VMware Global Community
Virtualfonzy
Contributor
Contributor

Problema con pfsense su vmware 12

Ciao a tutti.
Ho deciso di iniziare a studiare il funzionamento di pfsense.
Ho installato l'ISO pfSense-CE-2.4.4-RELEASE-p3-amd64 su Vmware workstation che a sua volta è installata in windows 10 64bit su un notebook hp piuttosto datato.

questa la configurazione in VMware:

https://funkyimg.com/i/2YgmC.jpg

Il notebook è al momento collegato in wifi al mio router casalingo.
A fine installazione mi ritrovo nel prompt di pfsense che ha attribuito alla connessione wireless la porta WAN con IP 192.168.2.112 (assegnato dal dhcp del router) e come LAN ho un IP, diciamo, del tipo 192.168.10.1/24

tutto ok

Apro il browser del mio notebook e inserisco l'indirizzo IP della LAN e mi ritrovo alla pagina di login di pfsense e quindi nella dashborad.
Il problema è che dopo un po' non riesco più a navigare nell pannello e mi butta fuori in pratica.
Mi sono accorto che cambiando IP della lan (ad esempio dal precedente 192.168.10.1 a un 192.168.20.1) riesco ad entrare nella dashboard di nuovo ma poi mi ricapita lo stesso problema e ridevo ricambiare l'iP per poter rientrare.
Non ho capito quale possa essere il problema?
Potete aiutarmi?
Grazie

ps: poi non ho capito perché non riesco in alcun modo ad entrare nella dashborad quando il notebook è collegato in tethering al mio cell in tethering (nemmeno cambiando IP lan), ottenendo quindi l'iP della porta WAN da quest'ultimo.

Reply
0 Kudos
12 Replies
scanda
Expert
Expert

Per questo tipo di configurazione ti conviene utilizzare il NAT sulla WAN e la network host only per la LAN.

Il networking di workstation non è completo come quellod i un esxi.

Il wifi lo utilizzo solo in NAT per le VM sul mio portatile, se ho bisogno di una connettività più stabile utilizzo le porte ethernet (magari anche una ethernet_to_USB in bridge)

scanda

Reply
0 Kudos
Virtualfonzy
Contributor
Contributor

scanda

Come mai due impostazioni Bridge (magari usando la porta ethernet originale più un adattatore USb->ethernet come suggerivi) per 2 network adapter non sarebbe l'ideale?

Grazie

Reply
0 Kudos
scanda
Expert
Expert

Puoi anche usare il bridge su una sola scheda ma significherebbe l'overlapping della WAN con la LAN, funziona ma non è il massimo.

Fare i bridge su due schede distinte (ovviamente collegate a 2 vlan diverse) sarebbe ottimo.

scanda

Reply
0 Kudos
Virtualfonzy
Contributor
Contributor

Immagino che la mia difficoltà a capire la problematica derivi dal fatto che non so bene cosa si intenda per overlapping (non ho conoscenze sulle reti approfondite) e quindi mi risulti difficile

orientarmi anche sul funzionamento con VMware.

Potresti darmi delle indicazioni in modo che possa poi orientare i miei studi su questo aspetto?

Grazie

Reply
0 Kudos
scanda
Expert
Expert

Il termine overlapping (rimanendo in ambito networking) può assumere vari significati.

Nel contesto della mia risposta sta ad indicare due subnet sullo stesso dominio di broadcast, per l'appunto sovrapposte.

E' buona pratica associare ad un dominio di broadcast una sola subnet.

Per comprendere il problema dovresti conoscere come funzionano i modelli OSI e TCP/IP, nel dettaglio come funziona una rete ethernet e l'indirizzamento TCP/IP.

Puoi iniziare cercando in rete, se ti interessa capire a fondo come funziona una rete un ottimo corso è quello per la certificazione CCNA R&S (intendo un corso Cisco Academy).

La virtualizzazione viene dopo ... se non hai buone basi di networking farai fatica a capire anche tutto il resto.

scanda

Reply
0 Kudos
Virtualfonzy
Contributor
Contributor

scanda

È da relativamente poco tempo che sto approfondendo i concetti di rete, però non sono completamente a digiuno della materia e ho fatto delle letture, anche se sono perfettamente consapevole di avere ancora tante lacune. Conosco più o meno i modelli OSI e TCP/IP, ma il termine overlapping non lo avevo mai incontrato. Ho fatto un po' di ricerche

e penso di aver capito di cosa si tratta.

Resta però il fatto che vorrei adesso contestualizzarlo nell'ambiente VMware per avere più chiara la problematica.

Tu dici:

"Nel contesto della mia risposta sta ad indicare due subnet sullo stesso dominio di broadcast, per l'appunto sovrapposte".

Ok. Potresti gentilmente farmi un esempio pratico di come (in questo caso utilizzando in bridge) si venga a creare un overlapping tra wan e lan?

In effetti io vorrei proprio che la WAN ottenga l'indirizzo IP dal router reale  in modo poi da assegnare alla lan di PFsense una subnet differente.

È la stessa situazione che ho replicato su un pc reale senza la virtualizzazione.

Grazie ancora per le risposte e la pazienza 🙂

Reply
0 Kudos
scanda
Expert
Expert

Il problema è più teorico che pratico e risiede nel fatto che avendo 2 reti sovrapposte hai anche il doppio dei broadcast.

Gli hosts sulla rete utilizzano i broadcast per recuperare informazioni dagli altri hosts, successivamente instaurano delle sessioni di tipo unicast.

I broadcast vanno tenuti sotto una certa soglia (a memoria credo sia il 30% del traffico totale) per ovvi motivi di performance poichè "rubano" la banda ai servizi di rete.

Da qui la best practice di associare una subnet ad un singolo dominio di broadcast.

Esempio : se sulla lan (vlan 100) ho una rete 192.168.1.0/24 (quindi potenzialmente posso avere 254 hosts) il traffico di broadcast verrà generato da 254 hosts.

Ma se ora configuro un'altra subnet sulla stessa vlan 100 tipo 192.168.2.0/24 e collego altri 254 hosts capirai che ci sarà il doppio dei broadcast.

Le reti sono indipendenti ma il traffico risultante confluisce tutto dentro los tesso dominio di broadcast, ti posso assicurare che queste cose le vedo quotidianamente dai clienti.

La cosa corretta da fare è creare una nuova vlan (tipo 200) e spostarci dentro la subnet 192.168.200.0/24 e i relativi hosts.

Naturalmente questo comporta la configurazione di qualche sorta di Intervlan rouiting.

Quindi, tornando alla virtualizzazione (relativamente a Workstation), se utilizzi una sola interfaccia in bridge e ci agganci sia la LAN che la WAN, ottieni l'overlapping di 2 subnet sullos tesso dominio di broadcast.

Ovvio che se sulle 2 reti hai una manciata di hosts il traffico broadcast rimarrà basso (ecco perchè è un problema teorico)

spero di essere stato chiaro

scanda

Reply
0 Kudos
Virtualfonzy
Contributor
Contributor

scanda

Beh, per quel poco che ne so, per buona norma ad ogni Vlan (ID) si assegnano subnet differenti. Altrimenti avrebbe poco senso utilizzarle. Tranne casi particolari.

Diciamo che in linea di massima questo discorso mi è chiaro.

A quanto pare la mia difficoltà sta proprio nel capire come funziona VmWare con determinante impostazioni e configurazioni.

"se utilizzi una sola interfaccia in bridge e ci agganci sia la LAN che la WAN, ottieni l'overlapping di 2 subnet sullo stesso dominio di broadcast."

In che senso agganciare sia la LAN che LA WAN su una sola interfaccia? Ti riferisci alla mia situazione sul notebook descritta nel mio primo post? O alle sole impostazioni di Vmware indipendentemente dalle interfacce reali disponibili sulla macchina reale?

Questo è il punto che mi interessa di più chiarire possibilmente.

In ogni caso, io ora ho due interfacce sul notebook. Oltre a quella ethernet del notebook ho comprato anche un adapter ethernet-> USB che funziona perfettamente anche sul pc reale ed è riconosciuta da pfsense (lo scopo finale è di riportare però pfsense solo su notebook con Vmware comunque).

Grazie ancora

Reply
0 Kudos
scanda
Expert
Expert

Tieni conto che stiamo sempre parlando di vmware workstation, su vsphere è tutta un'altra cosa.

Sul workstation normalmente hai 3 tipologie di rete per le VM : bridge, NAT e host only.

la bridge non fa altro che "agganciare" la connessione fisica del tuo notebook alle interfacce della VM, quindi la VM deve utilizzare il tuo stesso indirizzamento se vuole interagire con gli host della tua rete.

allo stesso modo puoi aggiungere un'altra vnic alla VM e metterla in bridge, il collegamento è identico a quello prima.

Workstation non supporta le vlan quindi non è possibile differenziare il traffico in uscita, si tratta di traffico untagged.

Se vuoi differenziare il traffico devi avere più schede fisiche e collegarle ad uno switch che supporti le vlan, in questo modo puoi gestire diverse subnet (su diverse vlan).

Quindi se le 2 schede del tuo nootebook sono collegate allo stesso switch, ma su vlan diverse, la LAN e la WAN sono effettivametne 2 domini di broadcast.

Se invece le porte dello switch sono tutte sulla stessa vlan hai effettivamente un'overlapping delle 2 reti.

scanda

Reply
0 Kudos
Virtualfonzy
Contributor
Contributor

scanda

tu dici":

"Quindi se le 2 schede del tuo nootebook sono collegate allo stesso switch, ma su vlan diverse, la LAN e la WAN sono effettivametne 2 domini di broadcast."

Penso che il mio caso sia ancora più semplice...almeno credo.

Una porta ethernet (quella originale del notebook) dovrebbe essere collegata al mio router/switch principale che dovrebbe fornire l'indirizzo IP alla WAN di pfsense all'interno di WmWare (diciamo 192.168.1.5 per esempio),

l'altra porta (l'adapter usb->ethernet che ho comprato) del notebook dovrebbe essere invece collegato a un piccolo switch unmanaged da cui partirebbe la LAN creata in pfsense con un indirizzo interno (diciamo 192.168.2.0) a cui poi potrebbero essere collegati i vari devices "monitorati" da pfsense in VMware sul notebook.

Spero di essere stato in grado di rendere chiara la mia problematica.

Grazie

Reply
0 Kudos
scanda
Expert
Expert

Dalla configurazione che descrivi non hai problemi di overlapping, ogni scheda è collegata ad uno switch diverso.

scanda

Virtualfonzy
Contributor
Contributor

scanda

Ok, penso di avere più chiara la situazione e le problematiche di rete che devo approfondire con studio e prove sul campo.

Se qualche altro utente non si sente di aggiungere altro, possiamo chiudere il topic qui, almeno per quanto mi riguarda.

Ti ringrazio tanto per le risposte.

Alla prossima.

Reply
0 Kudos