Pfsense на Xenserver между модемом и WIFI-роутером

1189
Jauyzed

Я пытаюсь настроить pfsense дома. Я провел несколько часов, настраивая это, но это никуда не денется. вот чего я хочу добиться: у меня работает pfsense vm.

Интернет -> кабельный модем -> xenserver с запущенным pfsense vm -> wifi router (AP) для других устройств. В PFsense должен быть включен DHCP для всех общедоступных веб-сайтов / серверов vms.

На маршрутизаторе WIFI должен быть включен DHCP. Я не против, если маршрутизатор Wi-Fi не позади pfsense, если это не может быть достигнуто слишком

Я пытался соединить WAN с OPT1. Я не думаю, что это работает как нужно.

Я новичок в продвинутых сетях и pfsense. Я был бы очень признателен, если бы кто-то мог дать мне какое-то руководство. Более содержательным было бы лучше.

Вот мои имена интерфейса и конфиги / ассоциации:

WAN - это место, где подключен мой модем, где у меня динамический IP

WAN -> xn0 LAN -> xn1 OPT1 -> xn2 OPT2 -> xn3

Пожалуйста, дайте мне знать, как действовать!

0
Отключите DHCP на точке доступа WiFi и поместите его позади pfSense на интерфейсе локальной сети, так как pfSence делает это лучше. Используйте интерфейс OPT1 для вашего VMS. Таким образом, у вас будет 2 отдельные ЛВС. Если вы хотите, чтобы устройства локальной сети имели доступ к vms, добавьте правила брандмауэра, которые разрешают трафик из локальной сети в OPT1. Это защитит вашу локальную сеть на случай, если некоторые виртуальные машины будут скомпрометированы, но разрешат доступ из глобальной сети и локальной сети к виртуальным сетям одновременно. Alex 7 лет назад 0
@ Алекс Спасибо за ответ. Я добавил больше информации об интерфейсах и ассоциациях. Пожалуйста, дайте мне знать, какие интерфейсы требуют DHCP, а какие нужно соединить. Jauyzed 7 лет назад 0

1 ответ на вопрос

0
Alex

Я не знаю, почему вы хотите режим моста. Если у вас один публичный IP, то я предлагаю вам использовать схему ниже.

i

В pfSense установите правила NAT (которые также автоматически создадут правила брандмауэра) для пересылки общедоступных портов в сеть OPT1, где ваши общедоступные службы работают в ВМ. Я не уверен, зачем вам нужен DHCP на OPT1, но это нормально, если вы используете статический DHCP, который склеивает MAC-адреса виртуальных машин с определенным IP-адресом. Таким образом, NAT всегда будет перенаправлять входящие соединения на конкретную виртуальную машину.

В правилах брандмауэра разрешить передачу всех протоколов из локальной сети в OPT1. Таким образом, внутренняя сеть ЛВС сможет получить доступ к службам ВМ, но она будет защищена от Интернета и OPT1 (поэтому в случае взлома какой-либо ВМ она не сможет получить доступ к ЛВС).

В pfSense DNS forwarder переопределяет общедоступные записи DNS для полного доменного имени виртуальных машин, поэтому при подключении от локальной сети к OPT1 он указывает на виртуальную машину, расположенную в сети OPT1.

Например, у вас есть общедоступная DNS-запись для веб-сайта, которая разрешает вам общедоступный IP-адрес, как my.www.example.com->1.2.3.4
в DNS-перенаправителе переопределить общедоступный IP-адрес, установив my.www.example.com->10.1.10.50
таким образом, если подключение к виртуальной машине происходит из Интернета, оно будет передаваться через NAT на виртуальную машину в сети OPT1, но если соединение идет из локальной сети, DNS-сервер пересылки pfSense будет указывать на виртуальную машину в OPT1 с использованием частных IP-адресов.

Что касается WiFi, - используйте его в качестве точки доступа (AP). Оставьте порт WAN отключенным и настройте ip локальной сети WiFi таким образом, чтобы он находился в диапазоне локальной сети pfSense, и отключите на нем DHCP. Таким образом, компьютеры, подключенные к порту WiFi LAN (он будет работать как обычный коммутатор) и клиенты WiFi будут получать IP-адреса от DHCP pfSense.

После этого я не думаю, что включу DHCP (интерфейс OPT1) для публичных виртуальных серверов. Вы правы! У меня есть еще один глупый вопрос - смогу ли я по-прежнему получать доступ к Xenserver thro xencenter с одного из ноутбуков, подключенных к точке доступа WiFi, если да, то как? Мой сервер Dell имеет 4 NICS. Один сетевой адаптер подключен к модему, а следующий будет подключен к порту локальной сети WiFi-маршрутизатора, где в Pfsense включен DHCP? Поскольку сетевой адаптер, подключенный к модему, имеет динамический IP-адрес, я установил для XenServer динамический IP-адрес с включенным DHCP. Это правильная конфигурация с вашими предложениями? Jauyzed 7 лет назад 0
Я получил эту настройку, за исключением нескольких глюков. Интерфейс локальной сети полностью работает в подсети 10.1.1.0 с беспроводной точкой доступа, но я не могу подключиться к интерфейсу xenserver с xencenter VNC. Xenserver имеет ip как 10.1.1.11, у меня есть машина с Windows, подключенная по интерфейсу LAN с xencenter. Jauyzed 7 лет назад 0
@Jauyzed разъемы VNC в Dom0 прослушивают порты 590x, где находится 5900 Dom0, 5900 - первая виртуальная машина и т. Д., Но проблема в том, что XEN связывает его с 127.0.0.1, поэтому он не разрешает подключаться к нему из виртуальной машины. Проверьте это [ссылка] (https://www.citrix.com/blogs/2011/02/18/using-vnc-to-connect-to-a-xenserver-vms-console/) для получения дополнительной информации об этом и решении как решить это Alex 7 лет назад 0
Настройка брандмауэра позволила мне получить доступ к виртуальной машине VNC. Я создал сервер openVPN с туннельным адресом 10.8.0.0/24. Я могу подключиться к VPN-серверу извне, но не вижу никаких машин. Это снова связано с брандмауэром или подсетями? Jauyzed 7 лет назад 0

Похожие вопросы