Вопрос по маршрутизации между VLAN
-
@werter said in Вопрос по маршрутизации между VLAN:
@antonr69
там 31 день же триал?ИКС без регистрации работает работает в триале без ограничений. Если зарегистрировать версию lite, то будет бесплатно, но ограничение на 9 учетных записей.
-
-
@antonr69 естественно не будет работать. Поменять дроп на акцепт. И дестенейшен сменить с вланс на *
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 естественно не будет работать. Поменять дроп на акцепт. И дестенейшен сменить с вланс на *
Так я уже пробовал, да, интернет есть, но изоляции от других интерфейсов нет.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 тогда ставим в дестенейщене this firewall
Странно, должно работ ать, но не работает. Нет интернета.
-
@antonr69 как нет? У вас жёстко указан гетвей. Он не может физически знать о ваших вланах
-
@antonr69 это было про доступ к самому pfsense. Вы все путаете. Это надо было в первом правиле делать.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 как нет? У вас жёстко указан гетвей. Он не может физически знать о ваших вланах
Ели так, то интернет есть, изоляции нет.
-
@antonr69
Так тоже самое
-
@antonr69 Дамс... Source ваш влан. И изоляции точно нет? Вы получаете доступ к своим сервисам за другими вланами или просто пингуете? В интернете чего только нет.
-
@antonr69 это единственное правило на интерфейсе? Сделайте reset states и потом трассировку до узла на другом влане.
-
@antonr69 и в вашем мультиване что за роуты? Там случаем не затисались роуты до ваших вланов?
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 Дамс... Source ваш влан. И изоляции точно нет? Вы получаете доступ к своим сервисам за другими вланами или просто пингуете? В интернете чего только нет.
Просто пингую, на них еще ничего нет. Тестовый полигон.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 и в вашем мультиване что за роуты? Там случаем не затисались роуты до ваших вланов?
Там ничего нет, пусто.
-
@werter said in Вопрос по маршрутизации между VLAN:
@antonr69
Вот хороший мануал по VLAN на пф https://nguvu.org/pfsense/pfsense-baseline-setup/Спасибо. Годная вещь.
-
@antonr69 Надо не пинговать а делать tracert. Очень легко может оказаться что у вашего провайдера где-то есть такой же IP внутри сети. Или не вашего, а вышестоящего. И пинговать вы будете не свой девайс.
Просто если не указывать gateway, то будет работать в соответствии с таблицей маршрутизации PF и тогда да, вполне что там есть роут до всех вланов. Но если указать шлюзом то через что вы ходите в инет, то там маршрутов до ваших вланов ни как быть не может. -
@sirota
Спасибо, учту. -
@antonr69
Вообщето, да, можно обойтись и двумя правилами, если во втором правиле изменить на разрешить, а в дист сделать инвертирование.
-
@werter said in Вопрос по маршрутизации между VLAN:
@antonr69
Ок
1-е - оставляем.
2-е - в src - VLAN net (вашу влан-сеть) и в Шлюз - указать имя шлюза в Инет.
3-е - откл
Сбросить states для чистоты.
Всё.Зы. Еще. Никогда не используйте VLAN 1 - это СЛУЖЕБНЫЙ тег.
Зы2. И русский в вебках ИНОСТРАННОГО ПО тоже не пользуйте. Это дурной тон.Короче странно, но не работает действительно:
К сожалению девайса за PF в этой подсети у меня подконтрольного нет чтобы с него проверить. Но в переделах интерфесов PF ни чего не работает.
А вот это вообще финиш:
и результат тот же, маршрут разрешается. 192.168.0.228 находится в подсети Lan net -
- Ping разрешен ТОЛЬКО на GUEST address.
- Трафик разрешен ТОЛЬКО через шлюз FailoverGroup, к-ый существует для выхода в инет.
Вопрос: C какого перепугу будет доступен хост 192.168.0.228 (сеть LAN) из сети GUEST, если для него НЕТ разрешающего правила?
ВЫШЕ правила с FailoverGroup добавьте правило для доступа в сеть LAN. В gw указать GUEST_GW (или ничего не указывать - проверить). При этом ВСЕ правила deny to other net должны быть откл.
