Virtualisiertes pfSense 2.0.1 beeinflusst die Hyper-V-Host-Konnektivität? Arp?

8

Die Einrichtung

Ich habe pfSense 2.0.1 (64-Bit-AMD-Image) als Host in Hyper-V eingerichtet. Wie in anderen Blogs beschrieben, musste ich "ifconfig down deX" und "ifconfig up deX" ausführen, um das Netzwerk zum Laufen zu bringen.

Der Server (HP unter Windows 2008 R2) ist mit zwei physischen Netzwerkkarten ausgestattet.

  • Die erste physische Netzwerkkarte (Port 1) ist im Host nicht konfiguriert (nur als Hyper-V-Switch, siehe weiter unten).

  • Die zweite physische Netzwerkkarte (Port 2) ist mit einem Netzwerk für die Fernverwaltung (Standardnetzwerk der C-Klasse) konfiguriert. Ich denke, beide Netzwerkkarten sind mit demselben Switch verbunden und VLAN = Standard (die physische Verkabelung wurde von meinem Co-Location-Anbieter durchgeführt).

In Hyper-V sind die folgenden virtuellen Netzwerke definiert:

  • intern : Internes Netzwerk der virtuellen Maschine, das für die Kommunikation zwischen VMs verwendet wird („LAN“, das die Windows-Server verbindet).

  • Internet : Virtuelles Netzwerk, das als WAN-Verbindung für pfSense verwendet wird. Dieses Netzwerk ist der ersten physischen Netzwerkkarte (Port 1) des Servers zugeordnet. Das virtuelle Netzwerk ist für Hyper-V reserviert und wird nicht mit dem Host geteilt.

In meinem Setup verwende ich pfSense als Internet-Firewall für einige virtuelle Maschinen (Windows-Server), die ebenfalls auf demselben Hyper-V-Host ausgeführt werden.

Die Windows-Boxen verwenden pfSense als Standard-Gateway, und ich habe erfolgreich Windows-Updates über die pfSense-Firewall auf alle VMs heruntergeladen.

Für die Umleitung eingehender Dienste wird pfSense mit 1-1 NAT eingerichtet, um die IP-Adressen der ISPs den internen Adressen 172.16.0.0/16 in den Windows-Boxen zuzuordnen.

Das Problem

Das Problem, das ich hatte, ist, dass nach erfolgreicher Arbeit mit einer RDP-Verbindung über das Verwaltungsnetzwerk (Port 2) die Verbindung einfach unterbrochen wird und die gesamte Netzwerkverbindung zum Server und zu den VMs unterbrochen wird. Bevor das Problem auftrat, habe ich zwei Konfigurationsänderungen vorgenommen.

  1. Die Verwaltungs-IP-Adresse wurde von Port 1 auf Port 2 verschoben. Diese Änderung wurde erfolgreich überprüft, indem RDP eine Stunde später auf der neuen Schnittstelle (Port 2 wie oben beschrieben) erneut verbunden wurde.

  2. Habe einige Konfigurationen für die virtuellen IPs in pfSense vorgenommen (für das 1-1 NAT erforderlich).

Einige Minuten später wurde die Verbindung zur Maschine unterbrochen.

Was mich verwundert, ist, dass die Management-Netzwerkverbindung (Port 2) von Hyper-V unberührt bleiben soll, da sie nicht in Hyper-V integriert ist. Es scheint jedoch eine Fehlerausbreitung von pfSense zu geben (unter Verwendung der Netzwerkkarte an Port 1).

Wir hatten heute ein ähnliches Problem, als wir nur eine Netzwerkkarte verwendeten (Port 1, der von Hyper-V / pfSense und dem Host gemeinsam genutzt wird). Das Problem, das wir dann bekamen, war, dass wir beim Stoppen von pfSense den Host anpingen konnten und beim erneuten Starten der Ping nicht mehr funktionierte (kein IP-Konflikt, was wir wissen).

Der pfSense wird von der ISO installiert und das "MAC Address Spoofing" ist standardmäßig = off.

Da sich die Problemnaht zwischen den beiden physischen Ports ausbreitet, habe ich die Vermutung, dass dies möglicherweise damit zu tun hat, dass ARP nicht richtig funktioniert.

Irgendwelche Einblicke Kommentare dazu sehr geschätzt.

/ J.

Jon Martinsson
quelle
Sie haben das Problem gottesfürchtig erklärt. Aber Sie sagen nicht, welche Änderungen Sie vorgenommen haben. Können Sie die tatsächlichen (oder verschleierten) IP-Adressen auflisten, die als virtuelle und Verwaltungs-IP verwendet werden, sowie die tatsächlichen Änderungen, die in den Teilen 1 und 2 vorgenommen wurden?
Andy Shinn
Debuggen Sie dies lokal (gleicher Switch für Server und Ihren Client)? Ich frage, weil Sie annehmen könnten, dass pfSense / Hyper-V die Ursache des Problems sind, obwohl tatsächlich eine Firewall / ein Proxy irgendwo Ihre zustandsbehafteten Verbindungen abläuft. Versuchen Sie, so nah wie möglich an diesem Host zu sein, und lassen Sie tcpdump und Wireshark unter pfSense bzw. Windows laufen. Überprüfen Sie dann, was passiert. Überprüfen Sie außerdem, da Sie die Schnittstellen ausgetauscht haben, alles im virtuellen Switch von Hyper-V.
Giovanni Tirloni
Haben Sie den Promiscuous-Modus auf der virtuellen Oberfläche aktiviert? Sie müssen dies für Firewalls aktivieren: Standardmäßig empfängt der virtuelle Netzwerkadapter eines Gastbetriebssystems nur dafür vorgesehene Frames. Wenn Sie den Netzwerkadapter des Gasts in den Promiscuous-Modus versetzen, werden alle auf dem virtuellen Switch übergebenen Frames empfangen, die gemäß der VLAN-Richtlinie für die zugeordnete Portgruppe zulässig sind. Dies kann nützlich sein für die Überwachung der Intrusion Detection oder wenn ein Sniffer den gesamten Datenverkehr im Netzwerksegment analysieren muss.
MrLightBulp

Antworten:

1

Haben Sie die Ereignisanzeige auf dem W2008R2 überprüft?

Dies kann an den von Windows maximal zulässigen TCP-Verbindungen liegen: https://technet.microsoft.com/en-us/library/cc759700%28WS.10%29.aspx

pfSense als Software-Router verwendet viele Verbindungen, die geöffnet, aber nicht geschlossen werden können, Wartestatus usw. Durch diese Art der Netzwerknutzung können die Standardgrenzen des TCP-Stacks erreicht werden, und Windows kann weitere Verbindungen dieses Typs schließen oder nicht zulassen. In diesem Fall überprüfen Sie zunächst die Ereignisanzeige, um festzustellen, ob dort etwas gemeldet wurde.

NetVicious
quelle
Können Sie diese Antwort erweitern?
BE77Y
pfSense als Software-Router verwendet viele Verbindungen, die geöffnet, aber nicht geschlossen werden können, Wartestatus usw. Durch diese Art der Netzwerknutzung können die Standardgrenzen des TCP-Stacks erreicht werden, und Fenster können geschlossen werden oder weitere Verbindungen dieses Typs nicht zulassen. In diesem Fall überprüfen Sie zunächst die Ereignisanzeige, um festzustellen, ob dort etwas gemeldet wurde.
NetVicious
Geschätzt - aber es wäre am nützlichsten als Ergänzung zu Ihrer obigen Antwort. :)
BE77Y
0

Dies klingt eher nach einem Routing-Problem zwischen pfSense und den anderen Geräten ...

Wenn Sie die virtuellen Maschinen hinter pFSense als Firewall verwenden, benötigen Sie sie jedoch in einem anderen Subnetz als die PCs auf der LAN. Möglicherweise müssen Sie eine zusätzliche Schnittstelle in pfSense einrichten (z. B. LAN2). Ordnen Sie sie dann im VM-Host einem privaten VSwitch zu, den die anderen VMs verwenden. Oder markieren Sie den Datenverkehr im vSwitch und markieren Sie ihn mit einem separaten vlan.

Ich musste dies schon oft auf VMWare tun. Auch für Ihre 1: 1 müssen Sie möglicherweise eine statische Netzwerkroutenzuordnung für diese als Beispiel hinzufügen. Ich habe gesehen, wie pfSe nse sein Routing durcheinander gebracht hat.

Auf diese Weise haben Sie ..

IINTERNET -> Wan0 -> pFSense -> LAN1-PCs.

                  pfSense -->LAN2 Virtual Machines.

Danach können Sie die Routing- und Firewall-Regeln besser steuern.

Hoffe das hilft, Prost ...

David Thomson
quelle