Маршрутизация между VLan'ами и Lan
-
Добрый день.
Новичёк в pfSense.
Настроил машину, есть 3 сетевые карты. Две из них смотря в интернет (организован MultiWAN), третья смотрит в локалку 192.168.0.0/24, адрес у сетевухи 192.168.0.13
Всё нормально работает, выход в интернет есть, всё доступно.
В сети есть железки (принтеры, роутеры), у них адреса в подсети 192.168.3.0/24 и шлюз указан 192.168.3.1.
Создал VLan.
На вкладке назначений подцепил этот VLan. Дал ему адрес 192.168.3.1.
Создал правило для этого VLan'а
IPv4 * VLAN3 net * * * * ничего Default allow LAN to any rule
Суть проблемы в том, что я не могу достучаться из основной сети 192.168.0.0/24 до устройств в сети 192.168.3.0/24.
Ну и соответственно устройства сети 192.168.3.0/24 никуда не могут попасть.
Что я не так делаю? где ещё нужно что донастроить?
Допустим принтер 192.168.3.172.
Если делаю tracert 192.168.3.172 с машины 192.168.0.19, то пакеты доходят до моего 192.168.0.13 и всё, дальше не идут. Что я делаю не так? -
@sniperni
Здр
а коммутатор знает про то , что у него есть trunk (hybrid) порт ?
Я бы лично не рекомендовал использовать VLAN1 вместе с остальными VLAN- ами на одном порту коммутатора . -
@Konstanti
да, коммутатор настроен уже давно. Раньше на месте моего шлюза pfSense крутился сервер на Debian, там были также настроены VLan'ы и всё работало, ну т.е. сетки видели друг друга. -
@sniperni
И тоже использовался VLAN 1 для 192.168.0.0/24 ?
Обратите внимание на правило для vlan3 , которое Вы тут показали. Нет ни одного пакета , дошедшего до PFSense от хостов сети 192.168.3.0/24. -
@Konstanti
На старом сервере в файле /etc/network/interfaces вот так:
auto lo
iface lo inet loopbackallow-hotplug eth2
iface eth2 inet static
address 88.87.80.108
netmask 255.255.255.0
gateway 88.87.64.6
dns-nameservers 88.87.64.6 88.87.65.3auto br0
iface br0 inet static
bridge_ports eth0
address 192.168.0.13
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255auto br0:3
iface br0:3 inet static
address 192.168.3.1
netmask 255.255.255.0
network 192.168.3.0
broadcast 192.168.3.255auto br0:4
iface br0:4 inet static
address 192.168.4.1
netmask 255.255.255.0
network 192.168.4.0
broadcast 192.168.4.255auto br0:6
iface br0:6 inet static
address 192.168.6.1
netmask 255.255.255.0
network 192.168.6.0
broadcast 192.168.6.255auto br0:7
iface br0:7 inet static
address 192.168.7.1
netmask 255.255.255.0
network 192.168.7.0
broadcast 192.168.7.255allow-hotplug eth0
iface eth0 inet manualА по поводу "Нет ни одного пакета" - я делал скрин, когда сервер не подключен в сеть, так как сейчас работают люде через старый, и я не могу настраивать новый(
-
@sniperni
По поводу "использовать VLAN1 и VLANxxx на Freebsd" - сами разработчики PFSense этого не рекомендуют.
А хосты Vlan3 видят VLan4 и наоборот ? -
3 и 4 между собой не пробовал.
По поводу "использовать VLAN1 и VLANxxx на Freebsd - сами разработчики PFSense этого не рекомендуют." - хорошо, понял.
Подскажите тогда, как реализовать вот такую схему на pfSense? Чтобы устройства из разных подсеток видели друг-друга? Взять другую маску сети - вариант, но не самый удобный для меня( -
@sniperni
Сложно сказать , по какой причине у Вас не работает маршрутизация
Попробуйте посмотреть ,что показывает tcpdump на разных интерфейсах в момент соединения . -
@sniperni said in Маршрутизация между VLan'ами и Lan:
@Konstanti
На старом сервере в файле /etc/network/interfaces вот так:
auto lo
iface lo inet loopbackallow-hotplug eth2
iface eth2 inet static
address 88.87.80.108
netmask 255.255.255.0
gateway 88.87.64.6
dns-nameservers 88.87.64.6 88.87.65.3auto br0
iface br0 inet static
bridge_ports eth0
address 192.168.0.13
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255auto br0:3
iface br0:3 inet static
address 192.168.3.1
netmask 255.255.255.0
network 192.168.3.0
broadcast 192.168.3.255на старом сервере у вас нет никаких VLAN, br0:3 - это IP Alias (https://wiki.debian.org/ru/NetworkConfiguration#Multiple_IP_addresses_on_One_Interface). VLAN - это когда через точечеку: eth0.222
-
@rubic, а такое можно настроить на pfSense? Где про это почитать можно?
-
@sniperni Firewall > Virtual IPs, тип IP Alias на em1 - туда вписываете ваши 192.168.3.1
-
@rubic said in Маршрутизация между VLan'ами и Lan:
на старом сервере у вас нет никаких VLAN, br0:3 - это IP Alias (https://wiki.debian.org/ru/NetworkConfiguration#Multiple_IP_addresses_on_One_Interface). VLAN - это когда через точечеку: eth0.222
+
Это просто доп. IP на сетевой. И отношения к VLAN не имеет. Для построения ВЛАН L2-свитч нужен.
-
@rubic , сделал, как вы написали. Подключаю к pfSense свитч со стороны локальной сети. В свит вставляю 2 ноута и больше ничего. У одного адрес 192.168.0.15, у второго 192.168.3.15.
Ноуты спокойно выходят в инет, пингуют свои шлюзы (192.168.0.12 и 192.168.3.1 соответственно). Свободно пингуют шлюзы другой подсветки. А вот друг друга не могут пропинговать. Если делаю трасерт, то все заканчивается на 192.168.0.12 для обоих ноутов. Где-то теперь нужно как-то разрешить трафик между lan сетью и ips сетью? Делаю обычное правило на lan интерфейсе, которое разрешает весь трафик из одной сети в другу и в обратную сторону, но что-то нихрена не выходит( -
@sniperni попробуйте в System > Advanced: Firewall & NAT поставить галку Static route filtering
-
@rubic
Поставил галку. Ping не идёт. Пингую отдновременно друг друга. Но в статистике по интерфейсу появилось вот что:
Причём почему-то он фиксирует пакеты только от 3 сетки к 0, а в обратную сторону нет.И ещё не понятная для меня штука. У меня настроены вот такие Virtual IPs:
Но если я например пингую адрес 192.168.2.1, то он пингуется. Как это понимать?)))) -
@sniperni
Покажите вывод команды
ifconfig -
-
@sniperni said in Маршрутизация между VLan'ами и Lan:
Но если я например пингую адрес 192.168.2.1, то он пингуется. Как это понимать?))))
Покажите полный вывод ping 192.168.2.1
-
@werter
Это я делаю ping на самом серваке
А это на ноуте с адресом из 3 подсетки
-
Пинги в непонятные сети шли, потому что не стояли галочки:
Block private networks and loopback addresses и Block bogon networks.
Поставил их.
Но теперь в интернет может выходить только 192.168.0.0/24.
А сеть 192.168.3.0/24 не только не имеет доступа в интернет, но даже и 192.168.3.1 не пингует.
