PfSense 2.0.1 yang memengaruhi konektivitas host Hyper-V? arp?

8

Pengaturan

Saya memiliki pengaturan pfSense 2.0.1 (gambar 64bit-amd) sebagai tuan rumah di Hyper-V. Seperti yang dijelaskan di blog lain, saya harus melakukan "ifconfig down deX", "ifconfig up deX" untuk mengaktifkan dan menjalankan jaringan.

Server (HP yang menjalankan Windows 2008 R2) dilengkapi dengan dua NIC fisik.

  • NIC fisik pertama (port 1) tidak dikonfigurasi di host (hanya sebagai Hyper-V switch, lihat lebih jauh ke bawah).

  • NIC fisik kedua (port 2) dikonfigurasi dengan jaringan untuk manajemen jarak jauh (jaringan kelas-C standar). Saya pikir kedua NIC terhubung ke saklar yang sama dan VLAN = default (kabel fisik dilakukan oleh penyedia co-location saya).

Di Hyper-V ada beberapa jaringan virtual yang didefinisikan:

  • internal : jaringan internal mesin virtual yang digunakan untuk komunikasi antar VM ("LAN" yang menghubungkan server Windows).

  • Internet : jaringan virtual yang digunakan sebagai koneksi WAN untuk pfSense. Jaringan ini ditugaskan untuk NIC fisik pertama (port 1) dari server. Jaringan virtual didedikasikan untuk Hyper-V dan tidak dibagikan dengan tuan rumah.

Dalam pengaturan saya, saya menggunakan pfSense sebagai Internet menghadapi firewall untuk beberapa mesin virtual (server Windows) juga berjalan pada host Hyper-V yang sama.

Kotak Windows menggunakan pfSense sebagai gateway default dan saya berhasil mengunduh pembaruan Windows untuk semua VM melalui pfSense firewall - berfungsi dengan baik.

Untuk mengarahkan kembali layanan yang masuk, pfSense diatur dengan 1-1 NAT untuk memetakan alamat IP ISP ke alamat 172.16.0.0/16 internal pada kotak Windows.

Masalah

Masalah yang saya miliki adalah bahwa setelah bekerja dengan sukses dengan koneksi RDP melalui jaringan manajemen (port 2), koneksi baru saja mati dan semua konektivitas jaringan hilang ke server dan VM. Sebelum masalah terjadi, saya melakukan dua perubahan konfigurasi.

  1. Memindahkan alamat IP manajemen dari port 1 ke port 2. Perubahan ini berhasil diverifikasi dengan menghubungkan kembali RDP satu jam kemudian pada antarmuka baru (port 2 seperti yang dijelaskan di atas).

  2. Melakukan beberapa konfigurasi pada IP virtual di pfSense (diperlukan untuk NAT 1-1).

Beberapa menit kemudian konektivitas ke mesin terputus.

Hal yang membingungkan saya adalah bahwa koneksi jaringan manajemen (port 2) seharusnya tidak tersentuh oleh Hyper-V karena tidak terintegrasi dengan Hyper-V. Namun sepertinya ada kesalahan propagasi dari pfSense (menggunakan NIC pada port 1).

Sebelumnya hari ini kami memiliki masalah yang sama ketika menggunakan hanya satu NIC (port 1 dibagi antara Hyper-V / pfSense dan tuan rumah). Masalah yang kami dapatkan saat itu adalah ketika pfSense dihentikan, kami dapat melakukan ping host dan ketika mulai lagi ping berhenti bekerja (tidak ada konflik IP yang kami tahu).

PfSense diinstal dari ISO dan "spoofing Alamat MAC" adalah default = off.

Karena masalah jahitan untuk merambat di antara dua port fisik, dugaan saya adalah bahwa ini mungkin ada hubungannya dengan ARP yang tidak berfungsi dengan benar.

Setiap komentar wawasan tentang ini sangat dihargai.

/ J

Jon Martinsson
sumber
Anda melakukan pekerjaan yang luar biasa untuk menjelaskan masalahnya. Tetapi Anda tidak mengatakan perubahan apa yang Anda lakukan. Bisakah Anda daftar alamat IP aktual (atau dikaburkan) yang digunakan sebagai IP virtual dan manajemen dan perubahan aktual dilakukan bagian # 1 dan # 2?
Andy Shinn
Apakah Anda men-debug ini secara lokal (saklar yang sama untuk server dan klien Anda)? Saya bertanya karena Anda bisa mengasumsikan pfSense / Hyper-V adalah sumber masalah padahal sebenarnya bisa firewall / proxy di suatu tempat yang kedaluwarsa koneksi stateful Anda. Cobalah untuk sedekat mungkin dengan host ini dan biarkan tcpdump dan Wireshark masing-masing berjalan di pfSense dan Windows, lalu periksa apa yang terjadi. Juga, karena Anda menukar antarmuka, periksa kembali semuanya di sakelar virtual Hyper-V.
Giovanni Tirloni
Apakah Anda mengaktifkan mode promiscuous pada antarmuka virtual? Anda harus mengaktifkannya untuk firewall: Secara default, adaptor jaringan virtual sistem operasi tamu hanya menerima bingkai yang dimaksudkan untuk itu. Menempatkan adapter jaringan tamu dalam mode promiscuous menyebabkannya menerima semua frame yang disahkan pada sakelar virtual yang diizinkan berdasarkan kebijakan VLAN untuk grup port terkait. Ini dapat berguna untuk pemantauan deteksi intrusi atau jika sniffer perlu menganalisis semua lalu lintas di segmen jaringan.
MrLightBulp

Jawaban:

1

Apakah Anda sudah memeriksa Event Viewer pada W2008R2?

Bisa jadi karena koneksi TCP maksimum yang diizinkan oleh Windows: https://technet.microsoft.com/en-us/library/cc759700%28WS.10%29.aspx

pfSense sebagai router perangkat lunak menggunakan banyak koneksi yang dapat dibuka tetapi tidak ditutup, status menunggu dan sebagainya. Penggunaan jaringan semacam ini dapat mencapai batas standar TCP stack dan windows dapat menutup atau tidak mengizinkan lebih banyak koneksi jenis ini. Hal pertama yang harus dilakukan dalam kasus ini adalah memeriksa Peraga Peristiwa untuk melihat apakah ada sesuatu yang dilaporkan di sana.

NetVicious
sumber
Bisakah Anda memperluas jawaban ini?
BE77Y
pfSense sebagai router perangkat lunak menggunakan banyak koneksi yang dapat dibuka tetapi tidak ditutup, status menunggu dan sebagainya. Penggunaan jaringan semacam ini dapat mencapai batas standar TCP stack dan windows dapat menutup atau tidak mengizinkan lebih banyak koneksi jenis ini. Hal pertama yang harus dilakukan dalam kasus ini adalah memeriksa Peraga Peristiwa untuk melihat apakah ada sesuatu yang dilaporkan di sana.
NetVicious
Dihormati - tetapi akan sangat berguna sebagai tambahan untuk jawaban Anda di atas. :)
BE77Y
0

Ini terdengar lebih seperti masalah perutean antara pfSense dan perangkat lain ...

Jika Anda menggunakan Mesin Virtual di belakang pFSense sebagai firewall, namun Anda memerlukannya di SubNet yang berbeda dari PC di komputer. Anda mungkin harus mengaktifkan antarmuka tambahan di pfSense (katakanlah LAN2) Kemudian memetakannya di Host VM ke VSwitch pribadi yang digunakan oleh VM lain .. Atau bahkan TAG lalu lintas di vSwitch dan memiliki vlan terpisah untuk itu.

Saya harus melakukan ini berkali-kali di VMWare. Juga untuk 1: 1 Anda, Anda mungkin harus menambahkan pemetaan rute jaringan statis untuk mereka sebagai contoh. Saya telah melihat pfSe nse mendapatkan routing yang kacau.

Dengan begitu kamu memiliki ..

IINTERNET -> Wan0 -> pFSense -> LAN1 PCs ..

                  pfSense -->LAN2 Virtual Machines.

Setelah itu Anda dapat mengontrol aturan perutean dan firewall dengan lebih baik.

Semoga ini bisa membantu, Ceria ...

David Thomson
sumber