PfSense более как роутер



  • Хотел использовать pfSense больше для роутинга между серыми сетями.
    Собралось 3 (172…. 192.168.1.0/16 192.168.5.0/16) сети, за которыми есть еще сети.
    Все это дело хочу свести на pfSense, фактически это будет LAN1, LAN2, LAN3.
    А у pfSense обязательно должен быть WAN и для него есть особенности.
    Столкнулся при быстром развертывании:
    LANnet–----LAN[pfSense]WAN–---DMZ-----LAN[FW-bsd]WAN–-Inrenet
    GW:FW-bsd
    Если оставлять правила:
    1. RFC 1918 networks
    2. Reserved/not assigned by IANA
    то в DMZ остальные сервера не видят pfSense
    Если эти правила отключить - через какое-то время (10 - 30 мин) отваливается GW (насколько я поминаю срабатывает блокировка, только вот что за она???)
    Получается что надо делать так:
    LANnet–----LAN[pfSense]LAN–---DMZ-----LAN[FW-bsd]WAN–-Inrenet
    Но я не нашел как это сделать.

    Возможно ли сделать LAN[pfSense]LAN ?
    Или подскажите почему отваливается GW?



  • Должен на WAN нормально работать. Нарисуйте общую схему и какие настройки сделаны? Не понятно в каком режиме у Вас что работает.
    Правила (1) и (2) для серых сетей обязательно отключать.



  • C отключенными
    Block private networks
    Block bogon networks
    и разрешающим правилом, первая схема у меня работает.
    Чтобы реализовать LAN1, LAN2, LAN3 ставьте физические адаптеры, или добавляете Firewall: Virtual IP Address
    и WAN тогда не понадобиться
    При маршрутизации очень поможет
    System: Advanced: Firewall and NAT
    Включить Bypass firewall rules for traffic on the same interface



  • Схема такая:
    172.23.0.0–----172.23.1.1[pfSense]192.168.10.10–---DMZ-----192.168.10.1[FW-bsd]1.2.3.4–-Inrenet

    рис. 1 - WAN- LAN

    рис. 2 - config WAN

    рис. 3 - config LAN

    рис. 4 - rules WAN

    рис. 5 - rules LAN

    рис. 6 - NAT

    Вот с такими настройками GW отваливается через минут 10-20. Т.е. карточка status: active и с других серверов пингуется. А с нее пинга нет.
    Если на WAN что то сделать (перепустить, поменять правило, переткнуть кабель) то на сеть востанавливается на 10-20 мин.
    Могут ли быть проблемы если карточки 100 и 1000???



  • Железо, как один из вариантов.



  • @dvserg:

    Железо, как один из вариантов.

    Настройки pfSense правильные и не мешают пингам.



  • сменил полностью машину.
    Другие сетевые, другой процессор, другая материнка
    Общее только то, что внутренняя сетевая на 1000 Мб/с а внешняя на 100Мб/с
    А проблема таже: исходящий пинг отваливается через неопределенное время

    Чую где то накосячил в настройках… но вот где? Что может срабатывать и на какое событие... ?



  • 1. Надо выключить NAT и посмотреть, как будут ходить пакеты между лановскими сетями.
    2. При включенном и автоматически создаваемом NAT надо прописывать default gateway для каждой лановской подсети. Предположим,
    задается адрес на PFsense 172.16.0.1  .Ниже строчкой он указывается как default gateway. Ну а дальше в Rules прописываешь какая сеть Lan какую видит.
    3. Я обычно запрещаю автоматическое создание NAT при назначении адреса новой подсети на интерфейсе. Поэтому правила в Rules не нужны, но без указания default gateway сетки друг друга по-моему не видят.



  • Я бы на вашем месте
    1. отключил LAN физически и запустил пинг шлюза  с WAN интерфейса
    чтобы удостовериться что сегмент работает (лучше узла в интернете по имени, чтобы проверить NAT и DNS на шлюзе заодно)
    и обратил внимание на TTL (если значение разные- то пакеты могут бегать разными путями)

    2. потом вернул LAN и включил сбор пакетов на WAN
    и проверил нет фрагментации, непонятных arp пакетов, мультикаста и тп.



  • @nomeron:

    Я бы на вашем месте
    1. отключил LAN физически и запустил пинг шлюза  с WAN интерфейса
    чтобы удостовериться что сегмент работает (лучше узла в интернете по имени, чтобы проверить NAT и DNS на шлюзе заодно)
    и обратил внимание на TTL (если значение разные- то пакеты могут бегать разными путями)

    2. потом вернул LAN и включил сбор пакетов на WAN
    и проверил нет фрагментации, непонятных arp пакетов, мультикаста и тп.

    1. TTL постоянно
    2. на WAN непонятно только это:
    block          WAN   0.0.0.0:68   255.255.255.255:67 UDP - у меня в DMZ нет DHCP сервера да и клиентов тоже неоткуда взять (все статика)



  • @Hoper:

    2. на WAN непонятно только это:
    block           WAN    0.0.0.0:68    255.255.255.255:67 UDP - у меня в DMZ нет DHCP сервера да и клиентов тоже неоткуда взять (все статика)

    В DMZ какой ни будь комп опрашивает кто там рядом есть.
    Совсем не обязательно что он хочет получить IP адрес. Например он хочет узнать у DHCP как выйти в интернет.


Locked