¿Virtualizado pfSense 2.0.1 afecta la conectividad del host Hyper-V? arp?

8

La puesta en marcha

He configurado pfSense 2.0.1 (imagen de 64 bits-amd) como host en Hyper-V. Como se describe en otros blogs, tuve que hacer el "ifconfig down deX", "ifconfig up deX" para que la red se pusiera en funcionamiento.

El servidor (HP con Windows 2008 R2) está equipado con dos NIC físicas.

  • La primera NIC física (puerto 1) no está configurada en el host (solo como conmutador Hyper-V, consulte más abajo).

  • La segunda NIC física (puerto 2) está configurada con una red para administración remota (red estándar de clase C). Creo que ambas NIC están conectadas al mismo conmutador y VLAN = predeterminado (el cableado físico fue realizado por mi proveedor de ubicación conjunta).

En Hyper-V, se definen las siguientes redes virtuales:

  • interno : red interna de la máquina virtual utilizada para la comunicación entre máquinas virtuales ("LAN" que conecta los servidores de Windows).

  • Internet : red virtual utilizada como conexión WAN para pfSense. Esta red se asigna a la primera NIC física (puerto 1) del servidor. La red virtual está dedicada para Hyper-V y no se comparte con el host.

En mi configuración, uso pfSense como el firewall de Internet para un par de máquinas virtuales (servidores de Windows) que también se ejecutan en el mismo host Hyper-V.

Los cuadros de Windows usan pfSense como puerta de enlace predeterminada y descargué con éxito las actualizaciones de Windows a todas las máquinas virtuales a través del firewall de pfSense, funcionando sin problemas.

Para redirigir los servicios entrantes, el pfSense está configurado con 1-1 NAT para asignar direcciones IP de ISP a direcciones internas 172.16.0.0/16 en los cuadros de Windows.

El problema

El problema que tuve es que después de trabajar con éxito con una conexión RDP a través de la red de administración (puerto 2), la conexión simplemente se corta y toda la conectividad de red se pierde para el servidor y las máquinas virtuales. Antes de que ocurriera el problema, hice dos cambios de configuración.

  1. Se movió la dirección IP de administración del puerto 1 al puerto 2. Este cambio se verificó con éxito al volver a conectar RDP una hora más tarde en la nueva interfaz (puerto 2 como se describió anteriormente).

  2. Hice algunas configuraciones en las IP virtuales en pfSense (necesarias para el NAT 1-1).

Algunos minutos después se perdió la conectividad con la máquina.

Lo que me desconcierta es que Hyper-V no debe tocar la conexión de red de administración (puerto 2) ya que no está integrada con Hyper-V. Sin embargo, parece haber propagación de errores desde pfSense (usando NIC en el puerto 1).

Hoy tuvimos un problema similar al usar solo una NIC (puerto 1 compartido entre Hyper-V / pfSense y el host). El problema que tuvimos entonces fue que cuando se detuvo pfSense pudimos hacer ping al host y cuando se inició nuevamente, el ping dejó de funcionar (no hay conflicto de IP, lo que sabemos).

El pfSense se instala desde la ISO y la "suplantación de direcciones MAC" es predeterminada = desactivada.

Dado que el problema parece propagarse entre los dos puertos físicos, supongo que esto podría tener algo que ver con que ARP no funcione correctamente.

Cualquier comentario sobre esto es muy apreciado.

/ J

Jon Martinsson
fuente
Hiciste un buen trabajo al explicar el problema. Pero no dices qué cambios hiciste. ¿Puede enumerar las direcciones IP reales (u ofuscadas) utilizadas como IP virtual y de administración y los cambios reales realizados en las partes 1 y 2?
Andy Shinn
¿Está depurando esto localmente (el mismo conmutador para el servidor y su cliente)? Le pregunto porque podría estar asumiendo que pfSense / Hyper-V son la fuente del problema cuando, de hecho, podría haber un firewall / proxy en algún lugar que expire sus conexiones con estado. Intente estar lo más cerca posible de este host y deje tcpdump y Wireshark ejecutándose en pfSense y Windows, respectivamente, luego verifique lo que está sucediendo. Además, dado que intercambió las interfaces, verifique todo en el conmutador virtual de Hyper-V.
Giovanni Tirloni
¿Has activado el modo promiscuo en la interfaz virtual? necesitará activarlo para los firewalls: de manera predeterminada, el adaptador de red virtual de un sistema operativo invitado solo recibe los marcos que están destinados para ello. Al colocar el adaptador de red del invitado en modo promiscuo, este recibe todos los marcos pasados ​​en el conmutador virtual que están permitidos por la política de VLAN para el grupo de puertos asociado. Esto puede ser útil para el monitoreo de detección de intrusos o si un sniffer necesita analizar todo el tráfico en el segmento de red.
MrLightBulp

Respuestas:

1

¿Ha comprobado el Visor de eventos en el W2008R2?

Podría deberse a las conexiones TCP máximas permitidas por Windows: https://technet.microsoft.com/en-us/library/cc759700%28WS.10%29.aspx

pfSense como enrutador de software utiliza muchas conexiones que pueden abrirse pero no cerrarse, esperando el estado, etc. Este tipo de uso de red puede alcanzar los límites predeterminados de la pila TCP y las ventanas podrían cerrarse o no permitir más conexiones de este tipo. Lo primero que debe hacer en este caso es verificar el Visor de eventos para ver si se informa algo allí.

NetVicious
fuente
¿Puedes ampliar esta respuesta?
BE77Y
pfSense como enrutador de software utiliza muchas conexiones que pueden abrirse pero no cerrarse, esperando el estado, etc. Este tipo de uso de red puede alcanzar los límites predeterminados de la pila TCP y las ventanas podrían cerrarse o no permitir más conexiones de este tipo. Lo primero que debe hacer en este caso es verificar el Visor de eventos para ver si se informa algo allí.
NetVicious
Apreciado, pero sería más útil como una adición a su respuesta anterior. :)
BE77Y
0

Esto suena más como un problema de enrutamiento entre pfSense y los otros dispositivos ...

Si está utilizando las máquinas virtuales detrás del pFSense como firewall, sin embargo, las necesita en una subred diferente a la de la PC en el LAN. Es posible que deba activar una interfaz adicional en pfSense (por ejemplo, LAN2). Luego, asigne el VM Host a un VSwitch privado que estén utilizando las otras VM.

He tenido que hacer esto muchas veces en VMWare. También para sus 1: 1 puede que tenga que agregar mapas de rutas de red estáticas para aquellos como ejemplo. He visto a pfSe nse hacer que su enrutamiento se estropee.

De esa manera tienes ..

IINTERNET -> Wan0 -> pFSense -> PC LAN1 ..

                  pfSense -->LAN2 Virtual Machines.

Después de eso, puede controlar mejor las reglas de enrutamiento y firewall.

Espero que esto ayude, Saludos ...

David Thomson
fuente