У меня есть сервер Proxmox 5.1-35, работающий на HP Proliant ML350 Gen9. После установки Proxmox с помощью USB-накопителя я создал виртуальную машину pfSense (VM) и определил три сетевых интерфейса (vmbr0, vmbr1 и vmbr2). Каждые сетевые интерфейсы в pfSense имеют следующие названия: LAN, WAN и SERVERS.
Связь между сетевыми интерфейсами и именами подсетей:
- vmbr0 для СЕРВЕРОВ
- vmbr1 для WAN
- vmbr2 для локальной сети
Диаграмма сети:
С только что установленным pfSense я смог получить доступ к Интернету из локальной сети (192.168.1.0/24). Но ping из подсети LAN в подсеть SERVER (172.16.10.0/24) имеет ответы от одного сервера (Proxy), но не от другого (FreeNAS). Однако брандмауэр (172.16.10.254) может пропинговать любой сервер, что является редкостью, поскольку брандмауэр может пропинговать FreeNAS (172.16.10.10) и не может пересылать ICMP-пакеты, поступающие из локальной сети во FreeNAS. Как я уже говорил ранее, он разрешает LAN подключаться к Proxy (172.16.10.2) с использованием ICMP, который находится в подсети SERVER с FreeNAS. Также ЛВС может пропинговать Proxmox (172.16.10.101)
Я хотел бы уточнить, что между LAN и SERVER не задействован коммутатор. Все соединения (кроме WAN) находятся на самом сервере HP Proliant ML350 Gen9 (рисунок ниже)
Для получения дополнительной информации я публикую шаги с самого начала:
1- Proxmox после установки без виртуальной машины или контейнера (CT)
2- Создание виртуальной машины pfSense
3-pfSense был установлен без каких-либо проблем. Проверьте красные поля (проверка версии и запрос NTP сработали). Таким образом, pfSense выходит в Интернет по глобальной сети
4- Я никогда не изменял никаких правил в любой подсети на вкладке Правила pfSense. Почти все по умолчанию
Правила WAN
Правила СЕРВЕРА
Правила локальной сети
5- Создание прокси-сервера CT
6- FreeNAS - это физический сервер, подключенный к серверу HP Proliant через серый провод UTP Cat5e.
До сих пор я создал VM (pfSense) и CT (Proxy). Теперь я собираюсь показать пинг тесты. Опять же, нет проблем с доступом в Интернет из локальной сети. СЕРВЕРЫ не могут ничего пинговать за пределами подсети, но я думаю, это потому, что вкладка СЕРВЕРЫ Правила пуста. По умолчанию pfSense отклоняет пакеты от SERVERS.
PING из локальной сети
ПК -> 172.16.10.2
ПК -> 172.16.10.10 (ПОЧЕМУ ???)
ПК -> 172.16.10.101
ПК -> 172.16.10.254
PING с брандмауэра (172.16.10.254)
межсетевой экран (172.16.10.254) -> 172.16.10.2
межсетевой экран (172.16.10.254) -> 172.16.10.10
межсетевой экран (172.16.10.254) -> 172.16.10.101
Брандмауэр может охватить всю подсеть SERVERS, даже FreeNAS, используя ping, так почему же не переадресация LAN -> FreeNAS?
PING из прокси (172.16.10.2)
Прокси (172.16.10.2) -> 172.16.10.10
Прокси (172.16.10.2) -> 172.16.10.101
Прокси (172.16.10.2) -> 172.16.10.254
PING из FreeNAS (172.16.10.10)
FreeNAS (172.16.10.10) -> 172.16.10.2
FreeNAS (172.16.10.10) -> 172.16.10.101
FreeNAS (172.16.10.10) -> 172.16.10.254
Не публиковать тест PING 172.16.10.101, потому что в этом посте много картинок.
Наконец, эта функция захвата пакетов в pfSense от источника 192.168.1.111 до пункта назначения 172.16.10.10
pfSense получает запрос, но не получает ответ от FreeNAS. Этот вопрос очень серьезен для меня, потому что pfSense (как брандмауэр) является основой любой сети. Я должен сказать, что этот пример предназначен для диагностики, и я создал все картинки с самого начала, потому что эта проблема случалась и раньше с Windows Server 2012 R2, как и FreeNAS. Я отложил Windows Server 2012 R2, потому что думал, что это проблема адаптера Virtio в настройках виртуальной машины. Теперь я вижу, что есть проблема, или я не очень хорошо понимаю концепцию сети.
Схема сети очень проста, почему у меня такая проблема? Я решил остановиться и спросить, потому что лучше исправить это сейчас, чем потом иметь худшую проблему.