Рейтинг:1

Server

Проблема с конфигурацией VyOS

sbagnato

15.06.2023, 16:39

Я работаю над созданием лаборатории VMWare. У меня есть физическая коробка, на которой я установил ESXi 6.7. Хотя я буду добавлять еще много, в настоящее время у меня есть 3 виртуальных машины; сервер Windows 2016 без установленных ролей сервера, контроллер домена (клонированный из базового образа Windows Server 2016) с установленными (и настроенными) ролями контроллера домена и DNS и маршрутизатор VyOS.

Схема сети приведена ниже, но маршрутизатор VyOS имеет четыре подсети; один для контроллера домена, один для ящика Server 2016, один в настоящее время пуст, а другой как маршрут из сети.

DC статически назначается 10.0.1.1. Коробка Server 2016 настроена для DHCP (роль DHCP на контроллере домена), и DHCP подтвержден для работы, поскольку ящику назначен 10.0.2.11 (пул 10.0.2.1-254, с зарезервированными 1-9 (не знаю). почему не взял 10, но пофиг).

Однако, похоже, у меня проблема как с DNS, так и с маршрутизацией. В частности, из контроллера домена я могу пропинговать по шлейфу каждый интерфейс VyOS, сетевую карту ESXi, рабочую станцию управления (мой рабочий стол), а также мой брандмауэр pfSense.Но я не могу пропинговать ящик Server2016 (опять же, я могу пропинговать интерфейс в его подсети, но не сам ящик) по IP (истекло время запроса) ИЛИ имя хоста (запрос ping не смог найти хост Server2016), а также я не могу пропинговать 8.8.8.8 или любую другую внешнюю сеть (ответ от 10.0.1.254: пункт назначения недоступен). То же самое и с коробкой Server2016; Я могу пропинговать loopback, каждый интерфейс VyOS, сетевую карту ESXi, рабочую станцию и pfSense, но я не могу пропинговать контроллер домена по IP-адресу или имени хоста (по крайней мере, он разрешает DC1 в IP-адрес, но затем дает истекло время запроса), и я не могу пропинговать Интернет.

Я почти уверен, что это просто несколько проблем с конфигурацией. Я просто еще не смог исправить это / их. Моя конфигурация VyOS (скриншоты, поскольку я не могу копировать/вставить из среды), а также конфигурация DHCP и DNS приведены ниже:

Любая помощь очень ценится!

266

0 + 0

внутренний DNS

выос

Appleoddity

15.06.2023, 17:43

Вы не делились своей конфигурацией DHCP или какой-либо IPConfig ваших сетевых интерфейсов на различных машинах, о которых идет речь, особенно информацией о шлюзе по умолчанию на всех машинах. Вы не предоставили общий доступ ни к конфигурации шлюза по умолчанию, ни к таблицам маршрутизации VyOS. Без этой критической информации определить проблему невозможно.

Ответить

Appleoddity

15.06.2023, 17:51

У вас определенно больше одной проблемы. Но одна фундаментальная проблема заключается в том, что ваша рабочая станция, вероятно, использует 192.168.27.1 в качестве шлюза по умолчанию и использует таблицы маршрутизации по умолчанию.Ни ваша рабочая станция, ни блок pfSense не имеют представления о том, где находится какая-либо из сетей 10.x. Это в корне неверно, потому что маршрутизатор (VyOS) должен находиться в центре сети, а pfSense находиться отдельно, в одном сегменте сети, а все остальные системы — в разных сегментах, и все системы используют VyOS в качестве шлюза по умолчанию. VyOS использует pfSense в качестве шлюза по умолчанию.

Ответить

sbagnato

15.06.2023, 21:19

@Appleoddity да, я пропустил несколько скриншотов и продублировал один. Я обновил OP снимком экрана, показывающим статический маршрут в VyOS, информацию ipconfig на контроллере домена и сервере, а также базовую настройку DHCP. Просматривая второй комментарий, я думаю, что понимаю, о чем вы говорите.

Ответить

sbagnato

15.06.2023, 21:20

@Appleoddity Моя цель, и, очевидно, она может быть ошибочной, состояла в том, чтобы создать полную лабораторную сеть, полностью отделенную от моей домашней сети. В лаборатории будет маршрутизатор и 3 внутренние подсети. Я бы получил к нему доступ через веб-консоль vmware esxi. Любые веб-запросы будут направляться из лабораторной сети через физическую коробку pfsense в Интернет. Pfsense обеспечивает маршрутизацию и dhcp для моей домашней сети, но я не хотел, чтобы он предоставлял лаборатории что-либо, кроме шлюза в Интернет. Если логика ошибочна, поправьте меня, так как я хочу узнать, как это сделать лучше всего и правильно.

Ответить

Appleoddity

16.06.2023, 01:08

Можете ли вы добавить вывод `route print` на вашу домашнюю рабочую станцию? И добавить скриншот вашей таблицы маршрутизации на pfSense? У меня есть некоторые идеи, но не все складывается. Во-первых, я думаю, что у вас неправильно настроено правило NAT. Я думаю, вам нужно добавить `set nat source rule 10 source address '10.0.1.1-10.0.3.254'` для работы доступа в Интернет. Далее, я думаю, вам нужно проверить брандмауэры на вашем DC и Server2016 и временно отключить их, чтобы проверить пинг между ними. Наконец, вам нужно добавить запись A для Server2016 в DNS, если вы хотите, чтобы она разрешалась через DNS.

Ответить

Appleoddity

16.06.2023, 01:09

Server2016 еще не присоединен к домену, поэтому он не может динамически добавлять себя в записи DNS на контроллере домена. Вам придется добавить его вручную. Наконец, наконец, поскольку вы используете NAT, вы сможете выходить в Интернет и пинговать устройства в своей домашней сети из виртуальных сетей. Но вы не сможете общаться наоборот без правил переадресации портов. Я не эксперт VyOs, и я был удивлен, увидев, что его больше нельзя использовать бесплатно. Если что-то из этого сработает, я добавлю официальный ответ с дополнительным объяснением.

Ответить

sbagnato

16.06.2023, 15:51

@Appleoddity отличный звонок по поводу брандмауэров и записи A. Пинг больше не является проблемой между контроллером домена или сервером 2016. Что касается правила NAT, я хотел подтвердить, должен ли я удалить правило NAT, которое у меня было, или просто добавить то, которое вы предоставили? Что касается способности моей домашней сети подключаться к виртуальной сети и наоборот, пока я могу получить доступ к виртуальным машинам через браузер esxi, я бы предпочел, чтобы все остальное было сегментировано. Я могу поработать над правилами брандмауэра позже. Скриншоты маршрута по запросу добавляются внизу ОП.

Ответить

Appleoddity

16.06.2023, 15:54

это дополнительная команда для NAT. Я думаю, вы пропустили это, но я не уверен, потому что, если бы это не работало, вы не смогли бы пропинговать свою рабочую станцию или pfSense, не внося изменения в маршрутизацию на этих устройствах. Подозреваю, что NAT не происходит. Таким образом, вы не можете выйти в Интернет, потому что pfSense не знает и не доверяет IP-адресам 10.x.x.x. Опять же, не специалист по VyOS. Возможно, вам придется перестроить правило NAT, включая дополнительную команду, которую я вам дал. Или это может быть недействительной командой в представленном виде. Не уверена.

Ответить

sbagnato

16.06.2023, 18:37

@Appleoddity да, вы были правы, добавив, что правило NAT позволяет обеим виртуальным машинам пинговать Интернет. Итак, я «думаю», что вся проблема, как я ее представил, решена.

Ответить

Appleoddity

16.06.2023, 20:19

Потрясающий. Я добавил ответ с подробным описанием этой информации. Я был бы признателен, если бы вы могли принять это как ответ и проголосовать за него. Спасибо!

Ответить

Рейтинг:1

Server

Appleoddity

16.06.2023, 20:19

Я возьму удар на этом. Существует несколько проблем.

Почему вы не можете получить доступ в Интернет? (т.е. пинг 8.8.8.8)

Похоже, ваша конфигурация NAT в VyOS не завершена. Я ни в коем случае не эксперт в VyOS. Однако, похоже, вы также должны указать исходные адреса для соответствия в правиле NAT. В этом случае, я считаю, вам нужно добавить установить nat source rule 10 адрес источника '10.0.1.1-10.0.3.254'. Без этого трафик не соответствует правилу NAT, и, следовательно, трафик не подвергается NAT, когда он выходит в вашу домашнюю сеть к блоку pfSense. В этом случае у pfSense не будет соответствующей таблицы маршрутизации или соответствующего доверия для пропуска трафика из виртуальных сетей. NAT скрывает эти адреса и заставляет весь трафик из виртуальной сети отображаться как единая доверенная система в вашей домашней сети. Недостатком здесь является то, что связь является односторонней. Вы можете пропинговать свою рабочую станцию из виртуальной сети, но ваша рабочая станция не сможет пропинговать или подключиться к машинам в виртуальной сети. Если вы не установите соответствующие правила переадресации портов в VyOS.

Почему вы не можете пинговать с DC на сервер или наоборот?

По умолчанию брандмауэр Windows включен и блокирует большую часть этого трафика. Попробуйте отключить брандмауэр Windows для проверки. Если это решит проблему, добавьте необходимые исключения в правила брандмауэра. Или, как только вы наладите работу своего домена, очень легко развернуть стандартные правила брандмауэра на всех компьютерах в домене с помощью групповой политики. Например, вы можете разрешить эхо-запросы/ответы ICMP, чтобы пинг буду работать.

Почему не будет Сервер2016 разрешить IP-адрес сервера?

Ваша текущая конфигурация не показывает, что у вас есть запись A, добавленная на ваш DNS-сервер, которая соответствует Сервер2016 имя. Если бы это был полностью функционирующий домен AD, то системам, которые являются частью домена, обычно разрешено добавлять и обновлять свои собственные записи A на DNS-сервере, поэтому этот процесс выполняется автоматически. Однако, поскольку Сервер2016 еще не присоединен к домену, у него нет разрешения на добавление/обновление записей на DNS-сервере. Таким образом, вы должны добавить его вручную.

0 + 0

Admin

Этот вопрос на других языках:

EN: VyOS Configuration Issue

TH: ปัญหาการกำหนดค่า VyOS

RO: Problemă de configurare VyOS

RU: Проблема с конфигурацией VyOS

VI: Sự cố cấu hình VyOS

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.