Всем доброго дня:

Вот соответствующая настройка инфраструктуры, которую я использую:

Модем ---> Маршрутизатор -> Маршрутизатор (192.168.1.1)-> Беспроводной мост (ddwrt; статический 192.168.1.254)-> Сервер Proxmox (статический 192.168.1.101)

На этом сервере есть два виртуальных моста - vmbr0, который соединен с eth0 (порт, используемый для подключения сервера к беспроводному мосту) и vmbr1 - который настроен как пустой.

На этом сервере Proxmox в настоящее время у меня есть три виртуальные машины - Centos7, Debian stable box и установка pfsense-2.4.x. Поле pfsense настроено следующим образом:

vtnet0 = виртуальный ник, подключенный к vmbr0 (соединенный с eth0, который является восходящей связью для всего сервера) vtnet1 = виртуальный ник, подключенный к vmbr1 (нет конфигурации для этого vswitch vmbr1)

WAN = vtnet0 (виртуальный ник, подключенный к мостовому соединению с eth0, которое подключается к восходящему каналу) WAN: IPv4/DHCP: (192.168.1. * Адрес от DHCP вышестоящего маршрутизатора)

LAN = vtnet1 (виртуальный ник, подключенный к виртуальному коммутатору без конфигурации на хосте proxmox); LAN = IPv4 STATIC 172.16.0.1/12


Проблемы

1)

Я все настроил, и ящики CentOS и Debian отлично вытягивают адреса DHCP из сети 172.16.0.0/12 ... Однако, когда я смотрю на аренду DHCP, я замечаю, что некоторые из моих соседей по устройствам фактически вытащили свой DHCP из коробки pfsense. Как я вижу, «$(RoomMates)Iphone» обнаруживается с арендой DHCP в сети 172.16.0.0/12 ...

Их iphone подключается к основной точке доступа маршрутизатора, которая должна назначать этим клиентам IP-адрес 192.168.1.x. Вместо этого iphone (как и другие клиенты, такие как настольные компьютеры) извлекают IP-адрес из 172.16.0.1 и подключаются к нему. Самое смешное, что некоторые клиенты получают DHCP от маршрутизатора 192.168.1.1 просто отлично - например, на обоих серверах DHCP есть клиенты, и я пытаюсь выяснить, как сохранить все клиенты вне виртуальных машин, чтобы получить аренду DHCP от 192.168. Сеть 1.0.

2)

Когда я отключаю коробку pfsense, происходит следующее: ящики CentOS и debian (у которых свои vnics подключены к vmbr1 - ненастроенному vswitch), извлекают IP из 192.168.1.1 ... Так как они находятся на vmbr1, они не должны быть в состоянии достигнуть этой сети, поскольку она не соединена с eth0 (или любым реальным NIC в этом отношении).

Я пробовал следующие настройки, но безрезультатно:-блокировать весь трафик RFC1918 на интерфейсе WAN -по аналогии с описанным выше, но для интерфейса LAN -игрался с настройками брандмауэра в течение нескольких часов -использовал wireshark на рабочем столе, подключенном к сети 192.16.1.0 для анализа dhcp, ip .addr == $(172,16./12 IP of pfsense) и просто вообще просеиваю то, что вижу. Ничего такого.

Невозможно заблокировать весь трафик WAN к интерфейсу LAN, так как мне нужны виртуальные машины в сети интерфейса LAN для доступа к 192.16 сеть и интернет за пределами демарка.

Статический 172.16. адресация для vms работает, но я бы хотел, чтобы dhcp был включен, так как с ним интересно играть и довольно удобно для часто меняющейся среды.

TL; DR: - Попытка создать сеть 172.16.0.0/12 в Proxmox. Попытка разделить их так, чтобы при отключении pfsense не происходил трафик между vmbr0 и vmbr1. Также пытаемся убедиться, что клиенты из апстрима (кроме виртуальных машин с сервера proxmox) не используют pfsense box в качестве своего DHCP-сервера (чего не должно быть, потому что снова трафик поступает через интерфейс WAN при установке pfsense). .)

Пожалуйста, помогите, любые советы полезны. Более чем рад предоставить журналы, вывод, все, что нужно. Все эти выходные я вырывал свои волосы, и это расстраивает, так как я делал эту настройку раньше в homelab.

0