Puncte:1

Server

Problemă de configurare VyOS

sbagnato

15.06.2023, 16:39

Lucrez la configurarea unui laborator VMWare. Am o cutie fizică cu care am instalat ESXi 6.7. Deși voi adăuga multe altele, în prezent am 3 vm-uri; un server Windows 2016 fără roluri de server instalate, un DC (clonat din imaginea de bază a Windows Server 2016) cu roluri DC și DNS instalate (și configurate) și un router VyOS.

O diagramă de rețea este mai jos, dar routerul VyOS are patru subrețele; unul pentru DC, unul pentru cutia Server 2016, unul care este momentan gol și celălalt ca rută de ieșire din rețea.

DC este alocat static 10.0.1.1. Caseta Server 2016 este configurată pentru DHCP (rolul DHCP pe DC), iar DHCP este confirmat că funcționează, deoarece caseta a fost atribuită 10.0.2.11 (poolul este 10.0.2.1-254, cu 1-9 rezervat (nu știu de ce nu a fost nevoie de 10, dar nu-ti pasa).

Cu toate acestea, se pare că am atât o problemă DNS, cât și o problemă de rutare. Mai exact, de la DC, pot ping loopback, fiecare interfață VyOS, ESXi NIC, stație de lucru de management (desktop-ul meu), precum și firewall-ul meu pfSense.Dar, nu pot da ping la caseta Server2016 (din nou, pot ping interfața din subrețea sa, dar nu caseta în sine) prin IP (cererea a expirat) SAU nume de gazdă (Solicitarea ping nu a putut găsi gazda Server2016), nici nu pot face ping la 8.8.8.8 sau la orice altă rețea externă (răspuns din 10.0.1.254: destiation inaccessible). Același lucru este valabil și pentru cutia Server2016; Pot ping loopback, fiecare interfață VyOS, ESXi NIC, stație de lucru și pfSense, dar nu pot trimite ping la DC prin IP sau nume de gazdă (cel puțin rezolvă DC1 la IP, dar apoi oferă cererea a expirat), nici nu pot da ping pe internet.

Sunt destul de sigur că este vorba pur și simplu de o/mai multe probleme de configurare. Pur și simplu nu am reușit să-l repar încă. Configurația mea VyOS (capturile de ecran deoarece nu pot copia/lipi din mediu), precum și configurația DHCP și DNS sunt mai jos:

Orice ajutor este extrem de apreciat!

266

0 + 0

intern-dns

vyos

Appleoddity

15.06.2023, 17:43

Nu v-ați partajat configurația DHCP sau nicio configurație IP a interfețelor de rețea pe diferitele mașini în cauză, în special informațiile implicite ale gateway-ului pe toate mașinile. Nu ați partajat configurația implicită a gateway-ului și nici tabelele de rutare ale VyOS. Nu este posibil să se determine problema fără aceste informații critice.

Răspunde

Appleoddity

15.06.2023, 17:51

Cu siguranță aveți mai multe probleme. Dar o problemă fundamentală este că stația dvs. de lucru utilizează probabil 192.168.27.1 ca gateway implicit și utilizează tabele de rutare implicite.Nici stația dvs. de lucru, nici caseta pfSense nu au nicio idee despre unde se află oricare dintre rețelele 10.x. Acest lucru este fundamental incorect, deoarece routerul (VyOS) ar trebui să fie în centrul rețelei cu pfSense așezat singur, pe un segment de rețea și toate celelalte sisteme pe segmente diferite și toate sistemele care folosesc VyOS ca gateway implicit. VyOS folosește pfSense ca gateway implicit.

Răspunde

sbagnato

15.06.2023, 21:19

@Appleoddity da, am ratat niște capturi de ecran și am duplicat una. Am actualizat OP-ul cu captura de ecran care arată ruta statică în VyOS, informațiile ipconfig pe DC și server și configurarea de bază a dhcp. Revizând al doilea comentariu, cred că înțeleg ce spui.

Răspunde

sbagnato

15.06.2023, 21:20

@Appleoddity Scopul meu, și în mod clar poate fi defectuos, a fost să creez o rețea completă de laborator care să fie complet segmentată de rețeaua mea de acasă. Laboratorul ar avea un router și 3 subrețele interne. L-aș accesa prin consola web vmware esxi. Orice solicitări web vor fi direcționate în afara rețelei de laborator și prin caseta fizică pfsense către web. Pfsense oferă rutarea și dhcp pentru rețeaua mea de acasă, dar nu am vrut să ofere nimic laboratorului în afară de o poartă de acces la internet. Dacă logica este greșită, vă rog să mă corectați, deoarece vreau să învăț cel mai bun și corect mod de a face acest lucru.

Răspunde

Appleoddity

16.06.2023, 01:08

Puteți adăuga ieșirea `route print` pe stația de lucru de acasă? Și adăugați o captură de ecran a tabelului dvs. de rutare pe pfSense? Am câteva idei, dar nu totul se adună. În primul rând, cred că nu ai configurat corect regula NAT. Cred că trebuie să adăugați „set nat source rule 10 source address „10.0.1.1-10.0.3.254” pentru ca accesul la internet să funcționeze. Apoi, cred că trebuie să verificați firewall-urile de pe DC și Server2016 și să le dezactivați temporar, pentru a testa ping-ul între ele. În cele din urmă, va trebui să adăugați o înregistrare A pentru Server2016 la DNS dacă doriți să se rezolve prin DNS.

Răspunde

Appleoddity

16.06.2023, 01:09

Server2016 nu este încă conectat la domeniu, așa că nu se poate adăuga dinamic la înregistrările DNS de pe DC. Va trebui să-l adăugați manual. În cele din urmă, deoarece utilizați NAT, veți putea accesa internetul și dispozitivele ping din rețeaua dvs. de domiciliu din rețelele virtuale. Dar, nu veți putea comunica invers fără reguli de redirecționare a porturilor. Nu sunt un expert VyOs și am fost surprins să văd că nu mai este gratuit de utilizat. Dacă oricare dintre acestea funcționează, voi adăuga un răspuns oficial cu mai multe explicații.

Răspunde

sbagnato

16.06.2023, 15:51

Apel minunat @Appleoddity în ceea ce privește firewall-urile și A record. Ping-ul nu mai este o problemă între cutia DC sau server 2016. În ceea ce privește regula NAT, am vrut să confirm, ar trebui să elimin regula NAT pe care o aveam acolo sau doar să o adaug pe cea pe care ați furnizat-o? În ceea ce privește capacitatea rețelei mele de acasă de a ajunge la rețeaua virtuală și invers, atâta timp cât pot accesa vm-urile prin browser-ul esxi, de fapt aș prefera să păstrez totul segmentat. Pot lucra la regulile firewall mai târziu. Capturile de ecran de traseu așa cum sunt solicitate sunt adăugate în partea de jos a OP.

Răspunde

Appleoddity

16.06.2023, 15:54

aceasta este o comandă suplimentară de rulat pentru NAT. Cred că ați ratat asta, dar nu sunt sigur pentru că, dacă nu a funcționat, atunci nu ar trebui să puteți face ping la stația de lucru sau pfSense fără a fi făcut modificări de rutare pe acele dispozitive. Bănuiesc că NAT nu se întâmplă. Prin urmare, nu puteți accesa internetul, deoarece pfSense nu cunoaște sau nu are încredere în adresele IP 10.x.x.x. Din nou, nu un expert în VyOS. S-ar putea să fie nevoie să reconstruiți regula NAT, inclusiv comanda suplimentară pe care v-am dat-o. Sau ar putea să nu fie o comandă validă așa cum este prezentată. Nu sunt sigur.

Răspunde

sbagnato

16.06.2023, 18:37

@Appleoddity da, ai avut dreptate, adăugând că regula NAT permite ambelor vm-uri să pună ping pe internet. Deci, „cred” că întreaga problemă așa cum am prezentat-o este rezolvată.

Răspunde

Appleoddity

16.06.2023, 20:19

Minunat. Am adăugat un răspuns care detaliază aceste informații. Aș aprecia dacă ați putea să-l acceptați ca răspuns și să îl votați. Mulțumiri!

Răspunde

Puncte:1

Server

Appleoddity

16.06.2023, 20:19

Voi lua un junghi în asta. Există mai multe probleme.

De ce nu ai acces la internet? (adică ping 8.8.8.8)

Se pare că configurația dvs. NAT nu este completă în VyOS. Nu sunt un expert în VyOS în niciun caz. Cu toate acestea, se pare că ar trebui să specificați și adresele sursă care să corespundă în regula NAT. În acest caz, cred că trebuie să adăugați setați regula sursă nat 10 adresa sursă „10.0.1.1-10.0.3.254”. Fără aceasta, traficul nu se potrivește cu regula NAT și, prin urmare, traficul nu este NAT atunci când iese în rețeaua dvs. de domiciliu către caseta pfSense. În acest caz, pfSense nu va avea tabelul de rutare adecvat sau încrederea adecvată pentru a transmite traficul din rețelele virtuale. NAT ascunde acele adrese și face ca tot traficul din rețeaua virtuală să apară ca un singur sistem de încredere în rețeaua dvs. de domiciliu. Dezavantajul aici este că comunicarea este într-un singur sens. Puteți trimite ping la stația de lucru din rețeaua virtuală, dar stația de lucru nu va putea să facă ping sau să se conecteze la mașinile din rețeaua virtuală. Cu excepția cazului în care stabiliți reguli adecvate de redirecționare a porturilor în VyOS.

De ce nu poți da ping de la DC la Server sau invers?

În mod implicit, paravanul de protecție Windows este activat și va bloca majoritatea traficului. Încercați să dezactivați paravanul de protecție Windows în scopuri de testare. Dacă acest lucru rezolvă problema, adăugați excepțiile necesare la regulile paravanului de protecție. Sau, odată ce domeniul dumneavoastră funcționează corect, este foarte ușor să implementați reguli standard de firewall pe toate computerele din domeniu folosind Politica de grup. De exemplu, puteți permite ICMP Echo Request/Replies astfel încât ping va functiona.

De ce nu Server2016 rezolvați la adresa IP a serverului?

Configurația dvs. actuală nu arată că aveți o înregistrare A adăugată la serverul dvs. DNS care se potrivește cu Server2016 Nume. Dacă acesta ar fi un domeniu AD pe deplin funcțional, atunci sistemelor care fac parte din domeniu li se permite de obicei să adauge și să actualizeze propriile înregistrări A pe serverul DNS, deci acest proces este automat. Cu toate acestea, pentru că Server2016 nu este încă alăturat domeniului, nu are permisiunea de a adăuga/actualiza înregistrări pe serverul DNS. Prin urmare, trebuie să îl adăugați manual.

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: VyOS Configuration Issue

TH: ปัญหาการกำหนดค่า VyOS

RO: Problemă de configurare VyOS

RU: Проблема с конфигурацией VyOS

VI: Sự cố cấu hình VyOS

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.