Hyper-V 호스트 연결에 영향을주는 가상화 된 pfSense 2.0.1? 아 르페?


8

설정

Hyper-V에서 호스트로 pfSense 2.0.1 (64bit-amd 이미지)을 설정했습니다. 다른 블로그에서 설명했듯이 네트워크를 가동하려면“ifconfig down deX”,“ifconfig up deX”를 수행해야했습니다.

서버 (Windows 2008 R2를 실행하는 HP)에는 두 개의 물리적 NIC가 장착되어 있습니다.

  • 첫 번째 물리적 NIC (포트 1)가 호스트에 구성되어 있지 않습니다 (Hyper-V 스위치로만, 아래로 더 참조).

  • 두 번째 물리적 NIC (포트 2)는 원격 관리 용 네트워크 (표준 C 클래스 네트워크)로 구성됩니다. 두 NIC가 동일한 스위치와 VLAN = default에 연결되어 있다고 생각합니다 (물리적 배선은 공동 위치 공급자가 수행했습니다).

Hyper-V에는 다음과 같은 가상 네트워크가 정의되어 있습니다.

  • internal : VM 간 통신에 사용되는 가상 시스템 내부 네트워크 (Windows 서버를 연결하는 "LAN").

  • 인터넷 : pfSense의 WAN 연결로 사용되는 가상 네트워크. 이 네트워크는 서버의 첫 번째 물리적 NIC (포트 1)에 할당됩니다. 가상 네트워크는 Hyper-V 전용이며 호스트와 공유되지 않습니다.

내 설정에서 pfSense를 동일한 Hyper-V 호스트에서 실행되는 두 개의 가상 머신 (Windows 서버)에 대한 인터넷 연결 방화벽으로 사용합니다.

Windows 상자는 pfSense를 기본 게이트웨이로 사용하며 pfSense 방화벽을 통해 모든 VM에 Windows 업데이트를 성공적으로 다운로드했습니다.

들어오는 서비스를 리디렉션하기 위해 pfSense는 1-1 NAT로 설정되어 ISP의 IP 주소를 Windows 상자의 내부 172.16.0.0/16 주소에 매핑합니다.

문제

내가 가진 문제는 관리 네트워크 (포트 2)를 통한 RDP 연결 작업을 성공적으로 수행 한 후 연결이 끊어지고 모든 네트워크 연결이 서버와 VM에 손실된다는 것입니다. 문제가 발생하기 전에 두 가지 구성 변경을 수행했습니다.

  1. 관리 IP 주소를 포트 1에서 포트 2로 옮겼습니다.이 변경 사항은 1 시간 후 새 인터페이스 (위에서 설명한 포트 2)에서 RDP를 다시 연결하여 성공적으로 확인되었습니다.

  2. pfSense에서 가상 IP에 대한 일부 구성을 수행했습니다 (1-1 NAT 필요).

몇 분 후 머신 연결이 끊어졌습니다.

당황스러운 점은 관리 네트워크 연결 (포트 2)이 Hyper-V와 통합되지 않았기 때문에 Hyper-V에 의해 손대지 않아야한다는 것입니다. 그러나 pfSense (포트 1의 NIC 사용)에서 오류가 전파 된 것 같습니다.

오늘 초 우리는 하나의 NIC (Hyper-V / pfSense와 호스트간에 공유되는 포트 1) 만 사용할 때도 비슷한 문제가있었습니다. 우리가 얻은 문제는 pfSense가 중지되면 호스트를 핑할 수 있고 다시 시작하면 핑이 작동을 멈췄다는 것입니다 (우리가 아는 IP 충돌 없음).

pfSense는 ISO에서 설치되며 "MAC 주소 스푸핑"은 기본적으로 해제되어 있습니다.

문제가 솔기가 두 물리적 포트 사이에 전파되기 때문에 ARP가 제대로 작동하지 않을 수 있습니다.

이것에 대한 통찰력 의견은 대단히 감사합니다.

/ 제이


당신은 문제를 설명하는 신의 일을했습니다. 그러나 당신은 당신이 어떤 변화를했는지 말하지 않습니다. 가상 및 관리 IP로 사용 된 실제 (또는 난독 화 된) IP 주소와 파트 1과 2의 실제 변경 사항을 나열 할 수 있습니까?
Andy Shinn

이것을 로컬로 디버깅하고 있습니까 (서버와 클라이언트의 스위치가 동일합니까)? 실제로 pfSense / Hyper-V가 문제의 원인이라고 가정 할 수 있기 때문에 실제로 방화벽 / 프록시가 상태 저장 연결을 만료시키는 어딘가에있을 수 있습니다. 가능한 한이 호스트와 가까이 있고 cpSump 및 Wireshark를 각각 pfSense 및 Windows에서 실행 한 상태에서 진행 상황을 확인하십시오. 또한 인터페이스를 교체 했으므로 Hyper-V 가상 스위치의 모든 항목을 다시 확인하십시오.
Giovanni Tirloni

가상 인터페이스에서 무차별 모드를 활성화 했습니까? 방화벽의 경우이를 활성화해야합니다. 기본적으로 게스트 운영 체제의 가상 네트워크 어댑터는 해당 프레임 만 수신합니다. 게스트의 네트워크 어댑터를 무차별 모드로 설정하면 연결된 포트 그룹에 대한 VLAN 정책에 따라 가상 스위치에 전달 된 모든 프레임이 수신됩니다. 이는 침입 탐지 모니터링 또는 스니퍼가 네트워크 세그먼트의 모든 트래픽을 분석해야하는 경우에 유용 할 수 있습니다.
MrLightBulp

답변:


1

W2008R2에서 이벤트 뷰어를 확인 했습니까?

Windows에서 허용하는 최대 TCP 연결 때문일 수 있습니다. https://technet.microsoft.com/en-us/library/cc759700%28WS.10%29.aspx

소프트웨어 라우터로서의 pfSense는 열 수는 있지만 닫을 수없는 연결, 대기 상태 등을 많이 사용합니다. 이러한 종류의 네트워크 사용은 TCP 스택의 기본 제한을 달성 할 수 있으며 창은이 유형의 더 많은 연결을 닫거나 허용하지 않을 수 있습니다. 이 경우에 가장 먼저해야 할 일은 이벤트 뷰어에서보고 된 것이 있는지 확인하는 것입니다.


이 답변을 확장 할 수 있습니까?
BE77Y

소프트웨어 라우터로서의 pfSense는 많은 연결을 사용하지만 열 수는 있지만 닫을 수는 없습니다. 이러한 종류의 네트워크 사용은 TCP 스택의 기본 제한을 달성 할 수 있으며 창은이 유형의 더 많은 연결을 닫거나 허용하지 않을 수 있습니다. 이 경우에 가장 먼저해야 할 일은 이벤트 뷰어에서보고 된 것이 있는지 확인하는 것입니다.
NetVicious

감사합니다-그러나 위의 답변에 추가로 가장 유용합니다. :)
BE77Y

0

이것은 pfSense와 다른 장치 간의 라우팅 문제와 비슷합니다.

pFSense 뒤의 가상 머신을 방화벽으로 사용하는 경우 LAN의 PC와 다른 서브넷에 가상 머신이 필요합니다. pfSense에서 추가 인터페이스를 설정해야 할 수도 있습니다 (LAN2 say). VM 호스트에서 다른 VM이 사용중인 개인 VSwitch에이를 매핑합니다. 또는 vSwitch에서 트래픽에 태그를 지정하고 별도의 VLAN을 갖습니다.

VMWare에서이 작업을 여러 번 수행해야했습니다. 또한 1 : 1의 경우 예를 들어 정적 네트워크 경로 매핑을 추가해야 할 수도 있습니다. pfSe nse가 라우팅을 망쳐 놓는 것을 보았습니다.

그렇게 당신은 ..

인터넷-> Wan0-> pFSense-> LAN1 PC ..

                  pfSense -->LAN2 Virtual Machines.

그런 다음 라우팅 및 방화벽 규칙을 더 잘 제어 할 수 있습니다.

이것이 도움이 되길 바랍니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.