Pengaturan
Saya memiliki pengaturan pfSense 2.0.1 (gambar 64bit-amd) sebagai tuan rumah di Hyper-V. Seperti yang dijelaskan di blog lain, saya harus melakukan "ifconfig down deX", "ifconfig up deX" untuk mengaktifkan dan menjalankan jaringan.
Server (HP yang menjalankan Windows 2008 R2) dilengkapi dengan dua NIC fisik.
NIC fisik pertama (port 1) tidak dikonfigurasi di host (hanya sebagai Hyper-V switch, lihat lebih jauh ke bawah).
NIC fisik kedua (port 2) dikonfigurasi dengan jaringan untuk manajemen jarak jauh (jaringan kelas-C standar). Saya pikir kedua NIC terhubung ke saklar yang sama dan VLAN = default (kabel fisik dilakukan oleh penyedia co-location saya).
Di Hyper-V ada beberapa jaringan virtual yang didefinisikan:
internal : jaringan internal mesin virtual yang digunakan untuk komunikasi antar VM ("LAN" yang menghubungkan server Windows).
Internet : jaringan virtual yang digunakan sebagai koneksi WAN untuk pfSense. Jaringan ini ditugaskan untuk NIC fisik pertama (port 1) dari server. Jaringan virtual didedikasikan untuk Hyper-V dan tidak dibagikan dengan tuan rumah.
Dalam pengaturan saya, saya menggunakan pfSense sebagai Internet menghadapi firewall untuk beberapa mesin virtual (server Windows) juga berjalan pada host Hyper-V yang sama.
Kotak Windows menggunakan pfSense sebagai gateway default dan saya berhasil mengunduh pembaruan Windows untuk semua VM melalui pfSense firewall - berfungsi dengan baik.
Untuk mengarahkan kembali layanan yang masuk, pfSense diatur dengan 1-1 NAT untuk memetakan alamat IP ISP ke alamat 172.16.0.0/16 internal pada kotak Windows.
Masalah
Masalah yang saya miliki adalah bahwa setelah bekerja dengan sukses dengan koneksi RDP melalui jaringan manajemen (port 2), koneksi baru saja mati dan semua konektivitas jaringan hilang ke server dan VM. Sebelum masalah terjadi, saya melakukan dua perubahan konfigurasi.
Memindahkan alamat IP manajemen dari port 1 ke port 2. Perubahan ini berhasil diverifikasi dengan menghubungkan kembali RDP satu jam kemudian pada antarmuka baru (port 2 seperti yang dijelaskan di atas).
Melakukan beberapa konfigurasi pada IP virtual di pfSense (diperlukan untuk NAT 1-1).
Beberapa menit kemudian konektivitas ke mesin terputus.
Hal yang membingungkan saya adalah bahwa koneksi jaringan manajemen (port 2) seharusnya tidak tersentuh oleh Hyper-V karena tidak terintegrasi dengan Hyper-V. Namun sepertinya ada kesalahan propagasi dari pfSense (menggunakan NIC pada port 1).
Sebelumnya hari ini kami memiliki masalah yang sama ketika menggunakan hanya satu NIC (port 1 dibagi antara Hyper-V / pfSense dan tuan rumah). Masalah yang kami dapatkan saat itu adalah ketika pfSense dihentikan, kami dapat melakukan ping host dan ketika mulai lagi ping berhenti bekerja (tidak ada konflik IP yang kami tahu).
PfSense diinstal dari ISO dan "spoofing Alamat MAC" adalah default = off.
Karena masalah jahitan untuk merambat di antara dua port fisik, dugaan saya adalah bahwa ini mungkin ada hubungannya dengan ARP yang tidak berfungsi dengan benar.
Setiap komentar wawasan tentang ini sangat dihargai.
/ J
Jawaban:
Apakah Anda sudah memeriksa Event Viewer pada W2008R2?
Bisa jadi karena koneksi TCP maksimum yang diizinkan oleh Windows: https://technet.microsoft.com/en-us/library/cc759700%28WS.10%29.aspx
pfSense sebagai router perangkat lunak menggunakan banyak koneksi yang dapat dibuka tetapi tidak ditutup, status menunggu dan sebagainya. Penggunaan jaringan semacam ini dapat mencapai batas standar TCP stack dan windows dapat menutup atau tidak mengizinkan lebih banyak koneksi jenis ini. Hal pertama yang harus dilakukan dalam kasus ini adalah memeriksa Peraga Peristiwa untuk melihat apakah ada sesuatu yang dilaporkan di sana.
sumber
Ini terdengar lebih seperti masalah perutean antara pfSense dan perangkat lain ...
Jika Anda menggunakan Mesin Virtual di belakang pFSense sebagai firewall, namun Anda memerlukannya di SubNet yang berbeda dari PC di komputer. Anda mungkin harus mengaktifkan antarmuka tambahan di pfSense (katakanlah LAN2) Kemudian memetakannya di Host VM ke VSwitch pribadi yang digunakan oleh VM lain .. Atau bahkan TAG lalu lintas di vSwitch dan memiliki vlan terpisah untuk itu.
Saya harus melakukan ini berkali-kali di VMWare. Juga untuk 1: 1 Anda, Anda mungkin harus menambahkan pemetaan rute jaringan statis untuk mereka sebagai contoh. Saya telah melihat pfSe nse mendapatkan routing yang kacau.
Dengan begitu kamu memiliki ..
IINTERNET -> Wan0 -> pFSense -> LAN1 PCs ..
Setelah itu Anda dapat mengontrol aturan perutean dan firewall dengan lebih baik.
Semoga ini bisa membantu, Ceria ...
sumber