설정
Hyper-V에서 호스트로 pfSense 2.0.1 (64bit-amd 이미지)을 설정했습니다. 다른 블로그에서 설명했듯이 네트워크를 가동하려면“ifconfig down deX”,“ifconfig up deX”를 수행해야했습니다.
서버 (Windows 2008 R2를 실행하는 HP)에는 두 개의 물리적 NIC가 장착되어 있습니다.
-
첫 번째 물리적 NIC (포트 1)가 호스트에 구성되어 있지 않습니다 (Hyper-V 스위치로만, 아래로 더 참조).
-
두 번째 물리적 NIC (포트 2)는 원격 관리 용 네트워크 (표준 C 클래스 네트워크)로 구성됩니다. 두 NIC가 동일한 스위치와 VLAN = default에 연결되어 있다고 생각합니다 (물리적 배선은 공동 위치 공급자가 수행했습니다).
Hyper-V에는 다음과 같은 가상 네트워크가 정의되어 있습니다.
-
internal : VM 간 통신에 사용되는 가상 시스템 내부 네트워크 (Windows 서버를 연결하는 “LAN”).
-
인터넷 : pfSense의 WAN 연결로 사용되는 가상 네트워크. 이 네트워크는 서버의 첫 번째 물리적 NIC (포트 1)에 할당됩니다. 가상 네트워크는 Hyper-V 전용이며 호스트와 공유되지 않습니다.
내 설정에서 pfSense를 동일한 Hyper-V 호스트에서 실행되는 두 개의 가상 머신 (Windows 서버)에 대한 인터넷 연결 방화벽으로 사용합니다.
Windows 상자는 pfSense를 기본 게이트웨이로 사용하며 pfSense 방화벽을 통해 모든 VM에 Windows 업데이트를 성공적으로 다운로드했습니다.
들어오는 서비스를 리디렉션하기 위해 pfSense는 1-1 NAT로 설정되어 ISP의 IP 주소를 Windows 상자의 내부 172.16.0.0/16 주소에 매핑합니다.
문제
내가 가진 문제는 관리 네트워크 (포트 2)를 통한 RDP 연결 작업을 성공적으로 수행 한 후 연결이 끊어지고 모든 네트워크 연결이 서버와 VM에 손실된다는 것입니다. 문제가 발생하기 전에 두 가지 구성 변경을 수행했습니다.
-
관리 IP 주소를 포트 1에서 포트 2로 옮겼습니다.이 변경 사항은 1 시간 후 새 인터페이스 (위에서 설명한 포트 2)에서 RDP를 다시 연결하여 성공적으로 확인되었습니다.
-
pfSense에서 가상 IP에 대한 일부 구성을 수행했습니다 (1-1 NAT 필요).
몇 분 후 머신 연결이 끊어졌습니다.
당황스러운 점은 관리 네트워크 연결 (포트 2)이 Hyper-V와 통합되지 않았기 때문에 Hyper-V에 의해 손대지 않아야한다는 것입니다. 그러나 pfSense (포트 1의 NIC 사용)에서 오류가 전파 된 것 같습니다.
오늘 초 우리는 하나의 NIC (Hyper-V / pfSense와 호스트간에 공유되는 포트 1) 만 사용할 때도 비슷한 문제가있었습니다. 우리가 얻은 문제는 pfSense가 중지되면 호스트를 핑할 수 있고 다시 시작하면 핑이 작동을 멈췄다는 것입니다 (우리가 아는 IP 충돌 없음).
pfSense는 ISO에서 설치되며 “MAC 주소 스푸핑”은 기본적으로 해제되어 있습니다.
문제가 솔기가 두 물리적 포트 사이에 전파되기 때문에 ARP가 제대로 작동하지 않을 수 있습니다.
이것에 대한 통찰력 의견은 대단히 감사합니다.
/ 제이
답변
W2008R2에서 이벤트 뷰어를 확인 했습니까?
Windows에서 허용하는 최대 TCP 연결 때문일 수 있습니다.
https://technet.microsoft.com/en-us/library/cc759700%28WS.10%29.aspx
소프트웨어 라우터로서의 pfSense는 열 수는 있지만 닫을 수없는 연결, 대기 상태 등을 많이 사용합니다. 이러한 종류의 네트워크 사용은 TCP 스택의 기본 제한을 달성 할 수 있으며 창은이 유형의 더 많은 연결을 닫거나 허용하지 않을 수 있습니다. 이 경우에 가장 먼저해야 할 일은 이벤트 뷰어에서보고 된 것이 있는지 확인하는 것입니다.
답변
이것은 pfSense와 다른 장치 간의 라우팅 문제와 비슷합니다.
pFSense 뒤의 가상 머신을 방화벽으로 사용하는 경우 LAN의 PC와 다른 서브넷에 가상 머신이 필요합니다. pfSense에서 추가 인터페이스를 설정해야 할 수도 있습니다 (LAN2 say). VM 호스트에서 다른 VM이 사용중인 개인 VSwitch에이를 매핑합니다. 또는 vSwitch에서 트래픽에 태그를 지정하고 별도의 VLAN을 갖습니다.
VMWare에서이 작업을 여러 번 수행해야했습니다. 또한 1 : 1의 경우 예를 들어 정적 네트워크 경로 매핑을 추가해야 할 수도 있습니다. pfSe nse가 라우팅을 망쳐 놓는 것을 보았습니다.
그렇게 당신은 ..
인터넷-> Wan0-> pFSense-> LAN1 PC ..
pfSense -->LAN2 Virtual Machines.
그런 다음 라우팅 및 방화벽 규칙을 더 잘 제어 할 수 있습니다.
이것이 도움이 되길 바랍니다.