Pfaense: проблема с статическими маршрутами
-
-
так как Вы эти правила отключили сейчас , сложно сказать , работают они или нет ( все счетчики по нулям ). Для отладки схемы Вы можете включить временно в настройках правил функцию логирования . А потом уже в журнале посмотреть , что и как срабатывает
-
@konstanti
Включил логирование для проверки. -
@mitrokha
а на wan что происходит в этот момент ?
вы не там смотрите
вы смотрите таблицу состояний
а вам нужен журнал файрвола
в журнале файрвола можно увидеть номер правила , которое сработало -
@konstanti
Инет все равно не работает -
а что значит "не работает" ?
по журналам видно , что хост
10.14.4.215 отправляет запрос на соединение
wan интерфейс (192.168.0.20) отправляет пакет дальше
те правила работаютчто у Вас происходит в системе потом , по этой картинке я сказать не могу
можно еще запустить tcpdump в консоли (или packetcapture ) для более полного анализа -
@konstanti
Насчет логов.
По умолч в логах вверху показываются не самые новые. Это вводит в заблуждение.
Надо вкл галкой в настройках. -
@werter
тут важно было увидеть , что правило на wan интерфейсе отрабатывает корректно , а вот что происходит потом , с этим уже надо разбираться -
@konstanti
Правило может быть и отрабатывает корректно, но к сожалению интернета при включении этих правил нет. Наверное, я делаю что-то не так -
Так
Убрал floating правило блокирующее WAN
В лан правиле с алиасом исправил назначение
Интернет заработал. Но, к сожалению и на тех компах, которые не включены в алиас
Включил статические записи ARP, отключил правила, интернет работает только на компах, которые включены в DHCP Static Mappings for this Interface
Статические маршруты тоже работают, так я добавил маршрутизатор в ARP -
но мне все-таки интересно, почему алиас не работает
-
@mitrokha
НЕ НАДО без особых причин трогать флоатинг рулез.
Перекл. интерфейс на англ. - рус. там для стыда только. Как переводчика, так и того, кто его там пользует. -
@mitrokha
Что это (выделил)?
На кой ляд в dst вооще что-то рисовать, если не знаешь ЗАЧЕМ?
Или ты думаешь, что WAN net - это и есть ВЕСЬ инет?
Убери. -
@werter давно убрал. Можно и не так агрессивно вообще-то. Я никогда не работал с pfsense, потихоньку учусь методом проб и ошибок
-
@mitrokha
Убрал, но нигде не упомянул. Норм.Я никогда не работал с pfsense,
1-е правило - не надо трогать дефолтное, если не понимаешь зачем оно.
У меня так работает - и у тебя заработает тоже. -
@werter вообще-то упомянул, но не суть. В принципе тему можно закрывать, я нашел выход насчет арп записей и статических маршрутов. Просто добавить основной маршрутизатор в арп