Вопрос про создание и настройку vlan



  • Добрый день, есть пару вопросов про то как работать с vlan  в pfsense.
    в интерфейсах создал два vlan 100(орt1) u 200(opt2) по веб интерфейсу, если подключится клавиатурой и монитором к машине где установлен он, opt1 u opt2 идут почемуто под маркировкой vlan1 u vlan2, тут немного не понимаю, толи вебинтерфейс шалит толи ето для себя pf так обозначил?
    потом как сделать что бы вланы могли видить друг друга, но не видеть lan  и выходить через wan(em1)(меня интересует хотябы теория).vlan создавал на mac lan(em0)
    и как убедится что все vlan исправно выходят с сетевой(em0,opt1,opt2).
    -wan(em1)-lan(em0)
                  \vlan 100(opt1)
                  \vlan 200(opt2)



  • vlan1, vlan2 - это да, для себя pfSense обозначает, это не 802.1Q VLAN ID.
    Остальные вопросы не понял.



  • да вот настроил свич, один  порт тегом, другой антегом, с PF включаю в тегированный, а компьютер в антаг, на компьюторе ip адресс vlan. не пингуются ПФ с компьютером. на фаирволе все разрешил, на ПФ с opt1 пингую lan, wan.
    вот и стал вопрос как убедится что ПФ всетаки выдает vlan(маркированные пакеты) на сетевую на которой настроен lan.
    попробывал сделать одинаковые ip  на интерфейсе opt1  и компьюторе, комп написал что такой ip уже есть в сети, думаю что свич настроен верно, но почему то не пингуется с opt1  ip компьютера.



  • пробывал, пинга нет, и как бы не должно быть, потому как в данном случае свич становится обычным неуправляемым, т.е  сделав ip как на лане, я пингую. а при opt1, нет.
    да и как бы пытаюсь разобратся в работе вланов на ПФ, пока затычка в том что с пф я не пингую компьютор в vlane.



  • Tcpdump вида

     tcpdump -i ifacexx -n vlan 123
    

    что говорит?



  • если на самом ПВ,то
    BIOCSETIF: ifacexx: Device not configured.
    пф ошибок не показывает
    Status: Interfaces

    WAN interface (em1) 
    Status up 
    MAC address 00:0f:fe🆎5a:17 
    IP address 192.168.181.9   
    Subnet mask 255.255.255.0 
    Gateway 192.168.181.25 
    ISP DNS servers 192.168.181.51
    81.17.2.171

    Media 100baseTX <full-duplex>In/out packets 198348/39428 (83.13 MB/4.45 MB) 
    In/out errors 0/0 
    Collisions 0

    LAN interface (em0) 
    Status up 
    MAC address 00:10:b5:b6:c8:60 
    IP address 192.168.1.1   
    Subnet mask 255.255.255.0 
    Media 100baseTX <full-duplex>In/out packets 45897/103200 (5.03 MB/74.87 MB) 
    In/out errors 0/0 
    Collisions 0 
    Bridge (bridge0) learning

    OPT1 interface (vlan0) 
    Status up 
    MAC address 00:30:05:ea:93:c7 
    IP address 192.168.157.1   
    Subnet mask 255.255.255.0 
    Media 100baseTX <full-duplex>In/out packets 0/1 (0 bytes/42 bytes) 
    In/out errors 0/0 
    Collisions 0</full-duplex></full-duplex></full-duplex>



  • вы слишком буквально поняли -ifacexx надо замеить на имя интерфейса (vr0 ral0 em1 vlan1 итд)



  • @deutsche:

    вы слишком буквально поняли -ifacexx надо замеить на имя интерфейса (vr0 ral0 em1 vlan1 итд)

    ifaceXX  интерфейс на котором поднят Влан
    VLAN 123 - номер заменить на ВАШ



  • tcpdump -i em0 -n vlan 2500

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes

    0 packets captured
    78 packets received by filter
    0 packets dropped by kernel



  • Вы писали : в интерфейсах создал два vlan 100(орt1) u 200(opt2)
    Если правильно понял, то это 802.1Q VLAN ID - ы
    Тогда почему(откуда) 2500 ?
    Надо бы 100 или 200.
    То есть :

    tcpdump -i em0 -n vlan 100

    или

    tcpdump -i em0 -n vlan 200



  • извеняюсь

    tcpdump -i em0 -n vlan 200

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes

    0 packets captured
    115996 packets received by filter
    0 packets dropped by kernel
    после минуты ожидания



  • Пробуйте :

    tcpdump -n -i vlan0

    потом

    tcpdump -n -i vlan1

    Если верить Status->Interfaces , то OPT2 совсем нет.
    То есть нет именно vlan-а c ID-ом 200.
    Для полноты попробовали бы ещё :

    tcpdump -i em0 -n vlan 100



  • *** Welcome to pfSense 1.2.3-RELEASE-pfSense on pfsense ***

    LAN*                        ->  em0    ->      192.168.1.1
      WAN*                      ->  em1    ->      192.168.81.9
      OPT1(OPT1)              ->  vlan0  ->      192.168.157.1
      OPT2(OPT2)              ->  vlan1  ->      192.168.158.1

    pfSense console setup


    0)  Logout (SSH only)
    1)  Assign Interfaces
    2)  Set LAN IP address
    3)  Reset webConfigurator password
    4)  Reset to factory defaults
    5)  Reboot system
    6)  Halt system
    7)  Ping host
    8)  Shell
    9)  PFtop
    10)  Filter Logs
    11)  Restart webConfigurator
    12)  pfSense Developer Shell
    13)  Upgrade from console
    14)  Disable Secure Shell (sshd)

    Enter an option: 8

    tcpdump -n -i vlan0

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on vlan0, link-type EN10MB (Ethernet), capture size 96 bytes
    ^C
    0 packets captured
    0 packets received by filter
    0 packets dropped by kernel

    tcpdump -n -i vlan1

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on vlan1, link-type EN10MB (Ethernet), capture size 96 bytes
    ^C
    0 packets captured
    0 packets received by filter
    0 packets dropped by kernel

    tcpdump -i rl0 -n vlan 100

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
    ^C
    0 packets captured
    28862 packets received by filter
    0 packets dropped by kernel

    каждый раз ждал по 30 сек



  • все разобрался. нашел где косяк был, в нате лишнее правило было..
    теперь стал вопрос о том как читаются правила с верху внихз или с низу верх?
    пытаюсь счас сделать так что бы с opt1 уходил на wan не заходя в lan(невидился в сети лан)
    и лан что бы ходил через ван и не видел опт1.



  • @MasterMad:

    все разобрался. нашел где косяк был, в нате лишнее правило было..
    теперь стал вопрос о том как читаются правила с верху внихз или с низу верх?
    пытаюсь счас сделать так что бы с opt1 уходил на wan не заходя в lan(невидился в сети лан)
    и лан что бы ходил через ван и не видел опт1.

    Правила читаются сверху вниз. Срабатывает первое подходящее.



  • тоесть если у меня в начале стоитразрешающее правло, ходить куда угодно, то следующее которое разрешает ходить только в указанную сетку - не сработает, так получается. если я понял верно, то вначале если мне надо что бы трафик с ОПР1 ходил на ВАН, то первое правило в ОПТ1 будет примерно - опт1, все протоколы, сорс - сетка ОПТ1, дест - ван, все порты - разрешить
    а на лане первое правило  - Лан, все порты, сорс сетка лан,дест ОПТ1, все порты  - запретить.
    правильно?


Log in to reply