https://mobile.opennet.me/openforum/vsluhforumID1/94409.html Всем привет.<br>Ситуация такая: есть два vlana, реализованные на коммутаторе dlink посредством 802.1Q. Маршрутизатор на OS FreeBSD 9.1, родительский интерфейс соединен с транковым портом. В качестве файервола используется PF.<br>Нужно сделать так, чтобs машины из одного Vlan-a могли заходить на машины другого.<br>Проблема в том что не могу понять механизм как это реализовать. Маршрутизация включена.<br>Я представляю себе это так:<br>Мне сначала надо добавить статический маршрут из одной подсети(vlan-a) в другую, а затем написать соответствующее правило в pf. Я правильно все понимаю?<br> https://mobile.opennet.me/openforum/vsluhforumID1/94409.html#26 Wed, 06 Mar 2013 06:37:08 GMT Всем спасибо за ответы!<br>Загвоздка как раз и была в том что по определению все должно было работать.<br>В общем заработало все само после тотальной перезагрузке всего.<br>Что это было я так и не понял, но зато уровень знаний в ходе попыток найти решение возникшей проблемы заметно повысился. <br>Спасибо еще раз за советы. <br>Критику воспринял буду расти!<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID1/94409.html#25 Tue, 05 Mar 2013 06:45:04 GMT &gt;&gt; если фаерволл выключен и ничего не фильтруется и включен роутинг (gateway_enable="YES" <br>&gt;&gt; sysctl net.inet.ip.forwarding=1) то все будет работать.<br><br>НАЧАЛО БРЕДЯТИНЫ!!!!!<br><br>&gt; Хм. Вот пришел от машины из одного влана пакет на транковый порт <br>&gt; коммутатора, который адресован в другой влан, он посмотрит его кадр, а <br>&gt; там сказано что пакет из влана отличного от того в который <br>&gt; он пытается попасть, и не пустит его.<br><br>Промежуточный конец бредятины!!!!!!<br>Коммутатору неведомо что там в этом пакете, т.к. коммутатор обрабатывает фреймы, он посмотрит mac назначения (т.е. мас шлюза) и благополучно отфутболит оный на шлюз, шлюз из фрейма "вынет" IP пакет, проверит IP адрес назначения и по таблице маршрутизации определит в какой интерфейс его отдать, изменнит в IP пакете поля TTL и checksumm, сформирует НОВЫЙ ФРЕЙМ и передаст его коммутатору уже в другом vlan-е, коммутатор будет обрабатывать этот фрейм уже в новом влане и по своим правилам.<br>Т.е. передача ОДНОГО IP пакета из одной подсети в другую для коммутато https://mobile.opennet.me/openforum/vsluhforumID1/94409.html#24 Thu, 28 Feb 2013 10:05:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt; виланы, ip-адрес шлюза какой указан? смотрит ли он в твой vlan-роутер <br>&gt;&gt; на freebsd? и если да, и ipfw ничего не блокирует, то <br>&gt;&gt; это зовется мистикой, то есть такого не бывает.<br>&gt;&gt; ipfw add 1 allow ip from any to any <br>&gt;&gt; и если после этого ничего не запингалось - то ищи проблему в <br>&gt;&gt; настройках виланов и коммутаторов, ага? кстати, а из сетей адреса интерфейсов <br>&gt;&gt; сервера пингуются?<br>&gt; Файервол вообще отключен. В качестве шлюза на локальных машинах указан интерфейс влана <br>&gt; на фре. С локальных машин пингуются влан интерфейсы. Может где чего <br>&gt; не включил?<br><br>Прочел все. Объяснять бесполезно. Начинайте изучение хотя бы отсюда http://ru.wikipedia.org/wiki/TCP/IP<br><br>И поймите на каком уровне стека работают протоколы маршрутизации (то есть сетевые сервисы типа ftp,http) и на каком уровне стека работают протоколы "видеть сетевое окружение и шары".<br><br>PS<br>L2+L3 - смотреть в первую очередь.<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID1/94409.html#23 Wed, 27 Feb 2013 06:06:38 GMT &gt; ЭммммХмммм... так, расскажи пожалуйста, а на виндовых машинах, которые смотрят в твои <br>&gt; виланы, ip-адрес шлюза какой указан? смотрит ли он в твой vlan-роутер <br>&gt; на freebsd? и если да, и ipfw ничего не блокирует, то <br>&gt; это зовется мистикой, то есть такого не бывает.<br>&gt; ipfw add 1 allow ip from any to any <br>&gt; и если после этого ничего не запингалось - то ищи проблему в <br>&gt; настройках виланов и коммутаторов, ага? кстати, а из сетей адреса интерфейсов <br>&gt; сервера пингуются?<br><br>Файервол вообще отключен. В качестве шлюза на локальных машинах указан интерфейс влана на фре. С локальных машин пингуются влан интерфейсы. Может где чего не включил?<br> https://mobile.opennet.me/openforum/vsluhforumID1/94409.html#22 Tue, 26 Feb 2013 15:39:38 GMT &gt; Что значит "виндовая сетка"? Машины из одной сети не пингуют машины в <br>&gt; другой! Маршрутизация включена: gateway_enable="YES". Как мне не прописывая статику на <br>&gt; локальных машинах настроить маршрутизацию при которой пинги будут ходить? Было предложение <br>&gt; с мостом. А еще варианты есть?<br><br>ЭммммХмммм... так, расскажи пожалуйста, а на виндовых машинах, которые смотрят в твои виланы, ip-адрес шлюза какой указан? смотрит ли он в твой vlan-роутер на freebsd? и если да, и ipfw ничего не блокирует, то это зовется мистикой, то есть такого не бывает.<br>ipfw add 1 allow ip from any to any<br>и если после этого ничего не запингалось - то ищи проблему в настройках виланов и коммутаторов, ага? кстати, а из сетей адреса интерфейсов сервера пингуются?<br> https://mobile.opennet.me/openforum/vsluhforumID1/94409.html#21 Tue, 26 Feb 2013 13:01:29 GMT Что значит "виндовая сетка"? Машины из одной сети не пингуют машины в другой! Маршрутизация включена: gateway_enable="YES". Как мне не прописывая статику на локальных машинах настроить маршрутизацию при которой пинги будут ходить? Было предложение с мостом. А еще варианты есть? <br> <br><br><br><br> https://mobile.opennet.me/openforum/vsluhforumID1/94409.html#20 Tue, 26 Feb 2013 10:19:03 GMT &gt;[оверквотинг удален]<br>&gt; Ситуация такая: есть два vlana, реализованные на коммутаторе dlink посредством 802.1Q. <br>&gt; Маршрутизатор на OS FreeBSD 9.1, родительский интерфейс соединен с транковым портом. <br>&gt; В качестве файервола используется PF.<br>&gt; Нужно сделать так, чтобs машины из одного Vlan-a могли заходить на машины <br>&gt; другого.<br>&gt; Проблема в том что не могу понять механизм как это реализовать. Маршрутизация <br>&gt; включена.<br>&gt; Я представляю себе это так: <br>&gt; Мне сначала надо добавить статический маршрут из одной подсети(vlan-a) в другую, а <br>&gt; затем написать соответствующее правило в pf. Я правильно все понимаю?<br><br>ну что Вы себе и другим мозги парите. Вы пробовали пинг из одной сети в другую ? У Вас же в виндовой сетке неработает, а по ИП больше чем уверен , все ништяк ?<br><br> https://mobile.opennet.me/openforum/vsluhforumID1/94409.html#19 Tue, 26 Feb 2013 10:08:43 GMT <br>&gt; Хм. Вот пришел от машины из одного влана пакет на транковый порт <br>&gt; коммутатора, который адресован в другой влан, он посмотрит его кадр, а <br>&gt; там сказано что пакет из влана отличного от того в который <br>&gt; он пытается попасть, и не пустит его.<br>&gt; Так получается что нужно вообще отказаться от вланов на коммутаторе и настраивать <br>&gt; их чисто на фре? И там уже на фаерволе писать правила <br>&gt; запрещающие или разрешающие трафик из определенных вланов.<br><br>вланы оставь на коммутаторе<br>на фре засунь их в один bridge и там разруливай через ebtables<br>я так в свое время делал<br> https://mobile.opennet.me/openforum/vsluhforumID1/94409.html#18 Tue, 26 Feb 2013 09:43:13 GMT &gt; если фаерволл выключен и ничего не фильтруется и включен роутинг (gateway_enable="YES" <br>&gt; sysctl net.inet.ip.forwarding=1) то все будет работать.<br><br>Хм. Вот пришел от машины из одного влана пакет на транковый порт коммутатора, который адресован в другой влан, он посмотрит его кадр, а там сказано что пакет из влана отличного от того в который он пытается попасть, и не пустит его. <br>Так получается что нужно вообще отказаться от вланов на коммутаторе и настраивать их чисто на фре? И там уже на фаерволе писать правила запрещающие или разрешающие трафик из определенных вланов. <br><br><br>