Вопрос по маршрутизации между VLAN
-
@pigbrother said in Вопрос по маршрутизации между VLAN:
@werter said in Вопрос по маршрутизации между VLAN:
Достаточно ЯВНО указать шлюз в правиле fw на ВЛАН-интерфейсе(-ах) (WAN_GW) и в ЛАН уже никто не попадет
Здравствуйте. Я испробовал ваш совет добавить гетвей в правило, не помогает. И в правило пробовал, и в интерфейс.
У меня получилось по другому. Он подходит когда много vlan, каждому нужен интернет и при этом их нужно друг от друга изолировать.- Создаем алиас в котором перечисляем сети всех вланов, если нужно и Lan-ов. Он будет один для правил всех вланов (интерфейсов).
- Для каждого влана (интерфейса) создаем 3 правила.
- разрешаем ходить на собственный влан. Дист "имя влана" (* * vlan01 * *)
- запретить ходить на другие вланы. Дист имя ранее созданного алиаса. (* * vlans * *)
- Разрешить все всем. (* * * * *)
И оно работает. Мы получаем изолированный влан с доступом в интернет.
На днях помучал ИКС https://xserver.a-real.ru/sysadmins/ Он тоже на freebcd. Но ему такой трюк как я описал выше не нужен. Там в правилах, в графе дист есть "интернет". Так вот, там достаточно одного правила, разрешить ходить до "интернет", и этот интерфейс ходит исключительно в интернет. Почему в pfsense этого нет до сих пор не пойму.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
Здравствуйте. Я испробовал ваш совет добавить гетвей в правило, не помогает. И в правило пробовал, и в интерфейс.
Почему-то уверен, что порядок правил неверный у вас (
разрешаем ходить на собственный влан. Дист "имя влана" (* * vlan01 * *)
Лишнее. Пф этим не рулит. Пф рулит от себя вовне и наборот.
На днях помучал ИКС https://xserver.a-real.ru/sysadmins/ Он тоже на freebcd
Открыл демку. Потыкал. Увидел, что это "супер-ультра-мега-комбайн" с почтой, fw и т.д. Закрыл демку. Эти поделием пользоваться, если только ЗАСТАВЯТ.
Надо почту? Отдельно (mailcow, iredmail или руками)
Надо ftp? Отдельно (truenas, xigmanas, omv)
Надо firewall? Вы поняли )Зы. Ребята имеют сертиф от ФСТЭК. 99.9% что контора создана под дядю из структур, к-му нужно госбабло ))
-
@werter Без первого правила пинг до ip самого влана не идет, и нет интернета.
-
@antonr69
Пинг - это не про интернет.Покажите скрины правил на ВСЕХ интерфейсах.
-
@antonr69 тогда ставим в дестенейщене this firewall
-
Покажите скрины правил на ВСЕХ интерфейсах.
Зы. И никаких WAN net в dst. Этим вы точно доступ в инет не дадите )
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 тогда ставим в дестенейщене this firewall
Да, в третьем правиле можно и так, в дестенейщене this firewall. Скрин прилагаю.
-
@antonr69 первое правило это сам на себя? Зачем всем давать доступ к примеру ssh pf'а? Если нужен только пинг, то так и делаем, icmp и дальше параметры допущенные.
И нет. В третьем нет. -
@antonr69
Ок
1-е - оставляем.
2-е - в src - VLAN net (вашу влан-сеть) и в Шлюз - указать имя шлюза в Инет.
3-е - откл
Сбросить states для чистоты.
Всё.Зы. Еще. Никогда не используйте VLAN 1 - это СЛУЖЕБНЫЙ тег.
Зы2. И русский в вебках ИНОСТРАННОГО ПО тоже не пользуйте. Это дурной тон. -
@werter Спасибо за комментарий. Завтра ваш вариант попробую. А влан01 это для примера. В боевом режиме там совсем другой номер влана.
-
@antonr69
Пробуйте ) -
А ИКС в бесплатном варианте только 9 учеток. Типа вход в морду, впн и узерпрокси если надо. В остальном нет ограничений. Многим не большим организациям это хватит. Правда у меня он коряво работает с моими сетевушками. Одна отваливается, вторая в мультиван режиме при переключении не подхватывает дхсп. Выключишь-включишь адрес получает.
-
@antonr69
там 31 день же триал? -
@antonr69
Вот хороший мануал по VLAN на пф https://nguvu.org/pfsense/pfsense-baseline-setup/ -
@werter said in Вопрос по маршрутизации между VLAN:
@antonr69
Ок
1-е - оставляем.
2-е - в src - VLAN net (вашу влан-сеть) и в Шлюз - указать имя шлюза в Инет.
3-е - откл
Сбросить states для чистоты.
Всё.Попробовал ваш вариант. Не работает. Нет интернета.
-
@antonr69 а должно. Скрин можно?
-
@werter said in Вопрос по маршрутизации между VLAN:
@antonr69
там 31 день же триал?ИКС без регистрации работает работает в триале без ограничений. Если зарегистрировать версию lite, то будет бесплатно, но ограничение на 9 учетных записей.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 а должно. Скрин можно?
-
@antonr69 естественно не будет работать. Поменять дроп на акцепт. И дестенейшен сменить с вланс на *
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 естественно не будет работать. Поменять дроп на акцепт. И дестенейшен сменить с вланс на *
Так я уже пробовал, да, интернет есть, но изоляции от других интерфейсов нет.