我有一个 PFSense 防火墙,作为位于 Xen 虚拟机管理程序之上的一组 VM 的网关(除主机之外的所有计算机都是虚拟的)。我让 PFSense 充当一个路径点,以便能够将流量路由到互联网,因为我的托管服务提供商会这样做,如果您希望设备完全连接,您必须为虚拟 MAC 分配一个故障转移 IP,以便它能够进入他们的网络,所以我认为我只需要在这个公共地址上进行端口转发即可。听起来不错吧?
PFSense 也有一个 IPv6 出口(只是为了双栈,如果我只希望主机有一个 IPv6 地址以实现单独可达性)
从 PFSense 本身,我可以在其公共 IPv4 地址上 ping、curl、dig 等,但对于 LAN 网络上的客户端,无法执行相同的操作。无论出于何种原因,流量都会丢失并且未发送出去。我检查了公共 WAN 接口上的数据包捕获,但没有看到数据包传出到互联网。我检查了防火墙以查看它是否被过滤,但没有。我使用的是安装时的默认规则。
所有虚拟机都使用 e1000e 作为虚拟以太网适配器,据我所知,它应该可以正常工作。IPv6 连接工作正常,我可以确认这不是 LAN 问题,因为我可以使用 LAN IP 地址正常连接到其中的每个盒子。
地形:
[ISP] -> (eno3) [Xen 主机] (br0) -> (xn0) [PFSense] (xn1) -> (br1) -> [client01]
br0 - 主机上 eno3 的桥接适配器。此处连接的设备具有公共 IPv4 地址和虚拟 MAC 集,允许 ISP 将流量路由回单个 IP。
br1 - 虚拟机的桥接适配器 + PFSense 的 LAN 接口。
所有桥接器都位于 Xen 主机上。编辑:忘记提了。我可以从所有来宾那里使用 ICMP(例如:ping 8.8.8.8),它们工作正常。