Pfsense 2 in VMware Workstation 8 - Netwerken

dinsdag 18 oktober 2011 14:40

Acties:

Topicstarter

Voor een lanparty probeer ik een firewall in te richten waarmee ik wat aan caching kan doen, blokkeren van websites en QoS. Aangezien ik hiervoor niet meteen een extra pc wou wijten, had ik er aan gedacht om Pfsense virtueel te installeren in Vmware Workstation 8.

Hiervoor heb ik dus VMWare workstation 8 geïnstalleerd op mijn Windows Server 2008 R2 met extra PCI NIC. De PCI NIC is verbonden met mijn router (192.168.1.2) en krijgt via DHCP dus een ip adres toegewezen.

Afbeeldingslocatie: http://img8.imageshack.us/img8/1016/nicoverzicht.png

Afbeeldingslocatie: http://img8.imageshack.us/img8/1016/nicoverzicht.png

Nu heb ik daarvoor een extra verbinding gebridged in vmware.

Afbeeldingslocatie: http://img824.imageshack.us/img824/2526/vmwarenetwerk.png

In de virtuele machine heb ik dan een extra netwerkkaart toegewezen, en deze verbonden met Vmnet2:
Afbeeldingslocatie: http://img163.imageshack.us/img163/5796/vmnetwerk.png

Afbeeldingslocatie: http://img163.imageshack.us/img163/5796/vmnetwerk.png

Nadien de installatie uitgevoerd van pfsense en elke NIC aan de juiste interface toegewezen.
LAN --> EM0
WAN --> EM1

Afbeeldingslocatie: http://img819.imageshack.us/img819/9642/pfsenseip.png

Afbeeldingslocatie: http://img819.imageshack.us/img819/9642/pfsenseip.png

WAN krijgt dus zijn ip via dhcp van de router 192.168.1.2, dus dat klopt ook.

Het probleem is dat ik met geen enkele interface kan verbinden, laat staan pingen? Ook als in een ander ip instel voor de lan, kan ik de webadmin niet bereiken...

Heb ook al geprobeerd om de WAN NIC zo te configureren dat enkel het "Bridge protocol" er van gebruik kan maken, maar dat lijkt ook niet te helpen...

Wie weet wat er scheelt?

dinsdag 18 oktober 2011 14:48

Acties:

ItsValium

eerst een tip : lan en wan in hetzelfde subnet is geen goed idee. Hoe kan de firewall dan een onderscheid maken tussen lan en wan subnetreeksen. Vergeet dan ook niet om de rest van je LAN los te koppelen van je router gezien alle verkeer dan door de pfsense router moet lopen.

WAN moet idd bridged zijn met de extra nic die enkel naar de modem gaat. LAN moet aan de andere nic, en dan ook even het ip van je eigen pc vernieuwen en kijken of de pfsense deze een adres kan toebedelen.

[ Voor 15% gewijzigd door ItsValium op 18-10-2011 14:50 ]

dinsdag 18 oktober 2011 15:01

Acties:

DenDries

Topicstarter

ItsValium schreef op dinsdag 18 oktober 2011 @ 14:48:
eerst een tip : lan en wan in hetzelfde subnet is geen goed idee. Hoe kan de firewall dan een onderscheid maken tussen lan en wan subnetreeksen. Vergeet dan ook niet om de rest van je LAN los te koppelen van je router gezien alle verkeer dan door de pfsense router moet lopen.

WAN moet idd bridged zijn met de extra nic die enkel naar de modem gaat. LAN moet aan de andere nic, en dan ook even het ip van je eigen pc vernieuwen en kijken of de pfsense deze een adres kan toebedelen.

Bedankt, dat van dat subnet zal ik ook even uitproberen

Met dat laatste, bedoel je daarmee de windows server?

Als ik ervoor zorg dat enkel het bridge protocol gebruik kan maken van "NIC WAN", "geeft" pfsense dan het gefilterde internet automatisch ook aan de windows server?

EDIT:
Heb bij NIC WAN enkel het bridge protocol laten aan staan.
Bij de NIC OUT (onboard) heb ik alles laten aan staan, BEHALVE het bridge protocol.

Heb ervoor gezorgt dat de WAN in pfsense nog steeds een ip (192.168.1.23) krijgt via DHCP.
De LAN heeft als vast ip, 192.168.2.1 gekregen.

Nog steeds kan ik geen van beide ip's pingen...

[ Voor 16% gewijzigd door DenDries op 18-10-2011 15:23 ]

woensdag 19 oktober 2011 04:49

Acties:

ItsValium

In theorie hoef je zelfs niet de protocollen te veranderen, gewoon alles laten aanstaan voor beide NIC's en de connecties regelen via vmware workstation zou moeten volstaan.

woensdag 19 oktober 2011 10:58

Acties:

DenDries

Topicstarter

Ik heb het nog niet kunnen proberen, maar denk dat ik hier een oplossing KAN gevonden hebben:
http://blog.stefcho.eu/?p=383

Open shell from the console, create new document

vi /usr/local/etc/rc.d/startup.sh

and type in

ifconfig de1 down
ifconfig de0 down
ifconfig de0 up
ifconfig de1 up

Just check before that the names of your interfaces, mine were de0,1.

Zal eens proberen door het te veranderen naar em1 en em0 in mijn geval.

woensdag 19 oktober 2011 20:57

Acties:

Workaholic

Het is allemaal niet zo erg ingewikkeld als je wat basis netwerk + pfsense kennis hebt.

Wat ik niet echt uit je post kan halen is wat je nou precies wil, hoe je netwerk er uit ziet en of het probleem nou in je vmware config zit of in je pfsense.. heb je pfsense wel goed ingericht?

Kun je is schematisch (desnoods met paint) tekenen wat je nou wilt bereiken en hoe dat netwerk technisch volgens jou er uit ziet (en moet komen te zien?).

Ik zou alleen geen vmware workstation inzetten.. pak dan liever een goedkope doos, zet er wat netwerk kaarten in en ga er lekker mee spelen. Echt zonde om hier een zware 2k8 machine voor in te zetten met daaronder nog een OS..

Virtueel kan overigens prima, maar je moet dan inderdaad je settings (inclusief subnet) juist hebben.
Zelf heb ik geen ervaring met vmware workstation icm pfsense, alleen met vsphere (gratis te downloaden maar wel bare metal os)

code:

1	Internet modem --> wan uplink <-- pfsense --> lan uplink naar switch met clients

Bovenstaande is wat je eigenlijk wilt hebben. Pfsense zorgt voor de routering, firewalling en kan ook QoS/load balancing en een transparante proxy verzorgen (monitoren van internet/url gebruik).

Als je wan inderdaad een dynamisch ip betreft, kies dan een compleet andere subnet/class (bijv 10.x range) om het gemakkelijk gescheiden te houden.

Wat het troubleshooten betreft. Zorg er voor dat pfsense goed is geconfigureerd (er is hiervoor genoeg info te vinden) en test desnoods of je op de lan interface kunt pingen naar een andere host (mag ook een virtuele xp machine zijn oid)

[ Voor 60% gewijzigd door Workaholic op 19-10-2011 21:05 ]

Mijn V&A

donderdag 20 oktober 2011 12:09

Acties:

DenDries

Topicstarter

Bedankt Workaholic!

Reden dat ik hiervoor geen oude pc inschakel is... omdat ik er simpelweg geen meer heb

De WIN2K8 server dient voorlopig enkel om te experimenteren en om nadien te gebruiken op de lanparty... Er komen tevens enkele gameservers op te staan tijdens de lanparty zodat hij niet de hele tijd staat te idle'en.

Ondertussen lijkt het allemaal te werken zoals het hoort

Bedoeling is idd dat later de modem niet meer fungeert als router, maar Pfsense zelf de VDSL2 verbinding opzet dmv PPOE. De router die ik nu heb zou dat aantal connecties met internet nl. niet goed kunnen afhandelen...

Heb bij de instellingen van de virtuele machine, de eerste NIC op vmnet0 ingesteld en de 2de op vmnet2. Heb het ip aangepast van de LAN interface in Pfsense naar 192.168.2.1. De WAN interface in pfsense nog steeds laten voorzien van dhcp (voorlopig dus), een reboot en het werkte naar behoren

Bedankt voor de hulp!