Как заставить работать bridge в pfsence на eSXI?

Question

[rebulldozzer]

Коллеги, товарищи! Нужна помощь. Работаю системным администратором, уже не совсем эникейщик, но до гуру еще далеко) Суть вопроса:
В датацентре стоит хост на ESXi, на нем стоит виртуалка с pfsence, все сервера на этом хосте подключены к сети через него.
Соответственное в ESXi 2 коммутатора wan и LAN, так же и в pfsence, сервера все подключены к lan.

Купили второй хост, поставили рядом, подключили их напрямую через LAN кабель. Стоит задача - чтобы все виртуалки на новом хосте и сам хост были в одной сети и шлюзом для них был pfsence.

Я добавил новый свитч на ESXi, добавил туда мой новый порт, который ведет ко 2-му серваку. Пробросил этот свитч в pfsence, добавляю его в бридж с LAN портом, где все виртуалки. Но после одного все виртуалки и новый хост не видят шлюз и он не пингуется. При чем от pfsence в офис проброшен VPN, и с офиса прекрасно попадаю на pfsence по тому же адресу, который является шлюзом для серверов.

Я вроде крутил фаервол, разрешил там все (может че то конечно и не разрешил) - ни как. При чем если не делать бридж, а сделать отдельную подсеть для нового хоста - все прекрасно работает, но так бы делать не хотелось.

Есть идеи с чем может быть связано? Или может я могу добавить новый порт в lan свитч pfsence? Я не знаю как. Благодарю за помощь.

Comments

[SunTechnik]

Почему новый сервер подключаетесь прямым линком, а не в существующий коммутатор?

У виртуального switch Lan есть физические порты в esxi?

[rebulldozzer]

У виртуального switch LAN нет физических портов, только виртуальные на каждом из серверов. Не уверен что понял первый вопрос. Исходя из того что понял - я бы с радостью запихнул физический порт, ведущий ко второму серверу в switch LAN, но я не понимаю как. Я ведь могу туда засунуть физический порт только как uplink. Неужели плевать и это все равно будет работать?

[Zerg89]

У виртуального switch LAN нет физических портов, только виртуальные и как он по вашему будет работать?

[Zerg89]

Как? заходите в свойства свича и назначаете ему порт физический с которым он может взаимодействовать(выже его через vsphere его конфигурируете?)

[Zerg89]

rebulldozzer, фиреол работает по принципу сверху вниз первое подходящее правило работает, остальное неработает

[rebulldozzer]

Zerg89, А ему в данный момент и не нужны физические порты, поскольку он соединен с pfsence, а на pfsense уже добавлен физический порт wan соответственной pfsence забит как шлюз, он обращается туда а pfsence уже посылает пакеты на визический порт wan

[rebulldozzer]

Сейчас это работает, но вот нужно к этим виртуальным портам добавить еще и физический, нужно чтобы они бы виртуальные и физические были в бридже, и могли обращаться через pfsence к физическому порту wan. В этом и загвоздка, когда я добавляю их в бридж, назначают брижду ip, аналогичный тому что стоял на LAN свитче - сеть пропадает, виртуалки не видят gateway

[rebulldozzer]

Смотрите что я думаю насчет добавления в свитч физического порта - там его можно добавить как аплинк, соответственно для виртуалок этот физический порт становится шлюзом а мне надо чтобы шлюзом был один из виртуальных портов, который подключен к pfsence. Хотя может быть и нет, надо это проверить, как буду у компа. В любом случае спасибо, если есть еще какие- то идеи я буду рад выслушать)

[Zerg89]

rebulldozzer, не получается так как он находится на другом хосте и не связан физически или если он находится на этом хосте то не имеет доступа к физической сети чтобы достучаться до роутера или соседнего хоста, если физика никуда не ведёт то the end как некрути

[Zerg89]

rebulldozzer, толи я не понимаю вашу схему подключения, как это вижу я у интерфейса нету ip-адреса там только мак адрес, а это на уровень ниже чем то что вы пытаетесь сделать и физика никуда не исчезает порт физической карты сервера для взаимодействия должен быть назначен свичу иначе он завернут внутрь, виртуалки друг друга видят, а то что за пределами виртуализации хоста(ноды)невидят

[rebulldozzer]

Смотрите, попробую по-другому объяснить. Вот есть виртуалка на хосте ESXi, она хочет пульнуть пакет, скажем на 8.8.8.8. У нее есть адаптер, виртуальный (подключённый к vswitch LAN) у адаптера в параметрах прописан gateway - ip адрес виртуалки pfsence (так же подключенный к vswitch LAN), она пуляет пакет по адресу шлюза - соответственно на виртуальный порт pfsence, pfsence в свою очередь проводит преобразование ip адресса (Nat) и после чего этот пакет кидает на порт WAN, который уже подключён к физическому порту, ведущему в интернет. Соответственно все виртуалки находятся в одной подсести, видят друг друга и если надо им в интернет - обращаются к pfsence. Так вот теперь мне надо подключить второй сервак к этой их внутренней подсети, и чтобы он так же как и те виртуалки мог обратиться в интернет через этот wan порт на pfsence. Вот я и пытаюсь засунуть физический интерфейс, ведущий ко второму серверу к виртуальным интерфейсам в vswitch LAN, чтобы второй сервер умел делать так же, как умеют делать виртуалки на первом

[Zerg89]

А все понял вам надо сделать один свич и несколько влан один из них должен смотреть в аплинк который назначен pfsence на выходном интерфейсе, а остальное только до pfsense который будет возвращать в локалку трафик или придётся играть маршрутами/шлюзом тоесть как пример для влан локалки ставим маску 10.0.0.0/8
192.168.0.0/24
172.0.0.0/16
А для всего остального 0.0.0.0/0

[Zerg89]

vswitch LAN работает ниже он про ip нифига не знает вы либо делаете это на уровне вм с разными вланами либо на уровне таблици маршрутизации внутри ос вм с двумя интерфейсами который смотрит одним интерфейсом в локалку с ограничением по маске подсети и без маски в другой интерфейс который может быть связан через второй vswith в сторону phsence

[Zerg89]

Чем меньше маска сети тем больше приоритет пересылки /32 наивысший и по нисходящей до 0

Answer 1

[rebulldozzer]

Большое спасибо помогающим. Решил вопрос добавлением физического порта, который ведет ко 2-му серверу в ESXi на vswitch LAN в качестве uplink. Это сразу заработало.