Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

мост VLAN интерфейсов pfsense

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Настройка аппаратного обеспечения
  3. Настройка программного обеспечения
  4. Ответ или решение
  5. Настройка VLAN и мостов в pfSense для изоляции сетей
  6. Введение
  7. Оборудование и программное обеспечение
  8. Текущая конфигурация
  9. Возможные проблемы и решения
  10. Альтернативные методы
  11. Заключение

Вопрос или проблема

Настройка аппаратного обеспечения

  • Материнская плата Mini-ITX AMD E1-2100 с встроенным гигабитным интерфейсом (re0)
  • Гигабитный адаптер Intel PCI Express (x4) на 4 порта (igb[0123])

Настройка программного обеспечения

  • pfSense v2.3

Я пытаюсь воспроизвести мой маршрутизатор OpenWRT, который настроен как простой маршрутизатор + VLAN 2 => отдельная изолированная подсеть для различных вещей WiFi, которым я не доверяю. Мой WiFi моста работает с двумя различными SSID, один из которых тегирует трафик VLAN 2. Я успешно добавил igb[0123] в качестве отдельных интерфейсов и объединил их в BRIDGE0. Я назначил IP 10.0.1.1 интерфейсу BRIDGE0, включил DHCP и успешно использую свой компьютер как простой маршрутизатор.

Однако, когда я объединяю четыре новых виртуальных интерфейса VLAN 2 (с родительскими интерфейсами igb[0123]) в один BRIDGE1 (IP 10.0.2.1), мой интерфейс VLAN 2 на стационарном MacOS X получает IP 10.0.2.20 через DHCP, но не может маршрутизировать ничего. Другими словами, я не могу пинговать через WAN или даже 10.0.2.1. Я создал новое правило брандмауэра на BRIDGE1, чтобы пропускать весь трафик IPV4. Согласно документации pfSense, я также настроил некоторые системные настройки.

Когда я устанавливаю IP 10.0.2.1 на интерфейс VLAN2 физического порта, в который я подключен, включаю DHCP для этого конкретного интерфейса и в целом следую всем тем же шагам для конкретного порта VLAN, я могу пинговать через WAN и 10.0.2.1.

Я думаю, что проблема изолирована в том, что BRIDGE1 состоит из виртуальных интерфейсов VLAN2 для каждого физического порта.

  • Возможно ли то, что я делаю?
  • Если это возможно, что я делаю не так?
  • Есть ли лучший способ сделать это? Моя цель – изолировать странные, потенциально вредоносные IoT устройства, но я открыт для других идей по топологии/настройке сети.

Используйте два VLAN – один для вашей обычной сети и один для вашей защищенной.

VLAN1 = BRIDGE0 = 10.0.1.1/24

VLAN2 = BRIDGE1 = 10.0.2.1/24

Ответ или решение

Настройка VLAN и мостов в pfSense для изоляции сетей

Введение

Ваша проблема связана с настройкой pfSense, чтобы интегрировать VLAN и мосты для изоляции потенциально небезопасных устройств IoT. Мы проанализируем ваш текущий сетевой сценарий и дадим рекомендации по его оптимизации.

Оборудование и программное обеспечение

Оборудование:

  • Материнская плата AMD E1-2100 Mini-ITX с встроенной гигабитной сетью (re0).
  • PCI Express (x4) адаптер с четырьмя портами гигабитной сети (igb[0123]).

Программное обеспечение:

  • pfSense версии 2.3.

Текущая конфигурация

Вы уже настроили BRIDGE0 для нормальной сети с IP-адресом 10.0.1.1/24, и все работает корректно. Ваша проблема возникает в настройке BRIDGE1 для VLAN 2 с IP-адресом 10.0.2.1. VLAN 2 создается как виртуальные интерфейсы для каждого физического порта, и DHCP-сервер выдает IP (например, 10.0.2.20), но в этом случае вы не можете установить соединение с другими адресами (включая 10.0.2.1).

Возможные проблемы и решения

  1. Проблемы с маршрутизацией:

    • Убедитесь, что при создании моста BRIDGE1 не возникают конфликты. Иногда бриджи могут фильтровать пакеты, что может привести к тому, что трафик не проходит должным образом.
    • Проверьте настройки MTU для каждого интерфейса и бриджа, если размер пакета слишком велик, это может вызвать проблемы с фрагментацией.

  2. Правила фаервола:

    • Откройте ваш интерфейс BRIDGE1 и убедитесь, что у вас настроены правильные правила для разрешения трафика. Если правила на уровне бриджа более строгие, это может не позволить трафику проходить.
    • Убедитесь, что правила разрешают весь входящий и исходящий трафик для VLAN2.

  3. Управление VLAN:

    • Убедитесь, что виртуальные интерфейсы VLAN2 правильно настроены с родительскими интерфейсами igb[0123]. Проверьте, действительно ли каждый виртуальный интерфейс получает трафик.
    • В pfSense необходимо убедиться, что для каждого интерфейса VLAN установлен правильный Tag VLAN.

  4. Настройки DHCP:

    • Убедитесь, что DHCP-сервер настроен правильно для BRIDGE1. Попробуйте временно отключить DHCP и вручную назначить IP-адреса, чтобы изолировать проблему.

  5. Коммутатор и физическая топология:

    • Убедитесь, что ваши физические подключения и настройки коммутаторов (если они есть) также поддерживают ваш VLAN-структуру.

Альтернативные методы

Если цель состоит в изоляции IoT-устройств, возможно, вам стоит рассмотреть следующие подходы:

  • Настройка отдельного VLAN для IoT-устройств: Вместо того, чтобы объединять VLAN в мост, создайте отдельный VLAN для ваших IoT-устройств с отдельным шлюзом и правилами фаервола. Это даст вам больше контроля и безопасности.
  • Использование управляемого коммутатора: Если у вас есть возможность, использование управляемого коммутатора, который поддерживает VLAN, может упростить управление сетевым трафиком и повысить безопасность.

Заключение

Ваш проект по изоляции сетей с помощью pfSense вполне осуществим. Убедитесь в том, что настройки моста, DHCP и маршрутизации выполняются правильно. Если вы столкнулись с дальнейшими проблемами, возможно, стоит обратиться к профессиональным специалистам по сетям или поддержке pfSense. Надеюсь, данные рекомендации помогут вам успешно настроить вашу сеть.

bridge pfsense vlan
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности