![[PukiWiki]](image/picc.png "[PukiWiki]")
router/pfsense
ESXiで下図のようなネットワークを構築した。
仮想マシンpfsense(192.168.0.72)に複数のNICを持たせ内部ルーターに仕立ててみた。
方法はいろいろありますが、こちらでは192.168.0.0/24からpfsenseを操作できる事を念頭に、加えNAT機能は外して、Firewall機能だけを使えるように作ってみた
router/pfsense#fa8f2025のようにインストールを完了させます。既にインストールされていれば、
pfsenseのコンソール画面で「4)Reset to factory defaults」を選択して、工場出荷前状態にリセットします。
ここで再起動が行われます。
再起動が完了して、暫くするとpfsenseのコンソール画面に戻ります。
合計4つのNICを設けたのだが、wanとlanのみが勝手に決められる。
この設定からlanを外して、wanのipアドレスを192.168.0.72にします。
コンソール画面で「1)Reset to factory defaults」を選択して
これでネットワークの再設定が行われ、wanのみが有効になりました。
ですが、DHCP由来のIPであるため固定IPの付与を行います。
コンソール画面で「2)Set interface(s) IP address」を選択して
これでDHCPで割り当てていたwanのアドレスが192.168.0.72に書き換えられた。
wan側からpfsense(192.168.0.72)にwebブラウザでアクセスします。
初期状態ならアカウントはadmin、パスワードはpfsenseです。
ログイン直後から「pfSense Setup」画面になりますが、無視します。上部のpfsenseアイコンをクリックしてこのwizardから抜けてください。
*同様のものはメニュー「System」->「Setup Wizard」で行えます
NATを無効にするには、メニュー「Firewall」->「NAT」から「Outbound」タブを開きます。
そして、「General Logging Options」から「Disable Outbound NAT rule generation」を選択して「Save」を押下します。
引き続き表示される「Apply Changes」ボタンも押下します。
今現在wanしか定義されていません。なのでメニュー「Firewall」->「Rules」から「WAN」タブで表示されるwan側のルールに
「Anti-Lockout Rule」が存在します。これによってwan側からpfsenseへのアクセスが許可されている。だが、このルールは、lanを追加すると消えます
なので、消えないルールを設けます。
「Add」ボタン(上下どっちも可)を押下して、Actionは「Pass」、Interfaceは「WAN」、Address Familyは「IPv4」、Protocolは「TCP」、sourceは、「any」で、Destinationは「WAN address」、Destination port rangeはFromが80でToも80、これで「Save」ボタンを押下します。
引き続き表示される「Apply Changes」ボタンも押下します。これでwanのルールは下図となる
*一番下にルールが追加された
メニュー「Interfaces」->「(assign)」を開きます。
「Available network ports:」行の「Add」ボタンを押下して、pfsenseにネットワークを追加します。
3つのネットワークを追加して、「Save」ボタンを押下します。
3つのネットワークだが名称がなんだか.....
そして、この段階でwan側のルールから「Anti-Lockout Rule」が消える。
*「Block bogon networks」ルールは、「Interfaces」->「WAN」の「Block bogon networks」チェックを外すと消えます
これでpfsenseを再起動しても、wan側からアクセスできる。
このIPが各LANでのデフォルトゲートウエイとなる。ネットワークを追加したので、メニュー「Interfaces」に「LAN」、「OPT1」、「OPT2」が表示されます。
まずは「LAN」を選び、Enableは「チェック」、IPv4 Configuration Typeは「Static IPv4」、IPv6 Configuration Typeは「None」で、IPv4 Addressは、「192.168.1.1」「24」、そして「Save」ボタンを押下する。
「OPT1」もほぼ同じだが、IPv4 Addressは「192.168.2.1」「24」とする。
「OPT2」も同様だが、IPv4 Addressは「192.168.3.1」「24」とする。
規定だとLANとされた 192.168.1.0/24 にはFirewallのルールが追加される。メニュー「Firewall」->「Rules」から
*LANの「Anti-Lockout Rule」は、メニュ「System」->「Advanced」のAnti-lockoutを有効にすると消えます
だが、OPT1やOPT2は何もルールが追加されていない。なのでLANと同じようなルールを設ける。
ただLANにはIPv6の定義が入っているが、使ってないので入れない。あとAnti-Lockout Ruleも不要なので入れない。
「OPT1」リンクを押下して、「Add」ボタンを押下する
「Edit Firewall Rule」の「Protocol」を「any」にして、「Source」を「OPT1」にして「Save」ボタンを押下する
引き続き表示される「Apply Changes」ボタンも押下します。
これでOPT1へのルールが追加されました。
同じ事をOPT2にも行います。
LAN、OPT1、OPT2と同じようにwanにも同様のルールを追加します。
本来これで「wan側からpfsenseへのアクセスルール付与」は上書きされるので削除して構わないかと
192.168.0.0/24には既にgateway(192.168.0.1)が存在するので、追加のルーティング情報を
192.168.0.0/24に所属するマシンに付与する必要がある。
dhcpでIPを配っているのなら、dhcp#obf6b5b2にて経路情報も配れる。
固定IPで配っているのなら下記コマンドで一時的に、ファイル(route-eth0)を作成して恒久的にすることができる。
[root@c ~]# ip route add 192.168.1.0/24 via 192.168.0.72 dev eth0 # bridge運用ならbr0
[root@c ~]# ip route add 192.168.2.0/24 via 192.168.0.72 dev eth0
[root@c ~]# ip route add 192.168.3.0/24 via 192.168.0.72 dev eth0
[root@c ~]# cat << _EOF_ >/etc/sysconfig/network-scripts/route-eth0
default via 192.168.0.1 dev eth0
192.168.1.0/24 via 192.168.0.72 dev eth0
192.168.2.0/24 via 192.168.0.72 dev eth0
192.168.3.0/24 via 192.168.0.72 dev eth0
_EOF_
[root@c ~]#最後に大本の default gateway(192.168.0.1) の取り扱い。
こちらにも 192.168.{1,2,3}.0/24 のネットワークの宛先がどのIPになるのかを示す必要がある。
Default gatewayがリクエストを受けて、外に飛びまくって帰ってきたけど、戻し先が分からないのでは通信できません。
こちらではNECのルーターがDefault gatewayとして機能している。その設定画面を張る。
