שינוי כתובת הוטבוקס במצב BRIDGE

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
ag43 (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

שינוי כתובת הוטבוקס במצב BRIDGE

נושא שלא נקרא #1 

שלום
יש לי 2 חיבורי 500 של הוט עם 2 מכשירי הוטבוקס 4. משמשים ל2 רשתות נפרדות.
אני רוצה לנהל את שניהם עם מכונת pfsense אחת ולהגדיר 2 vlanים נפרדים.
האם יש אפשרות להגדיר אחד מהוטבוקסים למצב BRIDGE עם כתובת אחרת מאשר 192.168.1.1?

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

Re: שינוי כתובת הוטבוקס במצב BRIDGE

נושא שלא נקרא #2 

ag43 כתב:שלום
יש לי 2 חיבורי 500 של הוט עם 2 מכשירי הוטבוקס 4. משמשים ל2 רשתות נפרדות.
אני רוצה לנהל את שניהם עם מכונת pfsense אחת ולהגדיר 2 vlanים נפרדים.
האם יש אפשרות להגדיר אחד מהוטבוקסים למצב BRIDGE עם כתובת אחרת מאשר 192.168.1.1?
...
·
לנהל אחת או את שני מכשירי הוטבוקס אתה לא תוכל לא מה pfSense בפרט ולא מתוך הרשת הפנימית בכלל, כל היחידות קצה של DOCSIS מנוהלים אך ורק מ CMTS בצורה מרוכזת ובחלק קטן של ההגדרות הפשוטות מממשק ניהול וובי שלהם גם מהרשת הפנימית.
אבל לשלב את שני חיבורים של תשתיות הוט עם שני ציודי קצה הוטבוקס 4 ועם pfSense אחד אתה כן יכול, עם יצירת VLAN Trunk וחיבור של pfSense דרך Trunk זה למתג שעליו יתחברו שני הוטבוקסים, כל אחד ל VLAN שלו. עשיתי את זה במספר אתרים וזה עובד מצויין, כמובן עם שני הוטבוקסים מחוברים לשני מקטים אופטיים שונים, אחרת לא ניתן יהיה לנצל את מלוא הרוחב פס.
הוטבוקס מכל הדגמים שלו במצב של BRIDGE כברירת מחדל מגיע בכלל לא עם כתובת 192.168.1.1 , אלה עם כתובת 192.168.100.1 ולשנות אותה ניתן בממשק ניהול וובי שלו, אלה אם כן זה נחסם קובץ תצורה מצד ה CMTS .

ag43 (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #3 

לPFSENSE אין בעיה עם שני סאבנטים זהים לInterface שונים?

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #4 

ag43 כתב:לPFSENSE אין בעיה עם שני סאבנטים זהים לInterface שונים?
...
·
דבר ראשון שאתה צריך לקחת בחשבון זה את הנקודה שבמצב של BRIDGE בהוטבוקס את כתובת IP של הוטבוקס אתה צריך רק בישביל דיאגנוסטיקה של הוטבוקס, אם בכלל וכמובו שאתה יכול לשנות גם את תת רשת שלה. ואת הכתובות בכל אחד מהחיבורים כל אחד מה WANs מה pfSense יקבל בניפרד מהספק האינטרנט וזה לא קשור כלל לכתובת IP שמוגדרת על ה LAN של ההוטבוקס.
הנושא החשוב יותר, הוא כפי שכתבתי כבר לפני זה, האם שני ההוטבוקסים מחוברים על שני מקלטים אופטים שונים.

ag43 (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #5 

עד היום ההוטבוקס היה מחובר כברידג' לפורט פיזי בהוסט ונוהל ע"י מכונה וירטואלית.
חיברתי את ההוטבוקס לסוויטצ' והגדרתי לו VLAN 1
חיברתי קליינטים לאותו סוויטצ' לVLAN2
מהסוויטצ חיברתי כבל להוסט הנ"ל והגדרתי כTRUNK של 1 ו2
בהוסט (esxi 6.7) הגדרתי virtual switch עם 2 הvlanים הנ"ל.
למכונת הPFSENSE הגדרתי 2 כרטיסי רשת, כל אחד לאחת מהvLAN הנ"ל.
משום מה הVLAN של הקליינטים עובד מצויין (מקבלים DHCP, פינגים וכו') אך המכונה לא מצליחה למשוך כתובת מהמודם בvlan השני.

מה יכולה להיות הבעיה?

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #6 

יש כאן כמה וכמה דברים פשוטים שצריך לבדוק. נתחיל מזה שב VLAN1 לא משמשים בכלל ככלל וזה מהרבה סיבות של אבטחה. אבל נניח שכן רק לצורך הניסוי החלטת להשתמש בו. צריך לבדוק את כל הנקודות כמו, האם הפורט של המתג שמחובר להוטבוקס הוא בכלל במצב של Access . דבר שני צריך לבדוק את הנקודה שה PortGroup של ManagementNetwork של ESXI נמצא לא על אותו ה VLAN שאתה מנסה לחבר להוטבוקס, כי מין הסתם אתה לא הולך לנהל את ה ESXI מצד ההוטבוקס. דבר שלישי, צריך לבדוק איך pfSense רואה את ה VLAN1 , כ Native VLAN או כאחד מה VLANs הרגילים של ה TRUNK ולפי זה כבר להתמודד אתו.

הואפצייה הפשוטה ביותר, היגיונית וניתנת לניהול היא להגדיר PortGroup ב ESXI שיתפקד כ VLAN Trunk ולא כ Access של VLAN ספציפי ( כך אתה גם לא צריך לכל VLAN להגדיר במכונה וירטואלית של pfSense כרטיס רשת נוסף, אלה ישירות ממנו להוסיף כמה VLANs שאתה צריך ). ל PortGroup זה נחבר את הכרטיס רשת של מכונה וירטואלית שמריצה את pfSense .

לצורך הניסוי ורק לצורך הניסוי אפשר להשתמש ב VLAN1 לצורך רשת LAN ואת כל הלקוחות לחבר עליו, להגדיר אותו גם כ Native VLAN ב pfSense וגם ב ESXI להגדיר אותו כ Native VLAN . אחרי זה, אחרי שיש כבר תקשורת בין הלקוחות שמחוברים למתג ל VLAN1 ול pfSense , ב pfSense להגדיר VLAN נוסף ואותו לחבר לפורט של המתג שיתחבר להוטבוקס.
בגדול, כך זה עובד לי בהרבה אתרים כבר שנים ( כמובן לא עם VLAN1 כ Native VLAN ). צירפתי כמה מהצילומי מסך של הממשק ניהול ה ESXI .

ag43 (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #7 

למען הסר ספק - מספרי הVLAN הם שונים, כתבתי רק בשביל הפשטות.
הפורטים הרלוונטיים אכן מוגדרים כACCESS עם הVLAN המתאים.
בשום ציוד שלי אני לא מגדיר NATIVE VLAN.
למקרה שלא הייתי ברור - הגדרתי PORTGROUP ל2 הVLANים הנ"ל אל כרטיס השרת הפיזי הספציפי וכמובן אל הכרטיסים הוירטואליים של הVM.
זוהי רשת נפרדת לחלוטין משאר הרשתות שלי ומתפקדת כמעט כDMZ. אין אף vmkernel משוייך.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #8 

אם הגדרת לרשת LAN שלך את VLAN330 , שייכת עליו אחד מכרטיסי רשת וירטואליים שב pfSense ואתה מצליח להגיע עליו ממחשבים שמחוברים לפורטים של מתג פיזי שמשויכים לאותו ה VLAN, לא צריכה להיות שום בעיה, שגם ב VLAN331 , אם הגדרת את כל אותן הדברים, שהמצב יהיה זהה ברשת WAN, אלה , אם כן, באותו VLAN331 יש דבר שונה כלשהוא.
בכל מקרה בשביל לזהות את הבעיה צריך להפריד אותה לגורמים, למשל במקום הוטבוקס לחבר מחשב ולהגדיר על כרטיס רשת שלו כתובת IP סטטית וגם ברגל WAN של pfSense להגדיר כתובת IP סטטית מאותה התת רשת ולנסות, האם יש תקשורת בינהם, למשל האם ניתן לעשות PING מה WAN של pfSense למחשב זה.
אם גם בשלב זה לא תהייה תקשורת, אז ניתן לבדוק עוד שלב, למשל לחבר במקום ESXI את מחשב עם כרטיס רשת מתוייג ל VLAN331 וגם עם כתובת IP סטטית. אם יש תקשורת בין שני המחשבים, אז לפחות בחלק של המתג הכל מוגדר נכון. אם בין pfSense ולבין מחשב שמחובר במקום ההוטבוקס יש תקשורת עם כתובות IP סטטיות, אבל pfSense לא מצליח למשוך כתובת דרך DHCP , ניתן לבדוק האם לא הוגדר על מתג dhcp snooping , שמונע את זה. בקשר ל Native VLAN , צריך לבדוק, גם, אם לא הגדרת אותו ידני, אז יש מתגים שמשייכים אותו אוטומטי.

ag43 (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #9 

אני כבר מתחרפן. מחשב פיזי שמחובר לaccess port עם vlan331 מושך בלי בעיה. trunk של 331 ו330 לesx לא מושך IP מ331 אבל מחלק IP ל330.

מתוך יאוש הגדרתי כרטיס רשת אחד לPFSENSE שמקבל את כל הVLANים (4095) והגדרתי vlanים בתוך הPFSENSE. שוב רשת 331 לא מושכת Ip ורשת 330 כן מסוגלת. אני כבר ממש לא מבין מה זה יכול להיות (מעבר להפרעה נפשית של ההוטבוקס).

עריכה:
בקביעת IP קבוע בטווח 192.168.100.0 אני מגיע לממשק הניהול כך שהבעיה לא בניתוב. משום מה מכונות וירטואליות לא מצליחות למשוך כתובת מההוטבוקס.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #10 

כמו שכבר כתבתי מקודם, בשביל לזהות היכן הבעיה מתחילים לפרק אותה לגורמים ובודקים כל חלק בנפרד. עוד הפעם. הגדרת פורט שהוא TRUNK עם VLAN 330 ו 331 , חבר עליו מחשב עם כרטיס רשת מתוייג ל VLAN331 . מחשב זה מושך כתובת מהוטבוקס ? יפה, עד לכאן הכול בסדר , מתג והוטבוקס מוגדרים ומחוברים תקין וצריך לעבור על ההגדרות של ESXI , למשל אפשר לבדוק, האם ב NIC Teaming מוגדר Load Balancing כ Route based on originating virtual port ID , אפשר גם לנסות על ה ESXI להתקין מחשב וירטואלי עם WINDOWS 10 למשל ולחבר אותו במקום ה PFSENSE ל PORT GROUP של VLAN 331 ולבדוק האם הוא מושך את הכתובת מהוטבוקס , אם הוא מגיע לממשק ניהול שבכתובת 192.168.100.1 . עד שהוא לא יתקשר עם ההוטבוקס אין מה להתקדם להגדרות של pfSense . בקיצור לבדוק דברים שהם א' ב' של מחשבים.
אופציה שנייה. מחשב עם כרטיס רשת שמתוייג ל VLAN331 ושמחובר במקום ה ESXI לא מושך כתובת מהוטבוקס ? אז אין בכלל מה לחפש בינתיים בהגדרות ה ESXI וצריך לעבור עוד הפעם על ההגדרות של המתג.
זה הכל. אין יותר כאן מדי אפשרויות.

ag43 (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #11 

את כל הנ"ל כבר עשיתי כפי שכתבתי. בסוף אחד הREBOOTים להוטבוקס גרם לו לחלק כתובת.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #12 

כל הכבוד לצה''ל ולזרועות הביטחון.
ועכשיו לשאלה למה לפני כיבוי והדלקה הוטבוקס לא חילק כתובות ואיך ניתן הייה לבדוק שיש איתו תקשורת, למרות שהוא לא מחלק כתובות.
נתחיל מהסוף. היית מגדיר את הכתובת של רגל WAN ב pfSense בצורה ידנית לכתובת מהתחום של 192.168.100.0/24 ובודק Ping לרגל של הוטבוקס. אם יש PING ממשיכים לבדוק את הוטבוקס.
ולשאלה למה לפני הכיבוי והדלקה של הוטבוקס לא ניתן היה למשוך ממנו כתובת לרגל WAN של pfSense. והתשובה לכך גם פשוטה. ניסית כבר לצורך בדיקה לחבר עליו ישירות כרטיס \ ים רשת עם MAC שונה מזה שמוגדר לרגל WAN של pfSense . במערכת של הוט ההגדרה לספק ללקוח לפי MAC כתובת IP ו עד שלושה כתובות לשלושה MAC שונים. שמנסים עוד כרטיס רשת ( רביעי ), לא תינתן לו כתובת עד שהכתובות הקודמות לא ישוחררו ( על ידי כיבוי והדלקה של הוטבוקס ).
בגלל זה יש לי מקומות שבהם מוגדרת ידני כתובת MAC של רגל WAN ב pfSense , לכתובת שהיתה שייכת לציוד שהייה מותקן שם לפני זה. וגם לצורך שאם מתקינים שם מכונה אחרת, עדיין המערכת של הוט תראה את אותו ה MAC.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”