Pf Sence - VLAN. Один другого не видит.
-
Ребят, вопрос возможно нубский, НО ломаю голову уже второй день.
Опыта с PfSence мало, изучаю по факту.
Проблема следующая:Есть 5 VLANов.
Из VLANa 5 видно VLAN 2, а из вторго пятый не видно.
Подскажите пожалуйста как правильно сделать маршрут.Я сделал следуюещее:
- Interfaces->Bridges соединил 2 VLANa и добавил в Interface Assignments.
Я так понимаю, что всё это не то и ковырять надо Firewall->Rules
Сориентируйте пожалуйста в какую сторону смотреть.
Сенса досталась по наследству, никаких настроек сам не делал по этому не могу понять куда копать.
- Interfaces->Bridges соединил 2 VLANa и добавил в Interface Assignments.
-
@adddon said in Pf Sence - VLAN. Один другого не видит.:
Я так понимаю, что всё это не то и ковырять надо Firewall->Rules
По идее - VLAN это интерфейс. Достаточно разрешающих правил. Маршруты для собственных интерфесов pfSense не нужны.
-
@pigbrother А как это правило должно выглядеть и где его писать, можешь подсказать пожалуйста?
-
Я сделал следуюещее:
Interfaces->Bridges соединил 2 VLANa и добавил в Interface Assignments.
Я так понимаю, что всё это не то и ковырять надо Firewall->Rules
Сориентируйте пожалуйста в какую сторону смотреть.Не надо.
Отписал в ЛС.
-
@adddon said in Pf Sence - VLAN. Один другого не видит.:
А как это правило должно выглядеть и где его писать
Создал для теста 2 интерфейса VLAN2 и VLAN5
Правило полного доступа из VLAN2 во VLAN5 будет выглядеть так:
При желании правило можно ограничить хостами\портами\протоколами. -
@pigbrother Я правильно понимаю, что если "Destination" поставить "any", то доступ у этого VLANa будет ко всей сети полностью?
Резюмирую.
Что бы открыть доступ одному VLANy к другому - необходимо:
1.Firewall->Rules->Выбрать VLAN из которого будет открыт доступ.
2. ADD->Interface (выбраем тот интерфейс которому будет присваиваться правило)
3. Source -> Откуда будет дан доступ.
4. Destonaton -> Куда будет разрешен доступ.Поправьте если не прав.
-
@adddon said in Pf Sence - VLAN. Один другого не видит.:
Поправьте если не прав.
Не забыть выбрать протокол. По умолчанию выбирается TCP. Т.е. пинга, например не будет.
@adddon said in Pf Sence - VLAN. Один другого не видит.:
поставить "any", то доступ у этого VLANa будет ко всей сети полностью?
Вероятно. С другой стороны, зачем нужны VLANы с доступом any<->any?
pfSense становится коммутатором, на который ложится задача обрабатывать весь трафик. Плюс не все сетевые карты имеют аппаратную поддержку VLAN, т.е. нагрузка ложится на процессор. -
@pigbrother я бы такой vlan назвал менеджментом, с которого можно администрировать все другие, нет?
А какой мне протокол выбрать, что бы до всех устройств смог достучаться из второй в пятую, udp?
-
@adddon Начните для полного доступа с any.
-
@adddon
Из небольшого опыта.
Есть физический (реальный) интерфейс LAN. На нем два влана VLAN2 и VLAN5.
Как только вы создадите правило на VLAN2 типа
IPv4 * VLAN2 net * * * * none VLAN2 any -> any
и аналогичное
IPv4 * VLAN5 net * * * * none VLAN5 any -> any
Данные вланы начнут видеть все во всех вланах на физ. LAN и сеть LAN интерейса если у него
IPv4 * LAN net * * * * none LAN any -> any