Die Einrichtung
Ich habe pfSense 2.0.1 (64-Bit-AMD-Image) als Host in Hyper-V eingerichtet. Wie in anderen Blogs beschrieben, musste ich "ifconfig down deX" und "ifconfig up deX" ausführen, um das Netzwerk zum Laufen zu bringen.
Der Server (HP unter Windows 2008 R2) ist mit zwei physischen Netzwerkkarten ausgestattet.
Die erste physische Netzwerkkarte (Port 1) ist im Host nicht konfiguriert (nur als Hyper-V-Switch, siehe weiter unten).
Die zweite physische Netzwerkkarte (Port 2) ist mit einem Netzwerk für die Fernverwaltung (Standardnetzwerk der C-Klasse) konfiguriert. Ich denke, beide Netzwerkkarten sind mit demselben Switch verbunden und VLAN = Standard (die physische Verkabelung wurde von meinem Co-Location-Anbieter durchgeführt).
In Hyper-V sind die folgenden virtuellen Netzwerke definiert:
intern : Internes Netzwerk der virtuellen Maschine, das für die Kommunikation zwischen VMs verwendet wird („LAN“, das die Windows-Server verbindet).
Internet : Virtuelles Netzwerk, das als WAN-Verbindung für pfSense verwendet wird. Dieses Netzwerk ist der ersten physischen Netzwerkkarte (Port 1) des Servers zugeordnet. Das virtuelle Netzwerk ist für Hyper-V reserviert und wird nicht mit dem Host geteilt.
In meinem Setup verwende ich pfSense als Internet-Firewall für einige virtuelle Maschinen (Windows-Server), die ebenfalls auf demselben Hyper-V-Host ausgeführt werden.
Die Windows-Boxen verwenden pfSense als Standard-Gateway, und ich habe erfolgreich Windows-Updates über die pfSense-Firewall auf alle VMs heruntergeladen.
Für die Umleitung eingehender Dienste wird pfSense mit 1-1 NAT eingerichtet, um die IP-Adressen der ISPs den internen Adressen 172.16.0.0/16 in den Windows-Boxen zuzuordnen.
Das Problem
Das Problem, das ich hatte, ist, dass nach erfolgreicher Arbeit mit einer RDP-Verbindung über das Verwaltungsnetzwerk (Port 2) die Verbindung einfach unterbrochen wird und die gesamte Netzwerkverbindung zum Server und zu den VMs unterbrochen wird. Bevor das Problem auftrat, habe ich zwei Konfigurationsänderungen vorgenommen.
Die Verwaltungs-IP-Adresse wurde von Port 1 auf Port 2 verschoben. Diese Änderung wurde erfolgreich überprüft, indem RDP eine Stunde später auf der neuen Schnittstelle (Port 2 wie oben beschrieben) erneut verbunden wurde.
Habe einige Konfigurationen für die virtuellen IPs in pfSense vorgenommen (für das 1-1 NAT erforderlich).
Einige Minuten später wurde die Verbindung zur Maschine unterbrochen.
Was mich verwundert, ist, dass die Management-Netzwerkverbindung (Port 2) von Hyper-V unberührt bleiben soll, da sie nicht in Hyper-V integriert ist. Es scheint jedoch eine Fehlerausbreitung von pfSense zu geben (unter Verwendung der Netzwerkkarte an Port 1).
Wir hatten heute ein ähnliches Problem, als wir nur eine Netzwerkkarte verwendeten (Port 1, der von Hyper-V / pfSense und dem Host gemeinsam genutzt wird). Das Problem, das wir dann bekamen, war, dass wir beim Stoppen von pfSense den Host anpingen konnten und beim erneuten Starten der Ping nicht mehr funktionierte (kein IP-Konflikt, was wir wissen).
Der pfSense wird von der ISO installiert und das "MAC Address Spoofing" ist standardmäßig = off.
Da sich die Problemnaht zwischen den beiden physischen Ports ausbreitet, habe ich die Vermutung, dass dies möglicherweise damit zu tun hat, dass ARP nicht richtig funktioniert.
Irgendwelche Einblicke Kommentare dazu sehr geschätzt.
/ J.
Antworten:
Haben Sie die Ereignisanzeige auf dem W2008R2 überprüft?
Dies kann an den von Windows maximal zulässigen TCP-Verbindungen liegen: https://technet.microsoft.com/en-us/library/cc759700%28WS.10%29.aspx
pfSense als Software-Router verwendet viele Verbindungen, die geöffnet, aber nicht geschlossen werden können, Wartestatus usw. Durch diese Art der Netzwerknutzung können die Standardgrenzen des TCP-Stacks erreicht werden, und Windows kann weitere Verbindungen dieses Typs schließen oder nicht zulassen. In diesem Fall überprüfen Sie zunächst die Ereignisanzeige, um festzustellen, ob dort etwas gemeldet wurde.
quelle
Dies klingt eher nach einem Routing-Problem zwischen pfSense und den anderen Geräten ...
Wenn Sie die virtuellen Maschinen hinter pFSense als Firewall verwenden, benötigen Sie sie jedoch in einem anderen Subnetz als die PCs auf der LAN. Möglicherweise müssen Sie eine zusätzliche Schnittstelle in pfSense einrichten (z. B. LAN2). Ordnen Sie sie dann im VM-Host einem privaten VSwitch zu, den die anderen VMs verwenden. Oder markieren Sie den Datenverkehr im vSwitch und markieren Sie ihn mit einem separaten vlan.
Ich musste dies schon oft auf VMWare tun. Auch für Ihre 1: 1 müssen Sie möglicherweise eine statische Netzwerkroutenzuordnung für diese als Beispiel hinzufügen. Ich habe gesehen, wie pfSe nse sein Routing durcheinander gebracht hat.
Auf diese Weise haben Sie ..
IINTERNET -> Wan0 -> pFSense -> LAN1-PCs.
Danach können Sie die Routing- und Firewall-Regeln besser steuern.
Hoffe das hilft, Prost ...
quelle