объединение двух pfsense установленных на esxi 6.0

borg

Здравствуйте. Описываю ситуацию:
Есть 2 сервера с установленной на них esxi 6.0
Конфиг первого сервера
3 физических сетевых карты
Все это подхватывает pfsense таким образом:
Первая смотрит в сеть провайдера
Вторая смотрит в физический комп
Третья смотрит в роутер, который настроен как AP

На сервере установлен pfsense 2.2.4(1) и все 3 карты подцеплены к нему
Первая получает адрес по DHCP от провайдера (WAN)
Вторая имеет свой статический адрес 11.11.11.50 (LAN) и настроенный на нем DHCP сервер вида 11.11.11.0/24, при этом сама сетевая карта соединена с рабочей машиной, которая получает адрес по DHCP, как впрочем и остальные виртуальные машины
Третья имеет свой статический адрес 11.11.13.1 (LAN2) и настроенный на нем DHCP сервер вида 11.11.13.0/24,  при этом сама сетевая карта соединена с роутером, который настроен в режиме AP, т.е. все устройства подключенные к нему получают адрес от pfsense(1)

Конфиг второго сервера
1 физическая и 1 виртуальная сетевая карта
Все это подхватывает pfsense(2) таким образом:
Первая смотрит в роутер
Вторая смотрит в настроеную подсеть

Первая получает адрес по DHCP от pfsense(1) через роутер (WAN)
Вторая имеет свой статический адрес 11.11.18.1 (LAN) и настроенный на нем DHCP сервер вида 11.11.18.0/24

Проблема заключается в следующем:
С виртуальной машины, которая запущена на втором сервере, которая получает адрес по DHCP  и имеет IP 11.11.18.11, шлюз 11.11.18.1, видится вся сеть и все пингуется, в том числе сеть первого сервера
С рабочего компьютера, подключенного к первому серверу видится все кроме сети второго сервера (11.11.18.0/24)

Как сделать так, чтобы из сети первого сервера (11.11.11.0/24 и 11.11.13.0/24) пинговалась сеть второго сервера (11.11.18.0/24)?
Если интересует дополнительная информация по конфигурации сервера, труда не составит, предоставлю.
Заранее спасибо
Топология сети прилагается

Ковырялся в мануалах, вроде надо сделать роут в подсеть 2го сервера через его шлюз
Для этого на первом сервере зашел в System: Gateways создал gateway:
Name - esxi2
Interface - LAN2
Gateway - 11.11.13.69

Затем в System: Static Routes создал строку:
Destination network - 11.11.18.0
Gateway - esxi2 - 11.11.13.69

Результатов не дало, пробовал зайти на 11.11.18.1

werter

С рабочего компьютера, подключенного к первому серверу видится все кроме сети второго сервера (11.11.18.0/24)

Шлюзом у этой машины адрес пф в настройках сети ?

1. Вкл. логирование fw на обоих pf.

2. 11.11.18.0/24 - это реальная адресация. Такую исп-ть в локальных сетях настоятельно не рекомендуется. Или у Вас там что-то из RFC 1918 и это пример просто ?

3. Если у вас на LAN\WAN-ах pf все же имеется серая\локальная адресация, то отключите блокирование серых сетей, на этих интерфейсах.

4. Что выдает команда tracert (если win) до сети 11.11.18.0/24 с проблемной машины ? Где затыкается ?

Ковырялся в мануалах, вроде надо сделать роут в подсеть 2го сервера через его шлюз
Для этого на первом сервере зашел в System: Gateways создал gateway:
Name - esxi2     
Interface - LAN2
Gateway - 11.11.13.69

А 69-ый адрес  (WAN pf2) вообще пингуется из сетей 11.11.11.0/24 и 11.11.13.0/24 после описанных мною выше манипуляций? И да, он же динамический - не меняется ли ?

borg

@werter:

С рабочего компьютера, подключенного к первому серверу видится все кроме сети второго сервера (11.11.18.0/24)

Шлюзом у этой машины адрес пф в настройках сети ?

1. Вкл. логирование fw на обоих pf.

2. 11.11.18.0/24 - это реальная адресация. Такую исп-ть в локальных сетях настоятельно не рекомендуется. Или у Вас там что-то из RFC 1918 и это пример просто ?

3. Если у вас на LAN\WAN-ах pf все же имеется серая\локальная адресация, то отключите блокирование серых сетей, на этих интерфейсах.

4. Что выдает команда tracert (если win) до сети 11.11.18.0/24 с проблемной машины ? Где затыкается ?

А 69-ый адрес  (WAN pf2) вообще пингуется из сетей 11.11.11.0/24 и 11.11.13.0/24 после описанных мною выше манипуляций? И да, он же динамический - не меняется ли ?

Шлюз в настройках сети и сервера dhcp не прописан ни на первом сервере, ни на втором сервере

1. Где это включается?
2. Это в качестве примера для изолированной сети
3. Как узнать что имеется серая\локальная адресация, что под этим понимается в рамках pfsense? Если под отключением блокирования серых сетей подразумевается  Block bogon networks, то галочка снята на обоих пфсенсах
4. затык идет сразу же после шлюза (11.11.11.50)

  1    <1 мс    <1 мс    <1 мс  [11.11.11.50]
  2     *        *     [11.11.11.50]  сообщает: Заданный узел недоступен.

В это же время из под винды на втором сервере

Трассировка маршрута к FREENAS [11.11.11.217]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  11.11.18.1
  2    <1 мс    <1 мс    <1 мс  11.11.13.1
  3    <1 мс    <1 мс    <1 мс  FREENAS [11.11.11.217]

Трассировка завершена.

69й пингуется, к нему претензий нет, все что получает ip в рамках первого сервера, все доступно. Нет не меняется. pfsense я так понял привязывется к маку, по этому ничего не слетает, даже без привязки ручной

werter

1    <1 мс    <1 мс    <1 мс  [11.11.11.50]
  2    *        *    [11.11.11.50]  сообщает: Заданный узел недоступен.

50-ый не знает куда отправлять пакет. Рисуйте на на нем маршрут в нужную сеть.

borg

@werter:

5о0-ый не знает куда отправлять пакет. Рисуйте на на нем маршрут в нужную сеть.

Верно, проблема в том, что я не знаю как это правильно реализовать. Создание гейтвея и прописывания роута не помогает.
Создал гейтвей esxi2 LAN2 11.11.13.69 и сделал роут 11.11.18.0/24 esxi2 - 11.11.13.69 LAN2 и сеть все так же недоступна, что 11.11.11.50 затык что 11.11.13.1