Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    ESXi 5.5 + pfSense + VLAN

    Scheduled Pinned Locked Moved Russian
    10 Posts 2 Posters 2.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      Electricshock
      last edited by

      Приветствую!
      Имеем pfSense на гипервизоре (VMWare ESXi 5.5), на нём несколько сетевых карточек. Есть три коммутатора D-Link, которые управляются в 10 VLAN (management) и один из коммутаторов соединен одним линком с сетевым интерфейсом "LAN" на pfSense.
      Чтобы их "подружить" с pfSense, я создал виртуальный интерфейс с VLAN 10 и "прилепил" его к виртуальному свитчу в ESXi, т.е. в итоге, pfSense знает и видит/пингует все эти коммутаторы (в 10.0.0.х/24 сети), а как сделать так, чтобы клиенты за pfSense (локальные, например, или туннельные) тоже могли видеть и пинговать эти коммутаторы в 10 VLAN'e? Как это решается? Статическим маршрутом на pfSense или как-то по-другому?
      Спасибо!

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе.
        Правилами fw на интерфейсах LAN и VLAN10.

        1 Reply Last reply Reply Quote 0
        • E
          Electricshock
          last edited by

          @werter:

          Доброе.
          Правилами fw на интерфейсах LAN и VLAN10.

          На интерфейсе VLAN10 стоит правило "все для всех", на LAN тоже никаких "особых" запретов нет, куда копать?

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Скрины.

            1 Reply Last reply Reply Quote 0
            • E
              Electricshock
              last edited by

              @werter:

              Скрины.

              Смотрите.

              fw_1.jpg
              fw_1.jpg_thumb
              fw_2.jpg
              fw_2.jpg_thumb
              sw_mngt.jpg
              sw_mngt.jpg_thumb
              vlan_10.jpg
              vlan_10.jpg_thumb
              ping_ok.jpg
              ping_ok.jpg_thumb

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                У Вас на LAN стоит первым правило с явным шлюзом. Создайте правило, где в dest будет указана сеть VLAN10 и поставьте его самым первым.

                ![2016-03-08 20_05_03-ESXi 5.5 + pfSense + VLAN.jpg](/public/imported_attachments/1/2016-03-08 20_05_03-ESXi 5.5 + pfSense + VLAN.jpg)
                ![2016-03-08 20_05_03-ESXi 5.5 + pfSense + VLAN.jpg_thumb](/public/imported_attachments/1/2016-03-08 20_05_03-ESXi 5.5 + pfSense + VLAN.jpg_thumb)

                1 Reply Last reply Reply Quote 0
                • E
                  Electricshock
                  last edited by

                  @werter:

                  У Вас на LAN стоит первым правило с явным шлюзом. Создайте правило, где в dest будет указана сеть VLAN10 и поставьте его самым первым.

                  Сделал так, как вы сказали, с локальных машин действительно все заработало!!
                  Но теперь вопрос: как сделать тоже самое для клиентов OpenVPN?
                  Добавил статический маршрут на клиенте OpenVPN в сеть 10.1.1.0

                  route add 10.1.1.0 mask 255.255.255.0 0.0.0.0 if 22
                  
                  IPv4 таблица маршрута
                  ===========================================================================
                  Активные маршруты:
                  Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
                            0.0.0.0          0.0.0.0     192.168.50.1   192.168.50.218     25
                           10.1.1.0    255.255.255.0         On-link        10.10.10.2     21
                         10.1.1.255  255.255.255.255         On-link        10.10.10.2    276
                         10.10.10.0    255.255.255.0         On-link        10.10.10.2    276
                         10.10.10.2  255.255.255.255         On-link        10.10.10.2    276
                       10.10.10.255  255.255.255.255         On-link        10.10.10.2    276
                          127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
                          127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
                    127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
                        192.168.0.0    255.255.240.0       10.10.10.1       10.10.10.2     20
                       192.168.50.0    255.255.255.0         On-link    192.168.50.218    281
                     192.168.50.218  255.255.255.255         On-link    192.168.50.218    281
                     192.168.50.255  255.255.255.255         On-link    192.168.50.218    281
                          224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
                          224.0.0.0        240.0.0.0         On-link    192.168.50.218    281
                          224.0.0.0        240.0.0.0         On-link        10.10.10.2    276
                    255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
                    255.255.255.255  255.255.255.255         On-link    192.168.50.218    281
                    255.255.255.255  255.255.255.255         On-link        10.10.10.2    276
                  

                  И не завелось, при пинге, например, ping 10.1.1.4 приходит ответ, что:

                  C:\Users\пользователь>ping 10.1.1.4

                  Обмен пакетами с 10.1.1.4 по с 32 байтами данных:
                  Ответ от 10.10.10.2: Заданный узел недоступен.
                  Ответ от x.xxx.xx.xx: Превышен срок жизни (TTL) при передаче пакета.
                  Ответ от x.xxx.xx.xx: Превышен срок жизни (TTL) при передаче пакета.

                  Статистика Ping для 10.1.1.4:
                      Пакетов: отправлено = 3, получено = 3, потеряно = 0
                      (0% потерь)

                  1 Reply Last reply Reply Quote 0
                  • E
                    Electricshock
                    last edited by

                    Все, разобрался, что сделал:

                    1. Добавил точно такое же правило на интерфейс OpenVPN, где:
                      Source: 10.10.10.2, Dest: management-подсеть;
                    2. Прописал маршрут с конкретным шлюзом (10.10.10.1)
                    route add 10.1.1.0 mask 255.255.255.0 10.10.10.1 if 22
                    

                    Все завелось!!!

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      В случае с OpenVPN не надо прописывать руками маршруты. Это ошибочно.
                      Для выдачи маршрута подкл. клиентам есть директива push "route …..";
                      На ixbt есть ветка по OpenVPN, советую.

                      1 Reply Last reply Reply Quote 0
                      • E
                        Electricshock
                        last edited by

                        @werter:

                        В случае с OpenVPN не надо прописывать руками маршруты. Это ошибочно.
                        Для выдачи маршрута подкл. клиентам есть директива push "route …..";
                        На ixbt есть ветка по OpenVPN, советую.

                        Благодарю!

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.