Вопрос по маршрутизации между VLAN
-
Добрый день. Уже не первый день не могу сварить кашу с маршрутизацией между VLANами. Документацию читал, гуглил, опять не нашел ответа. Долгое время работал с керио контролл. Если я пытаюсь сделать по аналогии как я делал в керио, то ничего не получается. Например: vlan30 нужно выпустить в интернет, создаю правило, разрешающее ходить vlan30 на wan, сохранить, применить. Проверяю, нет интернета на vlan30. Никак не могу понять концепцию формирования правил в pfsense. Братцы помогите освоить, pfsense мне очень нравиться. Надеюсь что посмотрев примеры пойму как правильно это делать.
Есть 2.5.2
wan
lan
vlan10
vlan20
vlan30
Задача:- vlan10 может ходить на vlan20, но не может ходить в интернет
- vlan30 может ходить только в интернет, более никуда.
- lan может ходить куда угодно.
Спасибо
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
разрешающее ходить vlan30 на wan
Правило нужно создавать не на WAN, а, как пример, для интерфейса vlan30, по аналогии с правилом на LAN:
IPv4 * LAN net * * * * none Default allow LAN to any rule
то есть:
IPv4 * VLAN30 net * * * * none
Ну и в Firewall-NAT-Outbound, если включен Automatic outbound NAT или Hybrid Outbound NAT должно автоматически создаться правило для подсети VLAN30 как и для остальных VLAN.
-
@pigbrother said in Вопрос по маршрутизации между VLAN:
@antonr69 said in Вопрос по маршрутизации между VLAN:
разрешающее ходить vlan30 на wan
Правило нужно создавать не на WAN, а, как пример, для интерфейса vlan30, по аналогии с правилом на LAN:
IPv4 * LAN net * * * * none Default allow LAN to any rule
то есть:
IPv4 * VLAN30 net * * * * none
Ну и в Firewall-NAT-Outbound, если включен Automatic outbound NAT или Hybrid Outbound NAT должно автоматически создаться правило для подсети VLAN30 как и для остальных VLAN.
Все правильно, правило создается на интерфейсе VLAN30
При таком правиле IPv4 * VLAN30 net * * * * none
VLAN30 интернет имеет, но он также ходит и на VLAN10, VLAN20 и на LAN, а мне нужно чтоб только на WAN. Если я создаю правило
IPv4 * VLAN30 net * WAN net * * none
то с этого интерфейса вообще попасть не могу ни куда. -
@antonr69 Продолжаю экcперименты.
Если я делаю на интерфейсе VLAN30 следующие правила:
Запретить
IPv4 * VLAN30 net * WLAN10 net * * none
IPv4 * VLAN30 net * WLAN20 net * * none
Разрешить
IPv4 * VLAN30 net * LAN net * * none
То уже ближе к цели, интернет есть, с остальным вланам доступа нет. Но если у pfsense по умолчанию все запрещено, то зачем мне все разрешать и запрещать то что не надо. Если по умолчанию все запрещено, то достаточно разрешить что разрешено, но это не работает. Пока влану не дашь разрешение на все или на LAN, то интернета нет. А получив разрешение на LAN, влан получает доступ ко всему. Мартышкин труд. А если у тебя 100 вланов, и все они должны быть изолированые друг от друга, представляете какую кучу правил нужно нагородить чтобы это заработало. Надеюсь что есть более удобный способ маршрутизации. -
@antonr69 Ну так вы и разрешите из каждого vlan доступ к нужным vlan как поступили с LAN.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 Ну так вы и разрешите из каждого vlan доступ к нужным vlan как поступили с LAN.
Проблема в том, что влан не получает интернет пока ему не разрешишь доступ к LAN или к Это фаервол. А получив доступ к любым из этих двух перечисленных, влан получает доступ ко всем влан. В правилах НАТ все вланы присутствуют. Не понимаю почему нет интернета если я влану разрешаю ходить на WAN.
-
@antonr69 А при чем тут интернет и LAN?
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Этот фаервол.
-
@antonr69 Да я прочитал.
- Во первых должны быть прописаны маршруты верные.
- Для каждого из интерфейса создаем правила файрвола разрешающие с источником имя-инетрефеса_NET (Т.е. в примеру на файрволе LAN не ставим правило с source *, а именно что LAn_net) и соответственно назначением.
- Запрещающее правило в теории можно не ставить. По идее будет работать дефолтное правило block. Мне оно не нравится из-за задержки и руками в конце добавляю правило к примеру source-lan net dest-* action - reject. так приложения понимают сразу что были посланы ))) )
В вашем случае:
Для интерфейса VLAN10
s:vlan10-net d:vlan20-net a:accept
s:vlan10-net d:* a:rejectДля интерфейса VLAN30
s:vlan30-net d:vlan20-net a:reject
s:vlan30-net d:vlan10-net a:reject
s:vlan30-net d:* a:accept (тут можно указать gateway руками через который вы получаете инет)Для интерфейса LAN
s:lan-net d:* a:acceptЕдинственное я вот не вспомню надо ли создавать обратные правила на соответствующих интерфейсах. Т.е. к примеру на vlan10 создать правило:
s:lan-net d:vlan10-net a:accept
Но вроде бы не надо. -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Это фаервол.
Потому что там не верно указан gateway скорее всего.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 А при чем тут интернет и LAN?
Вот и у меня тот же самый вопрос как и у вас. Прочитайте еще раз про мою ситуацию. Влан не получает интернет пока ему не разрешишь доступ к LAN или к Это фаервол.
Потому что там не верно указан gateway скорее всего.
Все там верно указано
-
@antonr69 Значит не верно настроены правила файрвола. У меня 3 подсети и все везде нормально маршрутизируется.
-
@sirota Может быть дело в том, что у меня пока тестирую в интернет смотрит роутер, а pfsense подключен в лан роутера, адрес получает по дхсп. Влан у которого нет интернета, которому разрешено ходить до Wan pfsense, у него пинг проходит до роутера, а далее нет. Но при этом лан pfsense ходит куда угодно.
-
@antonr69 Ради интереса лану дал права только на ван, и у лана тоже пропал интернет. Или у него в этом режиме не работает НАТ.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
@antonr69 Ради интереса лану дал права только на ван, и у лана тоже пропал интернет. Или у него в этом режиме не работает НАТ.
работает. но в таком раскладе файрволл рубит соединения где dest отличается от wan. А у тебя там dest будет к примеру 8.8.8.8. Т.е. маршрут к примеру 192.168.0.100 (клиент) - 192.168.0.1 (pf lan) - 10.10.10.10 (шлюз прова) - 8.8.8.8 (конечная точка). В таком раскладе у тебя пакет дропнется, ибо dest не равен WAN (хз что ты там указал wan net или wan address)
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota Может быть дело в том, что у меня пока тестирую в интернет смотрит роутер, а pfsense подключен в лан роутера, адрес получает по дхсп. Влан у которого нет интернета, которому разрешено ходить до Wan pfsense, у него пинг проходит до роутера, а далее нет. Но при этом лан pfsense ходит куда угодно.
Грубо говоря без разницы как ты получаешь сам инет. Главное правильно это указать в System - Routing - Gateways - Default gateway IPv4, если есть какие-то сложности там, то в System - Routing - Static Routes и потом уже Firewall - Rules - инетрфейс - Extra Options - Advanced Options - Gateway. Если в последнем не указывать ни чего (default), то маршрутизация будет работать по списку из Diagnostics - Routes
-
@sirota said in Вопрос по маршрутизации между VLAN:
хз что ты там указал wan net или wan address
wan net -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
хз что ты там указал wan net или wan address
wan netСкрины всех правил с группировкой по интерфейсам (чтобы понять можно было что и куда). Ну а так я вам уже объяснил что надо сделать чтобы все было хорошо.
-
@sirota Спасибо огромное. Скрины сегодня уже не успеваю, короткий день. На следующей неделе попробую обмозговать ваши советы, испробовать, если не заработает как надо покажу скрины.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
Влан у которого нет интернета, которому разрешено ходить до Wan pfsense,
-
@pigbrother и?