Pfsense не пингуется lan

Обновлено: 07.07.2024

28 января 2016 kna

Итак, теперь мы имеем работающий pfSense на отдельном компьютере. Как это выглядит:

• WAN (смотрит в инет) - на первое время подключен в локальную сеть предприятия, где свободно гуляет интернет раздаваемый роутером DIR-300 на адресе 192.168.0.254. IP-адрес WAN-интерфейса = 192.168.0.50 (назначился автоматом при помощи DHCP роутера)
• LAN (смотрит во вновь созданную локальную сеть 192.168.2.0/24). IP-адрес pfSense в локальной сети = 192.168.2.253 (назначен статически)

Знакомство с pfSense

Отныне будем работать на Клиенте с IP-адресом 192.168.2.3.

Открываем в браузере адрес 192.168.2.253. Принимаем риск и добавляем в исключения.

Вводим: admin pfsense

Загружается Wizard (мастер настройки), игнорируем его нажатием на логотип pfSense и выходим в WEB-интерфейс настройки

Заходим Status -> Interfaces и смотрим настройки сетевых интерфейсов:

Теперь попробуем на клиенте пропинговать следующие адреса:

• 192.168.2.253 (адрес нашего шлюза pfSense)
• 192.168.0.50 (внешний адрес нашего шлюза pfSense)
• 192.168.0.254 (внутренний адрес DIR-300)
• IP-адрес любого компьютера в рабочей сети
• Адрес любого сайта в интернете

Все пинги должны проходить успешно, интернет на клиенте должен работать.

Теперь переходим на любой рабочий компьютер в сети предприятия и пробуем пропинговать pfSense по адресу 192.168.0.50. И тут-то возникает проблема.

По идее он должен пинговаться, так как никаких запрещающих правил мы не устанавливали. Да и в случае необходимости доступа из-вне pfSense нас не запустит. Я долго искал причину этой проблемы в интернете, но натыкался лишь на статьи по добавлению разрешающих правил в фаервол для ICMP-пакетов, что, конечно же, не помогало.

pfSense не пингуется WAN

Причина этой проблемы была описана в предыдущей статье, а именно:

Более того, я также рекомендую чтобы адрес WAN-порта не был частным IP (т.е. 192.168.0.0/24 или 172.16.0.0/16 или 10.0.0.0/8), иначе при стандартных настройках будут возникать проблемы (об одной из них и о её решении я расскажу далее)

Перед тем как решать проблему запустите на любом рабочем компьютере сети предприятия бесконечный пинг адреса 192.168.0.50 с помощью команды:

ping 192.168.0.50 -t

Теперь идем в Status -> System Logs -> вкладка Firewall

Видим все пакеты заблокированные нашим фаерволом, ищем ICMP-пакет, что соответствует нашим пингам

Из строки понятно что: Заблокирован пакет 28 января в 01:08:50 (кстати время не верное) на интерфейсе WAN от IP-192.168.0.191 (один из компьютеров сети предприятия) направленный в сторону IP-192.168.0.50 (внешний адрес pfSense). Понятно, но почему же он блокируется? А узнать это можно нажав на красный крестик отмеченный стрелочкой.

Ключевая фраза здесь Block private networks from WAN block 192.168/16. Вбиваем в яндекс запрос типа pfsense Block private networks from WAN block 192.168/16 и узнаём что решение проблемы находится в разделе Interfaces -> WAN -> раздел Private networks -> флажок Block private networks.

Переведя пояснение узнаём о предназначении флажка:

Когда установлена эта опция, блокируется весь трафик с IP-адресов разрешенных как частные сети по стандарту RFC 1918 (10/8, 172.16/12, 192.168/16) и loopback (127/8). Вы должны отключить эту опцию если ваш WAN-интерфейс находится в пределах частных сетей.

Снимаем флажок, нажимаем кнопку Save внизу страницы, нажимаем кнопку Apply changes вверху страницы, смотрим на пинг. Пошёл?? Нет? Как нет?!

Идём снова в Status -> System Logs -> вкладка Firewall, ищем свежий ICMP-пакет, нажимаем на красный крестик и что видим.

Но, что мне нравится в pfSense, так это то что он сделан для людей! 🙂 Жмём на маленький зеленый плюсик в строке с блокированным ICMP-пакетом. Называется она Easy Rule: Pass this traffic. Система спросит подтверждения - соглашаемся. И вуаля! Пинг пошёл. В списке правил появилось новое правило для ICMP-пакетов на адрес 192.168.0.50 с адреса 192.168.0.191. Теперь нам нужно подредактировать его для более широкого применения. Жмем на кнопку с буквой e:

Нажимаем Save, затем Apply changes.

Всё, теперь наш pfSense из WAN-порта будет беспрепятственно пинговаться.

Общие настройки

Как Вы могли заметить, в логах у нас неправильное время (хотя может Вам повезло с часовым поясом и у Вас всё правильно)

Зайдите Status -> Dashboard и проверяем правильно ли показывает время в строке Current date/time

Читайте также:

  
• Как полировать дисплей пастой гои
  
• Что хранится на карте памяти в телефоне самсунг
  
• Как подключить внутренний картридер к внешнему usb
  
• Не удается войти в onedrive 0x8004def7
  
• Как в одноклассниках отправить голосовое сообщение через компьютер