O pfSense 2.0.1 virtualizado que afeta a conectividade do host Hyper-V? arp?

8

A configuração

Eu configurei o pfSense 2.0.1 (imagem de 64 bits) como um host no Hyper-V. Como descrito em outros blogs, eu tive que fazer o “ifconfig down deX”, “ifconfig up deX” para colocar a rede em funcionamento.

O servidor (HP executando o Windows 2008 R2) está equipado com duas NICs físicas.

  • A primeira NIC física (porta 1) não está configurada no host (apenas como comutador Hyper-V, veja mais abaixo).

  • A segunda NIC física (porta 2) é configurada com uma rede para gerenciamento remoto (rede C-class padrão). Acho que as duas placas de rede estão conectadas ao mesmo switch e VLAN = padrão (a fiação física foi feita pelo meu provedor de co-localização).

No Hyper-V, existem as seguintes redes virtuais definidas:

  • interno : rede interna da máquina virtual usada para comunicação entre VMs (“LAN” conectando os servidores Windows).

  • Internet : rede virtual usada como conexão WAN para pfSense. Essa rede é atribuída à primeira NIC física (porta 1) do servidor. A rede virtual é dedicada ao Hyper-V e não é compartilhada com o host.

Na minha configuração, uso o pfSense como o firewall voltado para a Internet para algumas máquinas virtuais (servidores Windows) também em execução no mesmo host Hyper-V.

As caixas do Windows usam o pfSense como gateway padrão e baixei com êxito as atualizações do Windows para todas as VMs por meio do firewall pfSense - funcionando sem problemas.

Para redirecionar os serviços recebidos, o pfSense é configurado com 1-1 NAT para mapear endereços IP de ISPs para endereços 172.16.0.0/16 internos nas caixas do Windows.

O problema

O problema que tive foi que, depois de trabalhar com êxito com uma conexão RDP pela rede de gerenciamento (porta 2), a conexão acabou e toda a conectividade de rede foi perdida para o servidor e as VMs. Antes do problema, fiz duas alterações na configuração.

  1. Movido o endereço IP de gerenciamento da porta 1 para a porta 2. Essa alteração foi verificada com êxito reconectando o RDP uma hora depois na nova interface (porta 2, conforme descrito acima).

  2. Fiz algumas configurações nos IPs virtuais no pfSense (necessário para o 1-1 NAT).

Alguns minutos depois, a conectividade com a máquina foi perdida.

O que me intriga é que a conexão de rede de gerenciamento (porta 2) deve ser intocada pelo Hyper-V, pois não está integrada ao Hyper-V. No entanto, parece haver propagação de erro do pfSense (usando a NIC na porta 1).

Hoje, tivemos um problema semelhante ao usar apenas uma NIC (porta 1 compartilhada entre o Hyper-V / pfSense e o host). O problema que tivemos então foi que, quando o pfSense foi parado, poderíamos executar ping no host e, quando reiniciado, o ping parou de funcionar (nenhum conflito de IP é o que sabemos).

O pfSense é instalado a partir do ISO e o “MAC Address spoofing” é o padrão = desativado.

Como o problema parece se propagar entre as duas portas físicas, acho que isso pode ter algo a ver com o ARP não funcionar corretamente.

Qualquer comentário sobre isso é muito apreciado.

/ J

hyper-v pfsense Jon Martinsson
fonte
Você fez um bom trabalho ao explicar o problema. Mas você não diz que mudanças fez. Você pode listar os endereços IP reais (ou ofuscados) usados ​​como IP virtual e de gerenciamento e as alterações reais feitas nas partes 1 e 2?
Andy Shinn
Você está depurando isso localmente (o mesmo switch para o servidor e seu cliente)? Estou perguntando porque você pode estar assumindo que o pfSense / Hyper-V é a fonte do problema, quando na verdade poderia haver um firewall / proxy em algum lugar expirando suas conexões com estado. Tente estar o mais próximo possível desse host e deixe tcpdump e Wireshark em execução no pfSense e Windows, respectivamente, e verifique o que está acontecendo. Além disso, desde que você trocou as interfaces, verifique tudo no comutador virtual do Hyper-V.
Giovanni Tirloni
Você ativou o modo promíscuo na interface virtual? você precisará ativá-lo para firewalls: por padrão, o adaptador de rede virtual de um sistema operacional convidado recebe apenas os quadros que são destinados a ele. A colocação do adaptador de rede do convidado no modo promíscuo faz com que ele receba todos os quadros passados ​​no comutador virtual permitido pela política de VLAN para o grupo de portas associado. Isso pode ser útil para o monitoramento de detecção de intrusões ou se um sniffer precisar analisar todo o tráfego no segmento de rede.
MrLightBulp

Respostas:

1

Você verificou o Visualizador de Eventos no W2008R2?

Pode ser devido ao número máximo de conexões TCP permitidas pelo Windows: https://technet.microsoft.com/en-us/library/cc759700%28WS.10%29.aspx

O pfSense como um roteador de software utiliza muitas conexões que podem ser abertas, mas não fechadas, aguardando status e assim por diante. Esse tipo de uso de rede pode atingir os limites padrão da pilha TCP e o Windows pode fechar ou não permitir mais conexões desse tipo. A primeira coisa a fazer nesse caso é verificar o Event Viewer para ver se há algo relatado lá.

NetVicious
fonte
Você pode expandir esta resposta?
BE77Y 17/02/2015
O pfSense como um roteador de software utiliza muitas conexões que podem ser abertas, mas não fechadas, aguardando status e assim por diante. Esse tipo de uso de rede pode atingir os limites padrão da pilha TCP e o Windows pode fechar ou não permitir mais conexões desse tipo. A primeira coisa a fazer nesse caso é verificar o Visualizador de Eventos para ver se há algo relatado lá.
NetVicious
Apreciado - mas seria mais útil como uma adição à sua resposta acima. :)
BE77Y
0

Isso parece mais um problema de roteamento entre o pfSense e os outros dispositivos ...

Se você estiver usando as Máquinas Virtuais por trás do pFSense como um firewall, no entanto, precisará delas em uma SubNet diferente dos PCs na LAN. Talvez seja necessário ativar uma interface adicional no pfSense (digamos na LAN2). Em seguida, mapeie-o no host da VM para um VSwitch privado que as outras VMs estão usando.

Eu tive que fazer isso muitas vezes no VMWare. Também para o seu 1: 1, pode ser necessário adicionar mapeamento de rota de rede estática para aqueles como exemplo. Eu vi o pfSe nse ter seu roteamento bagunçado.

Dessa forma você tem ..

IINTERNET -> Wan0 -> pFSense -> PCs LAN1 ..

                  pfSense -->LAN2 Virtual Machines.

Depois disso, você pode controlar melhor as regras de roteamento e firewall.

Espero que isso ajude, Saúde ...

David Thomson
fonte