в шлюз по умолчанию.
Сделайте трассировку со своей машины до хоста в другой сети - пакеты наверняка провалятся в в шлюз по умолчанию.

Чтобы не менять шлюз на своей машине для теста добавьте маршрут через route add и посмотрите на результат.

Действительно дело было в шлюзе. Сейчас пинги идут и есть доступ к машинам(там где добавлен маршрут к шлюзу). Всем спасибо что помогли разобраться!