ESXi, VLANs und pfSense

648
Patrick

Wollte den VM-Verkehr mit VLANs segmentieren. Ich habe folgendes eingerichtet:

ESXi Host -> Switch -> pfSense Router -> Internet

Mein ESXi-Host ist eine einzige NIC

Ich habe ein VLAN (VLAN 10) in pfSense über meine LAN-Schnittstelle erstellt, die zum Switch (einem Cisco 3750) zurückgeht. Ich habe die VLAN-Schnittstelle in pfSense aktiviert und ihr eine IP-Adresse von 192.168.10.1/24 zugewiesen.

Ich gab meinem ESXi-Host eine IP-Adresse von 192.168.10.10/24 und stellte sicher, dass die Management Network Port Group das VLAN 10-Tagging verwendete.

Auf dem Cisco-Switch habe ich den Switchport zum ESXi-Host und zu beiden Pfaden von pfSense erstellt und VLAN 1 (Native) und VLAN 10 zugelassen. Ich habe sichergestellt, dass die Amtsleitungen aktiv sind.

Ich kann meinen ESXi-Host nicht dazu bringen, das Standard-Gateway von 192.168.10.1 zu pingen, und ich kann den ESX-Host nicht vom Standard-Gateway aus anpingen. Seltsamerweise kann mein ESXi-Host beim Einrichten eines DHCP-Servers in der VLAN-Schnittstelle eine IP beziehen.

Ich habe alle möglichen Arten der Fehlerbehebung durchgeführt. Ich habe keine Möglichkeit, eine Paketerfassung an einem anderen Ort durchzuführen, um zu sehen, was das Problem ist. Ich hoffe, dies ist ein kleines Versehen, das ich vergessen habe zu überprüfen. Was muss ich tun, damit dieser Router auf einem Stick eingerichtet werden kann?

Dinge, die ich ausprobiert habe:

  • Einrichten einer neuen Portgruppe mit einem anderen VLAN durchlaufen den gleichen Prozess wie oben.
  • Den vSwitch auf den Promiscuous-Modus einstellen
1
A) Ich denke, pfSense blockiert den ICMP-Verkehr. Bitte überprüfen Sie, ob Sie einen schnellen Webserver hosten können und eine Verbindung von ESXI zur Firewall und zurück herstellen können. B) pfsense behandelt VLAN-Schnittstellen als separate NICs von dem Switch, von dem ich glaube, dass die beste Option ist, den DHCP-Server auf dem Haupt-Switch einzurichten und die VLANs zu überbrücken. C) Anschließend weisen Sie dem VLAN eine IP-Adresse zu (wie folgt) (https://forum.pfsense.org/index.php?topic=126440.0) (siehe erste Antwort). ytpillai vor 6 Jahren 1
Danke für die Hilfe. DHCP macht mir weniger Sorgen, da meine VMs statische IPs haben. Trifft Ihre Lösung immer noch zu? Patrick vor 6 Jahren 0
Wo zeigt Ihre Gateway-IP? pfSense? Schalter? Router? ytpillai vor 6 Jahren 0
Das Standard-Gateway unter ESX verweist auf die IP-Adresse der VLAN-Schnittstelle unter pfsense. Patrick vor 6 Jahren 0
Eine VM hochgefahren, eine neue gekennzeichnete Portgruppe erstellt, kann weder das Standard-Gateway noch irgendetwas im Internet treffen. Das einzige, was die VM pingen kann, ist der ESX-Host. Patrick vor 6 Jahren 0
Hmm. Können Sie versuchen, direkt von der esxi-Maschine aus eine Verbindung zum Web herzustellen, und nicht nur eine virtuelle Maschine? Möglicherweise wird der Host nicht korrekt natiert ytpillai vor 6 Jahren 0
Stellen Sie / etc / resolv auf DNS-Resolver für pfsense und Google (8.8.8.8) ein. Ich habe versucht, google.com vom ESX-Host zu holen, und es hing einfach. Kein Würfel. Ich kann die ESX-Webschnittstelle von einem anderen Computer in einem anderen Subnetz erreichen (192.168.1.x). Ich gehe also davon aus, dass pfSense das Inter-VLAN-Routing dort abwickelt. Patrick vor 6 Jahren 0
Lassen Sie uns [diese Diskussion im Chat fortsetzen] (http://chat.stackexchange.com/rooms/70410/discussion-between-ytpillai-and-patrick). ytpillai vor 6 Jahren 0

1 Antwort auf die Frage

1
Patrick

Es stellte sich heraus, dass es sich bei pfSense um ein Firewall-Problem handelt.

Zuvor hatte ich eine Regel, die jeglichen IPv4-TCP-Verkehr vom VLAN-Netzwerk zu einem beliebigen Ziel zuließ. Dies muss geändert werden, um IPv4 zu ermöglichen, wobei jedes Protokoll für ICMP funktionieren kann

Auch mein Native VLAN auf meinem Switch wurde konfiguriert, aber der zum ESXi-Host gehende Trunk-Port ließ das Native VLAN am Trunk-Port nicht zu.

Verwandte Probleme