La puesta en marcha
He configurado pfSense 2.0.1 (imagen de 64 bits-amd) como host en Hyper-V. Como se describe en otros blogs, tuve que hacer el "ifconfig down deX", "ifconfig up deX" para que la red se pusiera en funcionamiento.
El servidor (HP con Windows 2008 R2) está equipado con dos NIC físicas.
La primera NIC física (puerto 1) no está configurada en el host (solo como conmutador Hyper-V, consulte más abajo).
La segunda NIC física (puerto 2) está configurada con una red para administración remota (red estándar de clase C). Creo que ambas NIC están conectadas al mismo conmutador y VLAN = predeterminado (el cableado físico fue realizado por mi proveedor de ubicación conjunta).
En Hyper-V, se definen las siguientes redes virtuales:
interno : red interna de la máquina virtual utilizada para la comunicación entre máquinas virtuales ("LAN" que conecta los servidores de Windows).
Internet : red virtual utilizada como conexión WAN para pfSense. Esta red se asigna a la primera NIC física (puerto 1) del servidor. La red virtual está dedicada para Hyper-V y no se comparte con el host.
En mi configuración, uso pfSense como el firewall de Internet para un par de máquinas virtuales (servidores de Windows) que también se ejecutan en el mismo host Hyper-V.
Los cuadros de Windows usan pfSense como puerta de enlace predeterminada y descargué con éxito las actualizaciones de Windows a todas las máquinas virtuales a través del firewall de pfSense, funcionando sin problemas.
Para redirigir los servicios entrantes, el pfSense está configurado con 1-1 NAT para asignar direcciones IP de ISP a direcciones internas 172.16.0.0/16 en los cuadros de Windows.
El problema
El problema que tuve es que después de trabajar con éxito con una conexión RDP a través de la red de administración (puerto 2), la conexión simplemente se corta y toda la conectividad de red se pierde para el servidor y las máquinas virtuales. Antes de que ocurriera el problema, hice dos cambios de configuración.
Se movió la dirección IP de administración del puerto 1 al puerto 2. Este cambio se verificó con éxito al volver a conectar RDP una hora más tarde en la nueva interfaz (puerto 2 como se describió anteriormente).
Hice algunas configuraciones en las IP virtuales en pfSense (necesarias para el NAT 1-1).
Algunos minutos después se perdió la conectividad con la máquina.
Lo que me desconcierta es que Hyper-V no debe tocar la conexión de red de administración (puerto 2) ya que no está integrada con Hyper-V. Sin embargo, parece haber propagación de errores desde pfSense (usando NIC en el puerto 1).
Hoy tuvimos un problema similar al usar solo una NIC (puerto 1 compartido entre Hyper-V / pfSense y el host). El problema que tuvimos entonces fue que cuando se detuvo pfSense pudimos hacer ping al host y cuando se inició nuevamente, el ping dejó de funcionar (no hay conflicto de IP, lo que sabemos).
El pfSense se instala desde la ISO y la "suplantación de direcciones MAC" es predeterminada = desactivada.
Dado que el problema parece propagarse entre los dos puertos físicos, supongo que esto podría tener algo que ver con que ARP no funcione correctamente.
Cualquier comentario sobre esto es muy apreciado.
/ J
Respuestas:
¿Ha comprobado el Visor de eventos en el W2008R2?
Podría deberse a las conexiones TCP máximas permitidas por Windows: https://technet.microsoft.com/en-us/library/cc759700%28WS.10%29.aspx
pfSense como enrutador de software utiliza muchas conexiones que pueden abrirse pero no cerrarse, esperando el estado, etc. Este tipo de uso de red puede alcanzar los límites predeterminados de la pila TCP y las ventanas podrían cerrarse o no permitir más conexiones de este tipo. Lo primero que debe hacer en este caso es verificar el Visor de eventos para ver si se informa algo allí.
fuente
Esto suena más como un problema de enrutamiento entre pfSense y los otros dispositivos ...
Si está utilizando las máquinas virtuales detrás del pFSense como firewall, sin embargo, las necesita en una subred diferente a la de la PC en el LAN. Es posible que deba activar una interfaz adicional en pfSense (por ejemplo, LAN2). Luego, asigne el VM Host a un VSwitch privado que estén utilizando las otras VM.
He tenido que hacer esto muchas veces en VMWare. También para sus 1: 1 puede que tenga que agregar mapas de rutas de red estáticas para aquellos como ejemplo. He visto a pfSe nse hacer que su enrutamiento se estropee.
De esa manera tienes ..
IINTERNET -> Wan0 -> pFSense -> PC LAN1 ..
Después de eso, puede controlar mejor las reglas de enrutamiento y firewall.
Espero que esto ayude, Saludos ...
fuente