我正在使用 pfSense 2.5.1 和 VMWare Workstation Pro 16。
我正在尝试将 pfSense vm 配置为具有三个 NIC 的简单路由器(没有防火墙或其他东西):
- em0 = WAN(已进行网络地址转换)
- em1 = LAN(192.168.10.254,在 VMNet1 上启用 DCHP,并禁用其 DHCP)
- em2 = OPT1(192.168.20.254,在 VMNet2 上启用 DCHP,并禁用其 DHCP)
根据我在互联网上看到的内容,我选中了“禁用所有数据包过滤”,并且还禁用了出站 NAT,但我不知道为什么,路由不起作用:pfSense 机器可以毫无问题地访问互联网(我可以从其控制台通过 IP 或 URL ping 远程主机)但连接到 em1(VMNet1)或 em2(VMNet2)的每台机器都无法上网:它们通过 DHCP 正确获取配置,但无法访问互联网。
您能告诉我将 pfSense 机器设置为不启用防火墙或其他东西的简单路由器的具体步骤是什么吗?
- 更多的 - 我的计算机安装了 Win10 Pro 和 VMWare WS 16,通过以太网电缆连接到光纤调制解调器。当 pfSense 中有两个以上的 NIC 时,就会出现奇怪的行为:我的意思是,如果我将 pfSense 配置为仅使用两个网卡(一个作为 WAN,另一个作为 LAN),则不会出现任何问题,并且连接到 LAN NIC 的每个设备在安装 pfSense 后无需任何配置就可以完美地连接到互联网。因此,我假设上游网关能够处理网络连接 (@user1686)。但是,如果有两个以上的 NIC,则 LAN 卡和 WAN 卡之间不会发生路由(并且在安装另一个 NIC 之前工作的卡停止工作),即使设备从 DHCP 获得正确的配置,并且我可以从连接到其中一个 LAN 卡的任何设备 ping WAN IP 地址。
- 视频 - 我刚刚在 Youtube 上上传了一个视频(可能您必须等待才能观看全高清视频):
您可以在这里清楚地看到我想要解释的内容:正如您所看到的,pfSense 最初似乎可以工作,但在配置第二张 LAN 卡(OPT1)后,一切都停止工作。
答案1
我假设您的 WAN 直接连接到 ISP 或 ISP 调制解调器。在这种情况下,默认的基本 pfSense 配置(仅配置接口和 IP 范围,没有其他配置)应该正是您要查找的配置。
(其中包括出站 NAT。您需要它才能使 NAT 到 WAN 接口正常工作。)
但是,根据我自己使用 pfSense 的经验,一旦您开始使用设置并犯了错误,就很难回到原来的起点。
我强烈建议您从头开始重新安装 pfSense。在设置期间定义 WAN、LAN 和 OPT 接口及其 IP 地址和范围,不要触碰任何其他内容。
这应该会为您带来一个良好的起点。从那时起,您可以在每次进行任何更改之前从 Web 界面保存 pfSense 配置,如果事情没有按预期进行,则恢复到该保存点。
我安装 pfSense 已经有一段时间了,但从记忆中看,你只需要进行基本设置。
也许为每个内部 LAN 添加一个“允许任何到任何”防火墙规则,以确保完全没有过滤,并且两个内部 LAN 可以相互通信。
我注意到您正在 VMWare 工作站上的 VM 中执行此操作。
确保 VMWare 使用其自己的内部 DHCP 分配给客户机的 IP 设置与 pfSense 想要使用的设置不冲突。
为了使用 pfSense,客户端必须使用 pfSense IP 地址(在其子网中)作为默认网关和 DNS 服务器。最好将客户端设置为手动 IP 而不是 DHCP。如果它们使用 DHCP,它们将从 VMWare DHCP 获取(错误的)指令,因为您在 pfSense 内部 LAN 上禁用了 DHCP。
在这种情况下,很容易将 VM 上的预期配置与虚拟化产品提供的默认配置混淆,这会严重混淆和复杂化您的故障排除过程。
答案2
如果您禁用(出站)NAT,则您将禁用使用一个公共IP从LAN中的多个设备(路由器“后面”)访问互联网的功能。因此,当前行为实际上是正确的行为。
如果您从 ISP 获得一个公共 IP 地址(通常是动态 IP),我认为这是您的情况,那么您需要重新激活 NAT,以便路由器“后面”的设备也可以访问互联网。
如果您有多个公共 IP(静态 IP),您可以将其单独分配给各个设备,并且您需要相应地设置您的路由器(在这种情况下,您可以禁用 NAT)。
注意:NAT 仅被视为“防火墙”功能,因为通俗地说,除非您设置端口转发,否则传入的数据包通常会被丢弃。这可以为网络提供一些“安全性”,因此提到了“防火墙”。但这只是使用 NAT 的主要原因(至少在您的场景中)的副产品,即能够通过一个 IP 地址使用多个设备访问互联网。
注意:您可能不会从 ISP 获得“真正的”公共 IP 地址,而是运营商级 NAT 地址。但这不会对 LAN 中尝试访问互联网(出站流量)的任何设备造成任何问题。
注意:您需要设置路由器,它知道如何在网络之间路由(特别是在 LAN 和 WAN 之间)。使用最终消费者路由器可能更容易,您只需插入 WAN 和 LAN 电缆并进行很少的设置。如果您想坚持您的解决方案,我建议您阅读有关路由器和路由器设置的内容,一个很好的搜索词可能是setup router routing table
。也许还有一些关于路由器/第 3 层(和第 2 层)的基本内容。有大量的资源,取决于您的学习偏好,例如YouTube
答案3
如果您没有将来自 192.168.xx 网络的出站流量通过 NAT 传输到互联网,您的 ISP 将不会路由此流量,因为这是一个不可路由的 IP 范围。这就是为什么这两个 IP 地址范围内的任何内容都无法访问互联网的原因。