PfSense 2.0.1 virtualizzato che influenza la connettività host Hyper-V? arp?

8

Il set up

Ho installato pfSense 2.0.1 (immagine a 64 bit-amd) come host in Hyper-V. Come descritto in altri blog, ho dovuto eseguire "ifconfig down deX", "ifconfig up deX" per rendere operativa la rete.

Il server (HP con Windows 2008 R2) è dotato di due schede NIC fisiche.

  • La prima scheda NIC fisica (porta 1) non è configurata nell'host (solo come switch Hyper-V, vedere più avanti).

  • La seconda scheda di rete fisica (porta 2) è configurata con una rete per la gestione remota (rete di classe C standard). Penso che entrambe le schede di rete siano collegate allo stesso switch e VLAN = default (il cablaggio fisico è stato eseguito dal mio fornitore di co-locazione).

In Hyper-V sono definite le seguenti reti virtuali:

  • internal : rete interna della macchina virtuale utilizzata per le comunicazioni inter VM ("LAN" che collega i server Windows).

  • Internet : rete virtuale utilizzata come connessione WAN per pfSense. Questa rete è assegnata alla prima NIC fisica (porta 1) del server. La rete virtuale è dedicata a Hyper-V e non è condivisa con l'host.

Nella mia configurazione utilizzo pfSense come firewall per Internet per un paio di macchine virtuali (server Windows) in esecuzione sullo stesso host Hyper-V.

Le caselle di Windows utilizzano pfSense come gateway predefinito e ho scaricato correttamente gli aggiornamenti di Windows su tutte le macchine virtuali attraverso il firewall pfSense - senza problemi.

Per reindirizzare i servizi in arrivo, pfSense è configurato con NAT NAT 1-1 per mappare gli indirizzi IP degli ISP agli indirizzi interni 172.16.0.0/16 nelle finestre di Windows.

Il problema

Il problema che ho avuto è che dopo aver lavorato con successo con una connessione RDP sulla rete di gestione (porta 2), la connessione si interrompe e tutta la connettività di rete viene persa per il server e le macchine virtuali. Prima che si verificasse il problema, ho apportato due modifiche alla configurazione.

  1. Spostato l'indirizzo IP di gestione dalla porta 1 alla porta 2. Questa modifica è stata verificata correttamente ricollegando RDP un'ora dopo sulla nuova interfaccia (porta 2 come descritto sopra).

  2. Ha eseguito alcune configurazioni sugli IP virtuali in pfSense (necessario per il NAT 1-1).

Alcuni minuti dopo è stata persa la connettività alla macchina.

La cosa che mi confonde è che la connessione di rete di gestione (porta 2) non dovrebbe essere toccata da Hyper-V poiché non è integrata con Hyper-V. Tuttavia sembra che ci sia propagazione di errori da pfSense (usando NIC sulla porta 1).

Oggi abbiamo avuto un problema simile quando si utilizzava solo una scheda NIC (porta 1 condivisa tra Hyper-V / pfSense e l'host). Il problema che abbiamo avuto è stato che quando pfSense è stato arrestato abbiamo potuto eseguire il ping dell'host e quando è stato riavviato il ping ha smesso di funzionare (nessun conflitto IP ciò che sappiamo).

PfSense è installato dall'ISO e lo "spoofing dell'indirizzo MAC" è predefinito = disattivato.

Dal momento che il problema si è propagato tra le due porte fisiche, la mia ipotesi è che ciò potrebbe avere a che fare con l'ARP che non funziona correttamente.

Qualsiasi commento di approfondimento su questo è molto apprezzato.

/ J

hyper-v  pfsense 
Jon Martinsson
fonte
Hai fatto un ottimo lavoro nel spiegare il problema. Ma non dici quali modifiche hai apportato. È possibile elencare gli indirizzi IP effettivi (o offuscati) utilizzati come IP virtuali e di gestione e le modifiche effettive apportate alle parti 1 e 2?
Andy Shinn,
Stai eseguendo il debug a livello locale (stesso switch per server e client)? Ti sto chiedendo perché potresti supporre che pfSense / Hyper-V siano la fonte del problema quando in realtà potrebbe un firewall / proxy da qualche parte a scadere le tue connessioni stateful. Cerca di essere il più vicino possibile a questo host e lascia tcpdump e Wireshark in esecuzione su pfSense e Windows, rispettivamente, quindi controlla cosa sta succedendo. Inoltre, poiché hai scambiato le interfacce, ricontrolla tutto nello switch virtuale di Hyper-V.
Giovanni Tirloni,
Hai attivato la modalità promiscua sull'interfaccia virtuale? è necessario attivarlo per i firewall: per impostazione predefinita, l'adattatore di rete virtuale di un sistema operativo guest riceve solo i frame previsti. Se si inserisce la scheda di rete del guest in modalità promiscua, viene ricevuto tutti i frame passati sullo switch virtuale consentiti dalla politica VLAN per il portgroup associato. Ciò può essere utile per il monitoraggio del rilevamento delle intrusioni o se uno sniffer deve analizzare tutto il traffico sul segmento di rete.
MrLightBulp,

Risposte:

1

Hai controllato il Visualizzatore eventi sul W2008R2?

Potrebbe essere dovuto alle connessioni TCP massime consentite da Windows: https://technet.microsoft.com/en-us/library/cc759700%28WS.10%29.aspx

pfSense come router software utilizza molte connessioni che possono essere aperte ma non chiuse, in attesa di stato e così via. Questo tipo di utilizzo della rete può raggiungere i limiti predefiniti dello stack TCP e Windows potrebbe chiudere o non consentire più connessioni di questo tipo. La prima cosa da fare in questo caso è controllare il Visualizzatore eventi per vedere se qualcosa è stato segnalato lì.

NetVicious
fonte
Puoi espandere questa risposta?
BE77Y,
pfSense come router software utilizza molte connessioni che possono essere aperte ma non chiuse, in attesa di stato e così via. Questo tipo di utilizzo della rete può raggiungere i limiti predefiniti dello stack TCP e Windows potrebbe chiudere o non consentire più connessioni di questo tipo. La prima cosa da fare in questo caso è controllare il Visualizzatore eventi per vedere se qualcosa è stato segnalato lì.
NetVicious,
Apprezzato, ma sarebbe molto utile come aggiunta alla tua risposta sopra. :)
BE77Y,
0

Questo suona più come un problema di routing tra pfSense e gli altri dispositivi ...

Se si utilizzano le macchine virtuali dietro pFSense come firewall, tuttavia sono necessarie su una sottorete diversa rispetto ai PC sulla lan. Potrebbe essere necessario attivare un'interfaccia aggiuntiva su pfSense (ad esempio LAN2), quindi mapparlo nell'host di macchine virtuali su un VSwitch privato utilizzato dalle altre macchine virtuali.

Ho dovuto farlo molte volte su VMWare. Anche per i tuoi 1: 1 potresti dover aggiungere un mapping statico della route di rete per quelli come esempio. Ho visto pfSe nse ottenere il suo routing incasinato.

In questo modo hai ..

IINTERNET -> Wan0 -> pFSense -> PC LAN1 ..

                  pfSense -->LAN2 Virtual Machines.

Successivamente puoi controllare meglio le regole di routing e firewall.

Spero che questo aiuti, Saluti ...

David Thomson
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.