ESXi 5.5 + pfSense + VLAN



  • Приветствую!
    Имеем pfSense на гипервизоре (VMWare ESXi 5.5), на нём несколько сетевых карточек. Есть три коммутатора D-Link, которые управляются в 10 VLAN (management) и один из коммутаторов соединен одним линком с сетевым интерфейсом "LAN" на pfSense.
    Чтобы их "подружить" с pfSense, я создал виртуальный интерфейс с VLAN 10 и "прилепил" его к виртуальному свитчу в ESXi, т.е. в итоге, pfSense знает и видит/пингует все эти коммутаторы (в 10.0.0.х/24 сети), а как сделать так, чтобы клиенты за pfSense (локальные, например, или туннельные) тоже могли видеть и пинговать эти коммутаторы в 10 VLAN'e? Как это решается? Статическим маршрутом на pfSense или как-то по-другому?
    Спасибо!



  • Доброе.
    Правилами fw на интерфейсах LAN и VLAN10.



  • @werter:

    Доброе.
    Правилами fw на интерфейсах LAN и VLAN10.

    На интерфейсе VLAN10 стоит правило "все для всех", на LAN тоже никаких "особых" запретов нет, куда копать?



  • Скрины.



  • @werter:

    Скрины.

    Смотрите.












  • У Вас на LAN стоит первым правило с явным шлюзом. Создайте правило, где в dest будет указана сеть VLAN10 и поставьте его самым первым.

    ![2016-03-08 20_05_03-ESXi 5.5 + pfSense + VLAN.jpg](/public/imported_attachments/1/2016-03-08 20_05_03-ESXi 5.5 + pfSense + VLAN.jpg)
    ![2016-03-08 20_05_03-ESXi 5.5 + pfSense + VLAN.jpg_thumb](/public/imported_attachments/1/2016-03-08 20_05_03-ESXi 5.5 + pfSense + VLAN.jpg_thumb)



  • @werter:

    У Вас на LAN стоит первым правило с явным шлюзом. Создайте правило, где в dest будет указана сеть VLAN10 и поставьте его самым первым.

    Сделал так, как вы сказали, с локальных машин действительно все заработало!!
    Но теперь вопрос: как сделать тоже самое для клиентов OpenVPN?
    Добавил статический маршрут на клиенте OpenVPN в сеть 10.1.1.0

    route add 10.1.1.0 mask 255.255.255.0 0.0.0.0 if 22
    
    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0     192.168.50.1   192.168.50.218     25
             10.1.1.0    255.255.255.0         On-link        10.10.10.2     21
           10.1.1.255  255.255.255.255         On-link        10.10.10.2    276
           10.10.10.0    255.255.255.0         On-link        10.10.10.2    276
           10.10.10.2  255.255.255.255         On-link        10.10.10.2    276
         10.10.10.255  255.255.255.255         On-link        10.10.10.2    276
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
          192.168.0.0    255.255.240.0       10.10.10.1       10.10.10.2     20
         192.168.50.0    255.255.255.0         On-link    192.168.50.218    281
       192.168.50.218  255.255.255.255         On-link    192.168.50.218    281
       192.168.50.255  255.255.255.255         On-link    192.168.50.218    281
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link    192.168.50.218    281
            224.0.0.0        240.0.0.0         On-link        10.10.10.2    276
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link    192.168.50.218    281
      255.255.255.255  255.255.255.255         On-link        10.10.10.2    276
    

    И не завелось, при пинге, например, ping 10.1.1.4 приходит ответ, что:

    C:\Users\пользователь>ping 10.1.1.4

    Обмен пакетами с 10.1.1.4 по с 32 байтами данных:
    Ответ от 10.10.10.2: Заданный узел недоступен.
    Ответ от x.xxx.xx.xx: Превышен срок жизни (TTL) при передаче пакета.
    Ответ от x.xxx.xx.xx: Превышен срок жизни (TTL) при передаче пакета.

    Статистика Ping для 10.1.1.4:
        Пакетов: отправлено = 3, получено = 3, потеряно = 0
        (0% потерь)



  • Все, разобрался, что сделал:

    1. Добавил точно такое же правило на интерфейс OpenVPN, где:
      Source: 10.10.10.2, Dest: management-подсеть;
    2. Прописал маршрут с конкретным шлюзом (10.10.10.1)
    route add 10.1.1.0 mask 255.255.255.0 10.10.10.1 if 22
    

    Все завелось!!!



  • В случае с OpenVPN не надо прописывать руками маршруты. Это ошибочно.
    Для выдачи маршрута подкл. клиентам есть директива push "route …..";
    На ixbt есть ветка по OpenVPN, советую.



  • @werter:

    В случае с OpenVPN не надо прописывать руками маршруты. Это ошибочно.
    Для выдачи маршрута подкл. клиентам есть директива push "route …..";
    На ixbt есть ветка по OpenVPN, советую.

    Благодарю!


Log in to reply