pfsense 2.0 routing probléma

Hálózati eszközök

Sziasztok!

pfsense-hez értők segítségét kérem:

Úgy adódott, hogy VMware Workstation-ön kell 3 LAN szegmensben lévő VM-ek, a host, valamint a külvilág között megoldanom a kommunikációt, úgy, hogy a VM-ek lássák a hostot és az internetet, a host pedig a VM-eket.
A topológia tehát így néz ki:

LAN1--\
LAN2---PFSENSE--HOST--ROUTER--INTERNET
LAN3--/

Még nem csináltam ilyesmit, a pfsense-t választottam a feladatra.

Feltelepítettem VM-ként, belógattam 1-1 interfészt a 3 szegmensbe, és egy NAT kapcsolatot állítottam be a VMware-en, hogy tudjak a host-tal kommunikálni. Ezenkívül beállítottam, hogy a pfsense tűzfala minden interfészen, minden kommunikációt átengedjen.

Ez így jól működik a VM-ek felől, viszont a host nem látja még a VM-eket. Tehát ki szeretném kapcsolni a NAT-ot a pfsense-en, hogy az csak router-ként működjön.

Azt írják, hogy ehhez be kell pipálni a Disable all packet filtering pontot, és hogy takarítsam ki a NAT beállításokat. Ez oda vezetett, hogy az egyes LAN szegmensek vm-jei továbbra is tudnak egymással kommunikálni.
Viszont sem a HOST IP címét, sem a külvilágot nem látják a LAN szegmensekben lévő VM-ek.
Néztem a pfsense logjait, de nem jöttem rá a hiba okára.

Nyilván nem értek hozzá, gondolom itt lesz a probléma.
Köszönöm.

  • 8653 megtekintés

( herdsman | 2013. 01. 04., p – 10:26 )

System>Routing menüben a Routes fülön minden jól van megadva?

( ggallo | 2013. 01. 04., p – 10:40 )

A "HOST" route táblája jó? Tudja, hogy a VM-eket a "PFSENSE" címén keresztül kell elérnie?

( herdsman | 2013. 01. 04., p – 10:58 )

Diagnostic menü Routing menüpont?

Szia!

Így néz ki, ha be van kapcsolva a NAT és packet filtering:

A 192.168.100.0/24-es hálózat az amiben a router és a VMware is megtalálható.
A 192.168.100.2-es címet a VMware adja, mint default GW-t a hálózatnak.
A host 192.168.100.1-es címen van a hálózatban. 


Destination	 Gateway        Flags	Refs	Use	Mtu	Netif
default	         192.168.100.2	UGS	0	855	1500	em0	 
127.0.0.1	 link#10        UH	0	22	16384	lo0	 
192.168.10.0/24	 link#3	        U	0	2319	1500	em1	 
192.168.10.1	 link#3	        UHS	0	0	16384	lo0	 
192.168.20.0/24	 link#4     	U	0	215	1500	em2	 
192.168.20.1	 link#4	        UHS	0	0	16384	lo0	 
192.168.30.0/24	 link#5	        U	0	0	1500	em3	 
192.168.30.1	 link#5	        UHS	0	0	16384	lo0	 
192.168.100.0/24 link#2	        U	0	4291	1500	em0	 
192.168.100.100	 link#2    	UHS	0	0	16384	lo0

Elnézést a béna formázásért, nem nagyon szoktam ilyesmit itt összerakni.

Szia!

Igen, ezzel próbálkozom:

- packet filtering kikapcsolva,
- Manual Outbound NAT rule generation kiválasztva és az összes mapping törölve
- a HOST gépen a route-ok beállítva, látom az összes VM-et mindhárom szegmensben a HOST-ról, tehát a VM-ek is látják a HOST-ot.

De valamiért nem látnak túl a HOST-on.

Ha a default beállításokkal megyek, tehát működik a NAT és a packet filtering, akkor látszólag minden működik, elérem a VM-eket a HOST-ról, de a VM-ek felől továbbra is NAT-olva látom a forgalmat.

Igazából így is működhet a dolog, de továbbra sem értem mi lehet a probléma.

hehe, amit írtál az előbb, jó ötlet volt :)

A hiba egyelőre az én készülékemben van: a host-on (windows 7) át kellett állítani a tűzfalat, hogy engedje a LAN szegmenseket is. Most már megy kikapcsolt packet filtering-gel/NAT-tal a kommunikáció az összes szegmens között.
Viszont az internet elérés még mindig nem megy, lehet, hogy a VMware nem szereti, ha a NAT-os interfészén más hálózatokból érkező csomagok akarnak továbbhaladni?
Köszönöm mindenkinek a segítséget.

( stabbbb | 2013. 07. 04., cs – 15:59 )

Sziasztok!

Az előzőt csak részben érinti, de nekem is lenne egy Pfsense routing problémám.

Eddig egy nagyon egyszerű, mondhatni klasszikus hálózatom volt: kliensgépek -> Pfsense -> Internet.
Azonban szükségem lett egy másik hálózatra, másik IP tartománnyal, szűréssel, proxy-val, stb.
A Pfsense-be beletettem egy plusz hálókártyát, beállítottam a LAN eszközt, kilát a netre, ezzel a
részével nincs is problémám. A két hálózatban lévő gépek, viszont nem látják egymást.
Próbáltam a System -> Routing -> Routes -> Static Routes-t beállítani, amiben a Destination network résznél
megadom a másik IP tartományt (amit el akarok érni), és a hozzá tartozó LAN eszközt GW-net. Megcsináltam
fordítva is a szabályt, de még mindig nem látják egymást a gépek.

Tudna valaki abban segíteni, mit csinálok rosszul?

Előre is köszönöm.
Üdv: stabbbb

Minden filterset a saját source figyel. Ha szeretnéd, hogy a két network lássa egymást, akkor mindkét irányból engedd, hogy a lan source a másik lanba, mint destination-be kapcsolódhatjon. Ha ez nincs benne, akkor a szabályvég érvényesül ( implicit deny )

Routingot nem kell felvenni, mert ahogy létrehoztad a subnet már connected lett.

Ha erre gondolsz persze.

Szia!

Igen, jóra gondolsz.
Töröltem a routingokat, majd létrehoztam Firewall: Rules-ban a két LAN-ra a szabályokat, de valamiért így sem működik.
Csináltam két screenshotot a LAN1 és a LAN2 beállításairól. Meg tudnád nézni, mit értettem félre, állíthattam be rosszul?

Köszönöm, Üdv.

Más lesz a gondod. Allow volt egyébként is ez a része.

Más kérdés, hogy mivel ellenőrzöd az elérhetőséget. Windows tűzfal nem enged ping választ alapból.
Kipróbáltam, de nálam vlan-ok vannak, worksforme. Kéne az interface tab és esetleg a routing tábla, na meg a dashboard.