Hjälp med nätverk (pfSense virtuellt)

Trädvy Permalänk
Medlem
Registrerad
Jul 2012

Hjälp med nätverk (pfSense virtuellt)

Hej alla,
Nu är det så att jag funderar på skrota min Linksys 320N med DD-Wrt och ersätta den med pfsense (Virtuellmaskin). Men jag vet inte riktigt om det kommer fungera eller omdet är genomförbart.
Just nu så är tanken att jag sätter upp pfsense så att jag lär mig något samt att det kan vara bra att ha nätverkkunskaperna i framtiden, samtidigt som jag lär mig ESXi.

Så här ser mitt nätverk ut IDAG:

Som ni ser så går internetsladden direkt till WAN porten på min Linksys som senare delar ut IP till andra maskinerna.
Min server ESXi maskinen får sin IP via Linksys, gäller även alla virtuella maskiner.

Men nu undrar ajg om jag kan sätta upp mitt nätverk så här:

Esxi maskinen har två nätverkskort och så är pfsense en virutellmaskin som ska sköta allt (dhcp, routing etc). Har även en trådlösnätverkskort som jag kommer montera in så fort jag får den så den kommer då agera som en AP.

Så här ser det ut i vSphere: (!!! Jag har alltså inte kopplat in internetsladden direkt till WAN porten utan den går fortfarande via Linksys. !!!)

WAN Porten = Intel Nic (Här går internetsladden direkt in i den porten)
LAN Porten = Integrerade nätverkskortet. (pfsense skapar magi och delar ut IP via LAN porten till switchen)

Jag har alltså inte börjat flytta runt sakerna utan jag behöver veta om det går att göra som det är på bilden eller om jag måste göra något annat för att det ska fungera som första bilden.

Kan det bli problem att ha denna konfig?

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Jul 2008

Funkar utmärkt att göra exakt som du tänkt, precis så kör jag själv. Så länge man tänker i banorna att i ESXi agerar varje fysiskt nätverkskort som en switch istället för ett nätverkskort blir det mycket enklare att få grepp om det hela.

Pfsense kommer att dela ut ip-adresser till till de datorerna som ligger på samma lan ur pfsenses syn (i ditt fall vSwitch0). Det vill säga både virtuella maskiner och de som är kopplade till det fysiska nätverkskortet som ligger på samma lan (vmnic0).

Kör hårt, fråga om det är något som är oklart

Hörlurssetup: Cambridge Audio DacMagic + SPL Phonitor 2 + AKG K812
Setup jobbet: Hegel HD11 + Argon HA1 + AKG K701
Sambons ljud: O2+ODAC + AKG K712
Övrigt grejs: Little Dot MKIII, JDS cMoyBB, Q701, K319, K240
Vadå AKG fanboy? Har ett faktiskt ett par DT770 också!

Trädvy Permalänk
Medlem
Plats
localhost
Registrerad
Jun 2004

Har kört så hemma i drygt ett år nu med pfsense, har tre nätverkskkort i maskinen ett för wan, ett för lan och ett för administration mot esxi.

Hejdu

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2008

Intressant, man kanske skulle virutalisera pfSense och spara en burk som står igång... Har i dagsläget en dedikerad burk som server och en dedikerad burk som router. En rokad är på gång med ny dator in, kanske blir att se över lösningen. Känns ju lättare om man har stöd av några som redan har en sån lösning igång och tuggar

Jobbar som nätverkskonsult på PWNY.
Flerårig erfarenhet från ISP-branchen och Linux-nörd.
Favoritdist: Arch linux. Datarymden

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Det där kommer fungera kanon. Glöm dock inte att sätta en statisk adress på management i esxi, annars blir den oåtkommlig om inte pfsense är igång eller har startat.

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Jul 2008
Skrivet av fisk1n:

Intressant, man kanske skulle virutalisera pfSense och spara en burk som står igång... Har i dagsläget en dedikerad burk som server och en dedikerad burk som router. En rokad är på gång med ny dator in, kanske blir att se över lösningen. Känns ju lättare om man har stöd av några som redan har en sån lösning igång och tuggar

Absolut, gör det! ESXi-biten är inte svår, finns en riktigt bra nybörjarguide i ämnet här på sweclockers för att komma igång http://www.sweclockers.com/forum/140-guider/1134186-guide-egen-server-virtualisera-och-fa-mer-ur-din-hemma-server/. Den tar inte upp själva nätverksbiten, men det löser vi.

Hörlurssetup: Cambridge Audio DacMagic + SPL Phonitor 2 + AKG K812
Setup jobbet: Hegel HD11 + Argon HA1 + AKG K701
Sambons ljud: O2+ODAC + AKG K712
Övrigt grejs: Little Dot MKIII, JDS cMoyBB, Q701, K319, K240
Vadå AKG fanboy? Har ett faktiskt ett par DT770 också!

Trädvy Permalänk
Medlem
Registrerad
Jul 2012

Jo de väl mest nätverksbiten som jag försöker förstå mig på. Nästan för abstrakt för mig.

Väntar bara på mitt trådlösa nätverkskort ska komma så jag kan börja riva ner nätverket och koppla om

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Jun 2004

Den enda förbättringen jag ser är att om du har möjlgihet så tryck ett tredje kort i ESX burken. Då kan du ha ett kort rent för management av host burken. Det blir ännu enklare om du kan ha olika märken på korten.

I övrigt har jag kört på samma lösning men med Hyper-V och ISA server i 3-4 år nu. Funkar kalas.

Arbetsdator: HFX Mini. Core-i5 2405S, Radeon 6570, Asus P8P67-M . Skärm: Dell 2407
HTPC: HFX Classic, E8500, Radeon 3450, P5K/EPU, Floppydtv-s2
Hyper-V Server: E6750 8GB minne 2X3TB Raid1 samt 2X1TB raid 1

Trädvy Permalänk
Medlem
Registrerad
Jul 2012
Skrivet av mats42:

Den enda förbättringen jag ser är att om du har möjlgihet så tryck ett tredje kort i ESX burken. Då kan du ha ett kort rent för management av host burken. Det blir ännu enklare om du kan ha olika märken på korten.

I övrigt har jag kört på samma lösning men med Hyper-V och ISA server i 3-4 år nu. Funkar kalas.

Kan man inte skapa VLAN så man skyddar management interfacet från andra hosts?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2008

Känn som att det borde räcka att management på ett eget subnät som inte routas vidare någonstans för att isolera det någelunda? Eller vad är poängen med att ha ett tredje kort för det?

Jobbar som nätverkskonsult på PWNY.
Flerårig erfarenhet från ISP-branchen och Linux-nörd.
Favoritdist: Arch linux. Datarymden

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Jun 2004

Vlan ka man använda om man har HW för det. Dock är det ju lite meckigt att konfa VLAN på Hosten från början då du får göra det från consolen.

Tanken med eget mgmtif är att du inte riskerar någon snekonfig så att det hamnar fel. Ska du ha det på annat subnät så måste du ju ändå routa det internt så det blir ändå en meckigare lösning

Arbetsdator: HFX Mini. Core-i5 2405S, Radeon 6570, Asus P8P67-M . Skärm: Dell 2407
HTPC: HFX Classic, E8500, Radeon 3450, P5K/EPU, Floppydtv-s2
Hyper-V Server: E6750 8GB minne 2X3TB Raid1 samt 2X1TB raid 1

Trädvy Permalänk
Medlem
Plats
Stenungsund
Registrerad
Okt 2007

Det är faktiskt lite overkill i detta sammanhanget att ha ett separat nät/kort för management.

Exempel ..
pfSense LAN - 192.168.1.1
pfSense LAN DHCP range - 192.168.1.100-200
ESXi static management - 192.168.1.5

Det är upp till dig, men krångla inte till det i onödan

i7 2600K - ASRock P67 Extreme 6 - 8GB Vengeance - GTX 560ti OC - Vertex 3 120
-> http://lamslagen.com
-> Telia Smart - Inte så smart

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2008
Skrivet av mats42:

Tanken med eget mgmtif är att du inte riskerar någon snekonfig så att det hamnar fel. Ska du ha det på
annat subnät så måste du ju ändå routa det internt så det blir ändå en meckigare lösning

Varför måste man routa det internt? Bara att sätta sin arbets-station i samma subnät (att man har 2 eller fler ip på den då, en vanlig och en för management) så kan man kommunicera på l2 bara.

Iallafall har jag löst det så på några av mina servrar, har satt ett 10.x.x.x-ip och låter ssh lyssna på bara det IPt, och sen studsar jag via en annan server som sitter i samma l2-switch för att komma åt den via ssh. På så vis slipper man ha ssh öppet på den publika IPn. Tänker att principen borde vara typ samma i detta fall. Å andra sidan är det kanske inte jättestort behov av att separera det av säkerhets-skäl när man siitter bakom samma NAT i ett hemnätverk. Om man nu inte har mycket löst folk som hackar ens wifi eller liknande

Jobbar som nätverkskonsult på PWNY.
Flerårig erfarenhet från ISP-branchen och Linux-nörd.
Favoritdist: Arch linux. Datarymden

Trädvy Permalänk
Medlem
Registrerad
Jul 2012

Hur kommer det sig att jag inte kan testa NAT internt utan måste testa det utanför nätverket

När jag skriver in t.ex. www.domän.se så kommer jag direkt till pfsens loginruta men när ajg går in via telefonen som kommer jag till sidan. Jag har forwardat port 80 till en av virtuella maskiner som har en statisk IP

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av Kibstah:

Hur kommer det sig att jag inte kan testa NAT internt utan måste testa det utanför nätverket

När jag skriver in t.ex. www.domän.se så kommer jag direkt till pfsens loginruta men när ajg går in via telefonen som kommer jag till sidan. Jag har forwardat port 80 till en av virtuella maskiner som har en statisk IP

Har du angett att pfsense kör på domän.se? Det kan ju vara det som spökar. Vad händer om du surfar till din externa ip?

Trädvy Permalänk
Medlem
Registrerad
Jul 2012
Skrivet av jocke92:

Har du angett att pfsense kör på domän.se? Det kan ju vara det som spökar. Vad händer om du surfar till din externa ip?

jag har satt domän som "kibstah.local" och när jag surfar till kibstah.se så kommer jag direkt till inloggningsrutan av pfsense.

och I pfsense under NAT är regeln "WAN TCP * * WAN ADDR 80(HTTP) 192.168.1.102 80(HTTP)"

Trädvy Permalänk
Medlem
Registrerad
Jan 2003

Ta och titta på split DNS för att få din sida at lira även internt.
http://doc.pfsense.org/index.php/Why_can%27t_I_access_forward...

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av Kibstah:

jag har satt domän som "kibstah.local" och när jag surfar till kibstah.se så kommer jag direkt till inloggningsrutan av pfsense.

och I pfsense under NAT är regeln "WAN TCP * * WAN ADDR 80(HTTP) 192.168.1.102 80(HTTP)"

Du borde kanske kunne mappa om kibstah.se i dns'en i pfsense till den lokala adressen. När trafiken kommer internt mot wan-ip't och du kör en portforward reder inte pfsense riktigt ut trafiken och det sker ingen portforward.

Trädvy Permalänk
Medlem
Registrerad
Jul 2012

En annan fråga, med min gamla router WRT320N så kunde jagf ladda ner i 11.2mb/s men nu kommer jag bara upp i 8.8mb/s

Vad är det som har hänt?

Trädvy Permalänk
Medlem
Plats
Bjuv
Registrerad
Jun 2005
Skrivet av Kibstah:

En annan fråga, med min gamla router WRT320N så kunde jagf ladda ner i 11.2mb/s men nu kommer jag bara upp i 8.8mb/s

Vad är det som har hänt?

Vad har du för hårdvara i ESXi burken? CPU + Minne? Det låter som ett prestanda fel. ESXi är lite mer krävande när det gäller hårdvara. Plus när man kör virtuellt nätverk så drar det en del minne.

Phenom II X6 1090T BE, GA-790x-ud3p, 8gb Corsair XMS2 800Mhz, Radeon R9 270x, 120gb Kingston HyperX Fury, 500GB Seagate, 2TB Seagate.

Trädvy Permalänk
Medlem
Registrerad
Jul 2012
Skrivet av Demonlord:

Vad har du för hårdvara i ESXi burken? CPU + Minne? Det låter som ett prestanda fel. ESXi är lite mer krävande när det gäller hårdvara. Plus när man kör virtuellt nätverk så drar det en del minne.

Moderkort: Shuttle SH67H3
Minne: 16gb 1300mhz
CPU: Intel i7 2600

Virtuella maskinen har 1 core och 512mb ram tilldelad till sig.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2001

Testa tilldela den mer RAM än så och se vad som händer.

Argaste

Trädvy Permalänk
Medlem
Registrerad
Jul 2012

Hmm. Någon som vet varför man kan pinga hostname på datorer som är kopplade till switchen (fysiska) men när man ska pinga virtuella maskiner så fungerar det inte. DNSen verkar inte mappa hostname på virtuella maskiner

Någon som vet?

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av Kibstah:

Hmm. Någon som vet varför man kan pinga hostname på datorer som är kopplade till switchen (fysiska) men när man ska pinga virtuella maskiner så fungerar det inte. DNSen verkar inte mappa hostname på virtuella maskiner

Någon som vet?

Vet inte hur du felsökt. Vad är det för operativsystem på de virtuella? Kan själv inte minnas att jag haft det problemet.

Trädvy Permalänk
Medlem
Registrerad
Jul 2012
Skrivet av jocke92:

Vet inte hur du felsökt. Vad är det för operativsystem på de virtuella? Kan själv inte minnas att jag haft det problemet.

En Windows 7 och en debian maskin. om jag går in i ARP table ser jag att 192.168.1.102 - KibstaH-PC (Win 7) Den syns men om jag försöker pinga "KibstaH-PC" så får den ingen svar o jag har kollat den maskinens brandvägg att den accepterar ICMP paket.

Debian maskinen har jag satt vortex som hostname och i ARP table så finns IPt men inte hostnamen.

Det går att pinga från dessa maskiner till min stationäras hostname men jag kan inte göra tvärtom. Alltså jag kan inte pinga hostname utan jag måste pinga IP.

Trädvy Permalänk
Medlem
Plats
192.168.1.267
Registrerad
Apr 2003
Skrivet av Kibstah:

En Windows 7 och en debian maskin. om jag går in i ARP table ser jag att 192.168.1.102 - KibstaH-PC (Win 7) Den syns men om jag försöker pinga "KibstaH-PC" så får den ingen svar o jag har kollat den maskinens brandvägg att den accepterar ICMP paket.

Debian maskinen har jag satt vortex som hostname och i ARP table så finns IPt men inte hostnamen.

Det går att pinga från dessa maskiner till min stationäras hostname men jag kan inte göra tvärtom. Alltså jag kan inte pinga hostname utan jag måste pinga IP.

Har du specifikt tillåtit icmp? Testa slå av brandväggen.

I ubuntu så lär du installera winbind och editera /etc/nsswitch.conf så det står något i stil med "hosts: files wins dns" (wins är det du ska lägga till).

CCNP