Hjälp med nätverk (pfSense virtuellt)

Permalänk
Medlem

Hjälp med nätverk (pfSense virtuellt)

Hej alla,
Nu är det så att jag funderar på skrota min Linksys 320N med DD-Wrt och ersätta den med pfsense (Virtuellmaskin). Men jag vet inte riktigt om det kommer fungera eller omdet är genomförbart.
Just nu så är tanken att jag sätter upp pfsense så att jag lär mig något samt att det kan vara bra att ha nätverkkunskaperna i framtiden, samtidigt som jag lär mig ESXi.

Så här ser mitt nätverk ut IDAG:

Som ni ser så går internetsladden direkt till WAN porten på min Linksys som senare delar ut IP till andra maskinerna.
Min server ESXi maskinen får sin IP via Linksys, gäller även alla virtuella maskiner.

Men nu undrar ajg om jag kan sätta upp mitt nätverk så här:

Esxi maskinen har två nätverkskort och så är pfsense en virutellmaskin som ska sköta allt (dhcp, routing etc). Har även en trådlösnätverkskort som jag kommer montera in så fort jag får den så den kommer då agera som en AP.

Så här ser det ut i vSphere: (!!! Jag har alltså inte kopplat in internetsladden direkt till WAN porten utan den går fortfarande via Linksys. !!!)

WAN Porten = Intel Nic (Här går internetsladden direkt in i den porten)
LAN Porten = Integrerade nätverkskortet. (pfsense skapar magi och delar ut IP via LAN porten till switchen)

Jag har alltså inte börjat flytta runt sakerna utan jag behöver veta om det går att göra som det är på bilden eller om jag måste göra något annat för att det ska fungera som första bilden.

Kan det bli problem att ha denna konfig?

Permalänk
Medlem

Funkar utmärkt att göra exakt som du tänkt, precis så kör jag själv. Så länge man tänker i banorna att i ESXi agerar varje fysiskt nätverkskort som en switch istället för ett nätverkskort blir det mycket enklare att få grepp om det hela.

Pfsense kommer att dela ut ip-adresser till till de datorerna som ligger på samma lan ur pfsenses syn (i ditt fall vSwitch0). Det vill säga både virtuella maskiner och de som är kopplade till det fysiska nätverkskortet som ligger på samma lan (vmnic0).

Kör hårt, fråga om det är något som är oklart

Visa signatur

Hörlurssetup: Cambridge Audio DacMagic + SPL Phonitor 2 + AKG K812
Setup jobbet: Hegel HD11 + Argon HA1 + AKG K701
Sambons ljud: O2+ODAC + AKG K712
Övrigt grejs: Little Dot MKIII, JDS cMoyBB, Q701, K319, K240
Vadå AKG fanboy? Har ett faktiskt ett par DT770 också!

Permalänk
Medlem

Har kört så hemma i drygt ett år nu med pfsense, har tre nätverkskkort i maskinen ett för wan, ett för lan och ett för administration mot esxi.

Visa signatur

AMD Ryzen 7 5800XASUS Prime X570-P64 GB DDR4WD Black SN850 M.2 - 1TBNvidia GeForce GTX 1060 6 GBCorsair RM750X V2DEEPCOOL GAMMAXX L240 V2Fractal Design Define R5

Permalänk
Medlem

Intressant, man kanske skulle virutalisera pfSense och spara en burk som står igång... Har i dagsläget en dedikerad burk som server och en dedikerad burk som router. En rokad är på gång med ny dator in, kanske blir att se över lösningen. Känns ju lättare om man har stöd av några som redan har en sån lösning igång och tuggar

Visa signatur

Jobbar som IT-konsult och driver https://datarymden.se med internet- och colocationtjänster i Umeå. Erbjuder hosting av servrar till rimliga priser, både tower och rackmonterade.

Permalänk
Medlem

Det där kommer fungera kanon. Glöm dock inte att sätta en statisk adress på management i esxi, annars blir den oåtkommlig om inte pfsense är igång eller har startat.

Permalänk
Medlem
Skrivet av fisk1n:

Intressant, man kanske skulle virutalisera pfSense och spara en burk som står igång... Har i dagsläget en dedikerad burk som server och en dedikerad burk som router. En rokad är på gång med ny dator in, kanske blir att se över lösningen. Känns ju lättare om man har stöd av några som redan har en sån lösning igång och tuggar

Absolut, gör det! ESXi-biten är inte svår, finns en riktigt bra nybörjarguide i ämnet här på sweclockers för att komma igång http://www.sweclockers.com/forum/140-guider/1134186-guide-egen-server-virtualisera-och-fa-mer-ur-din-hemma-server/. Den tar inte upp själva nätverksbiten, men det löser vi.

Visa signatur

Hörlurssetup: Cambridge Audio DacMagic + SPL Phonitor 2 + AKG K812
Setup jobbet: Hegel HD11 + Argon HA1 + AKG K701
Sambons ljud: O2+ODAC + AKG K712
Övrigt grejs: Little Dot MKIII, JDS cMoyBB, Q701, K319, K240
Vadå AKG fanboy? Har ett faktiskt ett par DT770 också!

Permalänk
Medlem

Jo de väl mest nätverksbiten som jag försöker förstå mig på. Nästan för abstrakt för mig.

Väntar bara på mitt trådlösa nätverkskort ska komma så jag kan börja riva ner nätverket och koppla om

Permalänk
Medlem

Den enda förbättringen jag ser är att om du har möjlgihet så tryck ett tredje kort i ESX burken. Då kan du ha ett kort rent för management av host burken. Det blir ännu enklare om du kan ha olika märken på korten.

I övrigt har jag kört på samma lösning men med Hyper-V och ISA server i 3-4 år nu. Funkar kalas.

Visa signatur

Arbetsdator: HFX Mini. Ryzen 3600, GTX1650. Skärmar: Dell 2415

Permalänk
Medlem
Skrivet av mats42:

Den enda förbättringen jag ser är att om du har möjlgihet så tryck ett tredje kort i ESX burken. Då kan du ha ett kort rent för management av host burken. Det blir ännu enklare om du kan ha olika märken på korten.

I övrigt har jag kört på samma lösning men med Hyper-V och ISA server i 3-4 år nu. Funkar kalas.

Kan man inte skapa VLAN så man skyddar management interfacet från andra hosts?

Permalänk
Medlem

Känn som att det borde räcka att management på ett eget subnät som inte routas vidare någonstans för att isolera det någelunda? Eller vad är poängen med att ha ett tredje kort för det?

Visa signatur

Jobbar som IT-konsult och driver https://datarymden.se med internet- och colocationtjänster i Umeå. Erbjuder hosting av servrar till rimliga priser, både tower och rackmonterade.

Permalänk
Medlem

Vlan ka man använda om man har HW för det. Dock är det ju lite meckigt att konfa VLAN på Hosten från början då du får göra det från consolen.

Tanken med eget mgmtif är att du inte riskerar någon snekonfig så att det hamnar fel. Ska du ha det på annat subnät så måste du ju ändå routa det internt så det blir ändå en meckigare lösning

Visa signatur

Arbetsdator: HFX Mini. Ryzen 3600, GTX1650. Skärmar: Dell 2415

Permalänk
Medlem

Det är faktiskt lite overkill i detta sammanhanget att ha ett separat nät/kort för management.

Exempel ..
pfSense LAN - 192.168.1.1
pfSense LAN DHCP range - 192.168.1.100-200
ESXi static management - 192.168.1.5

Det är upp till dig, men krångla inte till det i onödan

Visa signatur

- none -

Permalänk
Medlem
Skrivet av mats42:

Tanken med eget mgmtif är att du inte riskerar någon snekonfig så att det hamnar fel. Ska du ha det på
annat subnät så måste du ju ändå routa det internt så det blir ändå en meckigare lösning

Varför måste man routa det internt? Bara att sätta sin arbets-station i samma subnät (att man har 2 eller fler ip på den då, en vanlig och en för management) så kan man kommunicera på l2 bara.

Iallafall har jag löst det så på några av mina servrar, har satt ett 10.x.x.x-ip och låter ssh lyssna på bara det IPt, och sen studsar jag via en annan server som sitter i samma l2-switch för att komma åt den via ssh. På så vis slipper man ha ssh öppet på den publika IPn. Tänker att principen borde vara typ samma i detta fall. Å andra sidan är det kanske inte jättestort behov av att separera det av säkerhets-skäl när man siitter bakom samma NAT i ett hemnätverk. Om man nu inte har mycket löst folk som hackar ens wifi eller liknande

Visa signatur

Jobbar som IT-konsult och driver https://datarymden.se med internet- och colocationtjänster i Umeå. Erbjuder hosting av servrar till rimliga priser, både tower och rackmonterade.

Permalänk
Medlem

Hur kommer det sig att jag inte kan testa NAT internt utan måste testa det utanför nätverket

När jag skriver in t.ex. www.domän.se så kommer jag direkt till pfsens loginruta men när ajg går in via telefonen som kommer jag till sidan. Jag har forwardat port 80 till en av virtuella maskiner som har en statisk IP

Permalänk
Medlem
Skrivet av Kibstah:

Hur kommer det sig att jag inte kan testa NAT internt utan måste testa det utanför nätverket

När jag skriver in t.ex. www.domän.se så kommer jag direkt till pfsens loginruta men när ajg går in via telefonen som kommer jag till sidan. Jag har forwardat port 80 till en av virtuella maskiner som har en statisk IP

Har du angett att pfsense kör på domän.se? Det kan ju vara det som spökar. Vad händer om du surfar till din externa ip?

Permalänk
Medlem
Skrivet av jocke92:

Har du angett att pfsense kör på domän.se? Det kan ju vara det som spökar. Vad händer om du surfar till din externa ip?

jag har satt domän som "kibstah.local" och när jag surfar till kibstah.se så kommer jag direkt till inloggningsrutan av pfsense.

och I pfsense under NAT är regeln "WAN TCP * * WAN ADDR 80(HTTP) 192.168.1.102 80(HTTP)"

Permalänk
Medlem

Ta och titta på split DNS för att få din sida at lira även internt.
http://doc.pfsense.org/index.php/Why_can%27t_I_access_forward...

Permalänk
Medlem
Skrivet av Kibstah:

jag har satt domän som "kibstah.local" och när jag surfar till kibstah.se så kommer jag direkt till inloggningsrutan av pfsense.

och I pfsense under NAT är regeln "WAN TCP * * WAN ADDR 80(HTTP) 192.168.1.102 80(HTTP)"

Du borde kanske kunne mappa om kibstah.se i dns'en i pfsense till den lokala adressen. När trafiken kommer internt mot wan-ip't och du kör en portforward reder inte pfsense riktigt ut trafiken och det sker ingen portforward.

Permalänk
Medlem

En annan fråga, med min gamla router WRT320N så kunde jagf ladda ner i 11.2mb/s men nu kommer jag bara upp i 8.8mb/s

Vad är det som har hänt?

Permalänk
Skrivet av Kibstah:

En annan fråga, med min gamla router WRT320N så kunde jagf ladda ner i 11.2mb/s men nu kommer jag bara upp i 8.8mb/s

Vad är det som har hänt?

Vad har du för hårdvara i ESXi burken? CPU + Minne? Det låter som ett prestanda fel. ESXi är lite mer krävande när det gäller hårdvara. Plus när man kör virtuellt nätverk så drar det en del minne.

Visa signatur

Phenom II X6 1090T BE, GA-790x-ud3p, 8gb Corsair XMS2 800Mhz, Radeon R9 270x, 120gb Kingston HyperX Fury, 500GB Seagate, 2TB Seagate.

Permalänk
Medlem
Skrivet av Demonlord:

Vad har du för hårdvara i ESXi burken? CPU + Minne? Det låter som ett prestanda fel. ESXi är lite mer krävande när det gäller hårdvara. Plus när man kör virtuellt nätverk så drar det en del minne.

Moderkort: Shuttle SH67H3
Minne: 16gb 1300mhz
CPU: Intel i7 2600

Virtuella maskinen har 1 core och 512mb ram tilldelad till sig.

Permalänk

Testa tilldela den mer RAM än så och se vad som händer.

Visa signatur

Argaste

Permalänk
Medlem

Hmm. Någon som vet varför man kan pinga hostname på datorer som är kopplade till switchen (fysiska) men när man ska pinga virtuella maskiner så fungerar det inte. DNSen verkar inte mappa hostname på virtuella maskiner

Någon som vet?

Permalänk
Medlem
Skrivet av Kibstah:

Hmm. Någon som vet varför man kan pinga hostname på datorer som är kopplade till switchen (fysiska) men när man ska pinga virtuella maskiner så fungerar det inte. DNSen verkar inte mappa hostname på virtuella maskiner

Någon som vet?

Vet inte hur du felsökt. Vad är det för operativsystem på de virtuella? Kan själv inte minnas att jag haft det problemet.

Permalänk
Medlem
Skrivet av jocke92:

Vet inte hur du felsökt. Vad är det för operativsystem på de virtuella? Kan själv inte minnas att jag haft det problemet.

En Windows 7 och en debian maskin. om jag går in i ARP table ser jag att 192.168.1.102 - KibstaH-PC (Win 7) Den syns men om jag försöker pinga "KibstaH-PC" så får den ingen svar o jag har kollat den maskinens brandvägg att den accepterar ICMP paket.

Debian maskinen har jag satt vortex som hostname och i ARP table så finns IPt men inte hostnamen.

Det går att pinga från dessa maskiner till min stationäras hostname men jag kan inte göra tvärtom. Alltså jag kan inte pinga hostname utan jag måste pinga IP.

Permalänk
Medlem
Skrivet av Kibstah:

En Windows 7 och en debian maskin. om jag går in i ARP table ser jag att 192.168.1.102 - KibstaH-PC (Win 7) Den syns men om jag försöker pinga "KibstaH-PC" så får den ingen svar o jag har kollat den maskinens brandvägg att den accepterar ICMP paket.

Debian maskinen har jag satt vortex som hostname och i ARP table så finns IPt men inte hostnamen.

Det går att pinga från dessa maskiner till min stationäras hostname men jag kan inte göra tvärtom. Alltså jag kan inte pinga hostname utan jag måste pinga IP.

Har du specifikt tillåtit icmp? Testa slå av brandväggen.

I ubuntu så lär du installera winbind och editera /etc/nsswitch.conf så det står något i stil med "hosts: files wins dns" (wins är det du ska lägga till).

Visa signatur

CCNP