PfSense более как роутер
-
Хотел использовать pfSense больше для роутинга между серыми сетями.
Собралось 3 (172…. 192.168.1.0/16 192.168.5.0/16) сети, за которыми есть еще сети.
Все это дело хочу свести на pfSense, фактически это будет LAN1, LAN2, LAN3.
А у pfSense обязательно должен быть WAN и для него есть особенности.
Столкнулся при быстром развертывании:
LANnet–----LAN[pfSense]WAN–---DMZ-----LAN[FW-bsd]WAN–-Inrenet
GW:FW-bsd
Если оставлять правила:
1. RFC 1918 networks
2. Reserved/not assigned by IANA
то в DMZ остальные сервера не видят pfSense
Если эти правила отключить - через какое-то время (10 - 30 мин) отваливается GW (насколько я поминаю срабатывает блокировка, только вот что за она???)
Получается что надо делать так:
LANnet–----LAN[pfSense]LAN–---DMZ-----LAN[FW-bsd]WAN–-Inrenet
Но я не нашел как это сделать.Возможно ли сделать LAN[pfSense]LAN ?
Или подскажите почему отваливается GW? -
Должен на WAN нормально работать. Нарисуйте общую схему и какие настройки сделаны? Не понятно в каком режиме у Вас что работает.
Правила (1) и (2) для серых сетей обязательно отключать. -
C отключенными
Block private networks
Block bogon networks
и разрешающим правилом, первая схема у меня работает.
Чтобы реализовать LAN1, LAN2, LAN3 ставьте физические адаптеры, или добавляете Firewall: Virtual IP Address
и WAN тогда не понадобиться
При маршрутизации очень поможет
System: Advanced: Firewall and NAT
Включить Bypass firewall rules for traffic on the same interface -
Схема такая:
172.23.0.0–----172.23.1.1[pfSense]192.168.10.10–---DMZ-----192.168.10.1[FW-bsd]1.2.3.4–-Inrenetрис. 1 - WAN- LAN
рис. 2 - config WAN
рис. 3 - config LAN
рис. 4 - rules WAN
рис. 5 - rules LAN
рис. 6 - NAT
Вот с такими настройками GW отваливается через минут 10-20. Т.е. карточка status: active и с других серверов пингуется. А с нее пинга нет.
Если на WAN что то сделать (перепустить, поменять правило, переткнуть кабель) то на сеть востанавливается на 10-20 мин.
Могут ли быть проблемы если карточки 100 и 1000??? -
Железо, как один из вариантов.
-
-
сменил полностью машину.
Другие сетевые, другой процессор, другая материнка
Общее только то, что внутренняя сетевая на 1000 Мб/с а внешняя на 100Мб/с
А проблема таже: исходящий пинг отваливается через неопределенное времяЧую где то накосячил в настройках… но вот где? Что может срабатывать и на какое событие... ?
-
1. Надо выключить NAT и посмотреть, как будут ходить пакеты между лановскими сетями.
2. При включенном и автоматически создаваемом NAT надо прописывать default gateway для каждой лановской подсети. Предположим,
задается адрес на PFsense 172.16.0.1 .Ниже строчкой он указывается как default gateway. Ну а дальше в Rules прописываешь какая сеть Lan какую видит.
3. Я обычно запрещаю автоматическое создание NAT при назначении адреса новой подсети на интерфейсе. Поэтому правила в Rules не нужны, но без указания default gateway сетки друг друга по-моему не видят. -
Я бы на вашем месте
1. отключил LAN физически и запустил пинг шлюза с WAN интерфейса
чтобы удостовериться что сегмент работает (лучше узла в интернете по имени, чтобы проверить NAT и DNS на шлюзе заодно)
и обратил внимание на TTL (если значение разные- то пакеты могут бегать разными путями)2. потом вернул LAN и включил сбор пакетов на WAN
и проверил нет фрагментации, непонятных arp пакетов, мультикаста и тп. -
Я бы на вашем месте
1. отключил LAN физически и запустил пинг шлюза с WAN интерфейса
чтобы удостовериться что сегмент работает (лучше узла в интернете по имени, чтобы проверить NAT и DNS на шлюзе заодно)
и обратил внимание на TTL (если значение разные- то пакеты могут бегать разными путями)2. потом вернул LAN и включил сбор пакетов на WAN
и проверил нет фрагментации, непонятных arp пакетов, мультикаста и тп.1. TTL постоянно
2. на WAN непонятно только это:
block WAN 0.0.0.0:68 255.255.255.255:67 UDP - у меня в DMZ нет DHCP сервера да и клиентов тоже неоткуда взять (все статика) -
2. на WAN непонятно только это:
block WAN 0.0.0.0:68 255.255.255.255:67 UDP - у меня в DMZ нет DHCP сервера да и клиентов тоже неоткуда взять (все статика)В DMZ какой ни будь комп опрашивает кто там рядом есть.
Совсем не обязательно что он хочет получить IP адрес. Например он хочет узнать у DHCP как выйти в интернет.