ESXi 5.5 + pfSense + VLAN
-
Приветствую!
Имеем pfSense на гипервизоре (VMWare ESXi 5.5), на нём несколько сетевых карточек. Есть три коммутатора D-Link, которые управляются в 10 VLAN (management) и один из коммутаторов соединен одним линком с сетевым интерфейсом "LAN" на pfSense.
Чтобы их "подружить" с pfSense, я создал виртуальный интерфейс с VLAN 10 и "прилепил" его к виртуальному свитчу в ESXi, т.е. в итоге, pfSense знает и видит/пингует все эти коммутаторы (в 10.0.0.х/24 сети), а как сделать так, чтобы клиенты за pfSense (локальные, например, или туннельные) тоже могли видеть и пинговать эти коммутаторы в 10 VLAN'e? Как это решается? Статическим маршрутом на pfSense или как-то по-другому?
Спасибо!
-
Доброе.
Правилами fw на интерфейсах LAN и VLAN10.
-
Доброе.
Правилами fw на интерфейсах LAN и VLAN10.На интерфейсе VLAN10 стоит правило "все для всех", на LAN тоже никаких "особых" запретов нет, куда копать?
-
Скрины.
-
-
У Вас на LAN стоит первым правило с явным шлюзом. Создайте правило, где в dest будет указана сеть VLAN10 и поставьте его самым первым.
-
У Вас на LAN стоит первым правило с явным шлюзом. Создайте правило, где в dest будет указана сеть VLAN10 и поставьте его самым первым.
Сделал так, как вы сказали, с локальных машин действительно все заработало!!
Но теперь вопрос: как сделать тоже самое для клиентов OpenVPN?
Добавил статический маршрут на клиенте OpenVPN в сеть 10.1.1.0route add 10.1.1.0 mask 255.255.255.0 0.0.0.0 if 22IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.50.1 192.168.50.218 25 10.1.1.0 255.255.255.0 On-link 10.10.10.2 21 10.1.1.255 255.255.255.255 On-link 10.10.10.2 276 10.10.10.0 255.255.255.0 On-link 10.10.10.2 276 10.10.10.2 255.255.255.255 On-link 10.10.10.2 276 10.10.10.255 255.255.255.255 On-link 10.10.10.2 276 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.0.0 255.255.240.0 10.10.10.1 10.10.10.2 20 192.168.50.0 255.255.255.0 On-link 192.168.50.218 281 192.168.50.218 255.255.255.255 On-link 192.168.50.218 281 192.168.50.255 255.255.255.255 On-link 192.168.50.218 281 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.50.218 281 224.0.0.0 240.0.0.0 On-link 10.10.10.2 276 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.50.218 281 255.255.255.255 255.255.255.255 On-link 10.10.10.2 276И не завелось, при пинге, например, ping 10.1.1.4 приходит ответ, что:
C:\Users\пользователь>ping 10.1.1.4
Обмен пакетами с 10.1.1.4 по с 32 байтами данных:
Ответ от 10.10.10.2: Заданный узел недоступен.
Ответ от x.xxx.xx.xx: Превышен срок жизни (TTL) при передаче пакета.
Ответ от x.xxx.xx.xx: Превышен срок жизни (TTL) при передаче пакета.Статистика Ping для 10.1.1.4:
Пакетов: отправлено = 3, получено = 3, потеряно = 0
(0% потерь)
-
Все, разобрался, что сделал:
- Добавил точно такое же правило на интерфейс OpenVPN, где:
Source: 10.10.10.2, Dest: management-подсеть; - Прописал маршрут с конкретным шлюзом (10.10.10.1)
route add 10.1.1.0 mask 255.255.255.0 10.10.10.1 if 22Все завелось!!!
- Добавил точно такое же правило на интерфейс OpenVPN, где:
-
В случае с OpenVPN не надо прописывать руками маршруты. Это ошибочно.
Для выдачи маршрута подкл. клиентам есть директива push "route …..";
На ixbt есть ветка по OpenVPN, советую.
-
В случае с OpenVPN не надо прописывать руками маршруты. Это ошибочно.
Для выдачи маршрута подкл. клиентам есть директива push "route …..";
На ixbt есть ветка по OpenVPN, советую.Благодарю!