Pfsense + Coresw L3 kết nối mode access cho vlan ra NET

 

1. Cấu hình Core Switch Cisco (SW_L3)

Core Switch đóng vai trò là DHCP Server và Layer 3 Switch, chịu trách nhiệm cấp phát IP và định tuyến nội bộ.

a. Cấu hình VLAN và SVI

Tạo các VLAN và các SVI (Switch Virtual Interface) để làm cổng gateway cho mỗi VLAN.

SW_L3(config)# vlan 10
SW_L3(config-vlan)# name DATA_VLAN
SW_L3(config-vlan)# exit
SW_L3(config)# vlan 20
SW_L3(config-vlan)# name VOICE_VLAN
SW_L3(config-vlan)# exit
SW_L3(config)# vlan 99
SW_L3(config-vlan)# name MGMT_VLAN
SW_L3(config-vlan)# exit
SW_L3(config)# interface Vlan10
SW_L3(config-if)# ip address 172.16.10.1 255.255.255.0
SW_L3(config-if)# exit
SW_L3(config)# interface Vlan20
SW_L3(config-if)# ip address 172.16.20.1 255.255.255.0
SW_L3(config-if)# exit
SW_L3(config)# interface Vlan99
SW_L3(config-if)# ip address 172.16.1.2 255.255.255.0
SW_L3(config-if)# exit

---

b. Cấu hình DHCP Server

Thiết lập các DHCP pool để tự động cấp phát địa chỉ IP, gateway và DNS server cho client.

SW_L3(config)# ip dhcp pool VLAN10_POOL
SW_L3(config-dhcp)# network 172.16.10.0 255.255.255.0
SW_L3(config-dhcp)# default-router 172.16.10.1
SW_L3(config-dhcp)# dns-server 8.8.8.8 8.8.4.4
SW_L3(config-dhcp)# exit
SW_L3(config)# ip dhcp pool VLAN20_POOL
SW_L3(config-dhcp)# network 172.16.20.0 255.255.255.0
SW_L3(config-dhcp)# default-router 172.16.20.1
SW_L3(config-dhcp)# dns-server 8.8.8.8 8.8.4.4
SW_L3(config-dhcp)# exit

---

c. Cấu hình Định tuyến & Cổng

Bật tính năng định tuyến và tạo một default route để gửi tất cả lưu lượng ra Internet thông qua pfSense.

SW_L3(config)# ip routing
SW_L3(config)# ip route 0.0.0.0 0.0.0.0 172.16.1.1
! Cấu hình cổng kết nối tới Switch Layer 2 (R3) là trunk
SW_L3(config)# interface GigabitEthernet1/0/1
SW_L3(config-if)# switchport mode trunk
SW_L3(config-if)# switchport trunk allowed vlan 10,20,99
SW_L3(config-if)# exit

SW_L3(config)# int Gi1/0/2

switchport mode access

switchport access vlan 99 

no shutdown

 Switch Layer 2 (R3)

R3 chỉ cần cấu hình cổng trunk và access để kết nối với Core Switch và các client.

a. Cấu hình Cổng

! Cổng trunk nối với Core Switch
R3(config)# interface GigabitEthernet0/0
R3(config-if)# switchport mode trunk
R3(config-if)# switchport trunk allowed vlan 10,20
R3(config-if)# exit
! Cổng access nối với client VLAN 10
R3(config)# interface GigabitEthernet0/1
R3(config-if)# switchport mode access
R3(config-if)# switchport access vlan 10
R3(config-if)# exit
! Cổng access nối với client VLAN 20
R3(config)# interface GigabitEthernet0/2
R3(config-if)# switchport mode access
R3(config-if)# switchport access vlan 20
R3(config-if)# exit

3. Cấu hình pfSense

pfSense đóng vai trò là Firewall và NAT Gateway, chịu trách nhiệm cho việc truy cập Internet.

a. Cấu hình Firewall Rules

Tạo các rule để cho phép lưu lượng từ các mạng nội bộ đi ra ngoài.

1. Truy cập giao diện web của pfSense và đi tới Firewall > Rules > LAN.

2. Nhấn Add để tạo rule cho VLAN 10.

   • Action: Pass

   • Interface: LAN

   • Source: Network 172.16.10.0/24

   • Destination: any

3. Nhấn Save và Apply Changes.

4. Lặp lại các bước trên để tạo rule cho VLAN 20, với Source là Network 172.16.20.0/24.

---

b. Cấu hình NAT

Đảm bảo NAT được bật để dịch IP nội bộ ra IP công cộng.

1. Vào Firewall > NAT > Outbound.

2. Chọn chế độ Automatic Outbound NAT rule generation.

3. Nhấn Save và Apply Changes.

---

c. Thêm Static Route

Đây là bước quan trọng nhất để gói tin từ Internet có thể quay về đúng client.

1. Vào System > Routing > Static Routes.

2. Nhấn Add để thêm route cho VLAN 10:

   • Destination network: 172.16.10.0/24

   • Gateway: 172.16.1.2

3. Lặp lại tương tự cho VLAN 20:

   • Destination network: 172.16.20.0/24

   • Gateway: 172.16.1.2

4. Nhấn Save và Apply Changes.

Fix lỗi : không truy cập được vào Webgui của Pfsense trong EVE lab

Hướng dẫn truy cập Web GUI pfSense khi bị chặn

Khi bạn đã cấp xin cấp IP qua DHCP/ IP tĩnh  theo chế độ Bridge (vmnet 0- WMworkstation Pro) cho cổng Management của pfsense

Bước 1: Truy cập console pfSense

Truy cập trực tiếp vào pfSense thông qua màn hình console hoặc SSH. Chọn Option 8 để vào shell (command line).

Bước 2: Tắt firewall tạm thời

Chạy lệnh sau để tắt firewall tạm thời, cho phép truy cập Web GUI từ WAN:

pfctl -d

Lưu ý: Lệnh này sẽ tắt toàn bộ firewall, chỉ nên dùng tạm thời để truy cập Web GUI.

Bước 3: Truy cập Web GUI pfSense

Sau khi firewall bị tắt, truy cập vào Web GUI pfSense qua địa chỉ IP WAN bằng trình duyệt.

Bước 4: Tạo rule cho phép truy cập WAN

Vào Firewall > Rules > Management và tạo rule như sau:

- Action: Pass

- Interface: WAN

- Protocol: TCP

- Source: any (hoặc IP cụ thể nếu muốn giới hạn)

- Destination: Management address

- Destination port range: 443

- Description: Allow Web GUI access

Nhấn Save và Apply Changes.

Bước 5: Bật lại firewall pfSense

Sau khi đã tạo rule, bật lại firewall bằng lệnh sau trong console:

pfctl -e

Firewall sẽ hoạt động trở lại với rule mới cho phép truy cập Web GUI từ Management.

Kết nối Trunk (Switch L3 định tuyến, pfSense kiểm soát vlan ra Internet)

Kết nối Trunk (Switch L3 định tuyến, pfSense kiểm soát vlan ra Internet):

• Switch CORE (Layer 3) đảm nhiệm định tuyến nội bộ giữa các VLAN.
• Cổng trunk trên switch truyền lưu lượng từ nhiều VLAN đến pfSense, chủ yếu để truy cập Internet.
• pfSense không kiểm soát được lưu lượng nội bộ giữa các VLAN, vì việc định tuyến đã được thực hiện trực tiếp trên coreswitch L3
• pfSense chỉ có thể áp dụng firewall và các chính sách bảo mật cho lưu lượng ra/vào Internet.

1. Cấu hình pfSense

a. Cấu hình Interface:

- WAN (e0): DHCP từ ISP

- LAN (e1): IP 172.16.1.1/24, kết nối trunk đến Core Switch Layer 3

- Config-mgt (e2): IP 192.168.1.199/24, bridge mode

Cấu hình pfSense

a. Tạo VLANs

• Vào Interfaces > Assignments > VLANs.

• Tạo VLAN 10 trên interface e1.

• Tạo VLAN 20 trên interface e1.

b. Gán interface

• Vào Interfaces > Assignments.

• Gán VLAN 10 thành LAN10, bật interface.

• Gán VLAN 20 thành LAN20, bật interface.

c. Gán IP cho VLAN interfaces

• LAN10: IP 172.16.10.254/24

• LAN20: IP 172.16.20.254/24

d. DHCP Server (nếu cần)

• Vào Services > DHCP Server.

• Bật DHCP cho LAN10:

  • Range: 172.16.10.100 - 172.16.10.200

• Bật DHCP cho LAN20:

  • Range: 172.16.20.100 - 172.16.20.200

e. NAT cấu hình chi tiết

• Vào Firewall > NAT > Outbound.

• Chuyển sang chế độ Hybrid.

• Tạo 2 rule thủ công để NAT lưu lượng từ các VLAN ra Internet:

  • Rule 1 – NAT cho VLAN 10:

    • Interface: WAN

    • Source network: 172.16.10.0/24

    • Destination: any

    • Translation / Target: Interface address

    • Description: NAT VLAN 10

    • Enabled: ✅

  • Rule 2 – NAT cho VLAN 20:

  • Interface: WAN

  • Source network: 172.16.20.0/24

  • Destination: any

  • Translation / Target: Interface address

  • Description: NAT VLAN 20

  • Enabled:

 ✅f. Firewall Rules cho phép VLAN truy cập Internet

Vào Firewall > Rules, tạo rule cho từng VLAN interface:

LAN10:

Action: Pass
Interface: LAN10
Source: LAN10 net
Destination: any
Protocol: any
Description: Allow VLAN 10 to Internet

LAN20:

Action: Pass
Interface: LAN20
Source: LAN20 net
Destination: any
Protocol: any
Description: Allow VLAN 20 to Internet

CoreSw#sh running-config
Building configuration...
!
hostname CoreSw
!
ip routing
!
!
interface GigabitEthernet1/0/1
 switchport trunk allowed vlan 10,20
switchport mode trunk
!
interface GigabitEthernet1/0/2
 switchport trunk allowed vlan 10,20
 switchport mode trunk
!
interface Vlan10
 ip address 172.16.10.1 255.255.255.0
 ip helper-address 172.16.1.1
!
interface Vlan20
 ip address 172.16.20.1 255.255.255.0
 ip helper-address 172.16.1.1
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!

SW_L2#sh run
Building configuration...
!
hostname SW_L2
!
interface Ethernet0/0
 switchport trunk allowed vlan 10,20
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface Ethernet0/1
 switchport access vlan 10
 switchport mode access
!
interface Ethernet0/2
 switchport access vlan 20
 switchport mode access

!

Ping kiếm tra từ tinycore Linux giữa 2 vlan

Thiết lập inter-VLAN routing ( mô hình pfsense + switch layer 2)

 Dưới đây là hướng dẫn chi tiết để thiết lập inter-VLAN routing:

"Router on a stick" và "Inter-VLAN routing" không phải là hai thuật ngữ khác nhau mà là hai cách diễn đạt cho cùng một khái niệm.

• Inter-VLAN routing là thuật ngữ tổng quát, mô tả quá trình định tuyến lưu lượng giữa các VLAN khác nhau.

• Router on a stick là một phương pháp cụ thể để thực hiện Inter-VLAN routing, sử dụng một router và một cổng vật lý duy nhất.

---

✅ Mục tiêu

Cho phép các thiết bị trong VLAN 10 và VLAN 20 giao tiếp với nhau thông qua pfSense.

---

1. Đảm bảo VLAN đã được cấu hình đúng trên pfSense

Như đã nói ở bước trước:

• VLAN 10: em1_vlan10 – IP: 172.16.10.1/24
• VLAN 20: em1_vlan20 – IP: 172.16.20.1/24

---

2. Kiểm tra cấu hình switch

• Port kết nối với pfSense là trunk port, cho phép VLAN 10 và 20.
• Các port kết nối máy chủ là access port, gán đúng VLAN.

---

3. Cấu hình routing giữa các VLAN trên pfSense

pfSense sẽ tự động định tuyến giữa các VLAN nếu:

• Các VLAN được gán IP khác subnet.
• Không có rule nào chặn traffic giữa VLANs.

---

4. Cấu hình Firewall Rules

Vào Firewall > Rules, chọn từng interface VLAN:

• LAN_VLAN10:
  • Cho phép traffic đến 172.16.20.0/24
• LAN_VLAN20:
  • Cho phép traffic đến 172.16.10.0/24

Action: Pass

Interface: LAN_VLAN10

Source: VLAN10 net

Destination: VLAN20 net

Protocol: Any

Lặp lại tương tự cho VLAN20.

---

5. Kiểm tra kết nối

• Từ máy chủ VLAN10, ping đến máy chủ VLAN20. và ngược lại
• Nếu không được, kiểm tra:
• Firewall rules
• Gateway cấu hình đúng trên máy chủ
• NAT không chặn traffic nội bộ

Lý thuyết kết nối pfsense và switch layer 3 ở mode access (tối ưu hiệu suất thiết bị)

 
Hình minh họa: Harry Hoang Le

Đây là cách bạn cấu hình IP giữa pfSense và switch layer 3 khi kết nối ở mode access, sử dụng ví dụ VLAN 99.

Cấu Hình trên Switch Layer 3

1. Tạo VLAN 99:

   vlan 99
   name VLAN_WAN
   

2. Tạo SVI (Switch Virtual Interface) cho VLAN 99: SVI này sẽ đóng vai trò là gateway cho các thiết bị muốn ra Internet.

   interface vlan 99
   ip address 192.168.99.1 255.255.255.0
   no shutdown
   

3. Cấu hình cổng kết nối với pfSense: Giả sử bạn sử dụng cổng GigabitEthernet0/1 để kết nối với pfSense. Cổng này sẽ là một access port thuộc VLAN 99.

   interface GigabitEthernet0/1
   switchport mode access
   switchport access vlan 99
   no shutdown
   

4. Cấu hình Default Route: Đây là bước quan trọng nhất. Bạn chỉ định rằng tất cả lưu lượng không có tuyến đường cụ thể (ví dụ: muốn ra Internet) sẽ được gửi đến địa chỉ IP của pfSense.

   ip route 0.0.0.0 0.0.0.0 192.168.99.254
   

Cấu Hình trên pfSense

1. Cấu hình Interface: Gán một trong các cổng vật lý của pfSense (ví dụ: OPT1) với một địa chỉ IP thuộc cùng dải mạng với SVI VLAN 99.

2. Địa chỉ IP: Đặt địa chỉ IP cho cổng này. Đây sẽ là next-hop của default route trên switch layer 3.

   • Interface: OPT1 (hoặc tên bất kỳ bạn gán)

   • IPv4 Configuration Type: Static IPv4

   • IPv4 Address: 192.168.99.254/24

Với cấu hình này, khi một gói tin từ bất kỳ VLAN nào trên switch layer 3 muốn ra Internet, switch sẽ sử dụng default route để gửi nó đến 192.168.99.254 (pfSense). Gói tin sẽ được chuyển qua cổng Gig0/1 (đã được gán cho VLAN 99) và đến cổng OPT1 của pfSense. pfSense sau đó sẽ xử lý gói tin và chuyển nó ra ngoài Internet.

Bạn hoàn toàn có thể cấu hình switch layer 3 và pfSense kết nối ở mode access và vẫn sử dụng default route để định tuyến. Điều này là một cách thiết lập phổ biến, đặc biệt khi bạn muốn switch layer 3 chịu trách nhiệm định tuyến giữa các VLAN nội bộ, và pfSense chỉ đóng vai trò là gateway duy nhất để ra ngoài Internet.

Hãy cùng phân tích cách hoạt động của mô hình này:

1. Định Tuyến Nội Bộ (switch layer 3 làm)

Trong mô hình này, switch layer 3 là "bộ não" xử lý tất cả việc định tuyến giữa các VLAN.

• Các VLAN: Bạn tạo nhiều VLAN trên switch layer 3, ví dụ: VLAN 10 (Kế toán), VLAN 20 (Kinh doanh), v.v.

• SVI (Switch Virtual Interface): Với mỗi VLAN, bạn tạo một SVI và gán cho nó một địa chỉ IP (ví dụ: interface vlan 10, ip address 192.168.10.1/24). Các SVI này sẽ đóng vai trò là gateway cho các VLAN tương ứng.

• Định tuyến Inter-VLAN: Khi một thiết bị ở VLAN 10 muốn giao tiếp với một thiết bị ở VLAN 20, gói tin sẽ được gửi đến gateway của nó (192.168.10.1). Switch layer 3 sẽ nhận gói tin này và tự động định tuyến nó đến VLAN 20 mà không cần gửi đến pfSense.

---

2. Định Tuyến Ra Ngoài Internet (pfsense làm)

Đây là lúc vai trò của default route và pfSense phát huy tác dụng.

• Default Route trên Switch: Bạn cấu hình một tuyến đường mặc định (default route) trên switch layer 3. Tuyến đường này chỉ đơn giản là "nếu tôi không biết phải gửi gói tin này đi đâu, hãy gửi nó đến địa chỉ IP của pfSense".

• Cổng Access: Cổng kết nối giữa switch layer 3 và pfSense được cấu hình ở mode access và được gán vào một VLAN riêng biệt, ví dụ VLAN 99 (VLAN WAN). Cổng này chỉ truyền tải lưu lượng của VLAN 99.

• PfSense là Gateway: Trên pfSense, một cổng vật lý được cấu hình với một địa chỉ IP thuộc VLAN 99 (ví dụ: 192.168.99.254/24) và đóng vai trò là gateway cho VLAN này. PfSense sẽ nhận tất cả các gói tin đến từ switch layer 3 và xử lý chúng để ra Internet.

Tóm lại:

Bạn có thể coi switch layer 3 như một router nội bộ, xử lý tất cả giao tiếp giữa các VLAN trong mạng LAN của bạn.

Còn pfSense đóng vai trò là Internet gateway, xử lý tất cả lưu lượng muốn đi ra ngoài Internet.

Việc kết nối chúng bằng mode access và sử dụng default route là một cách để phân chia rõ ràng vai trò của từng thiết bị, giúp giảm tải cho pfSense và tối ưu hóa hiệu suất mạng nội bộ.

pfSense 2.6 kết nối trunk với switch Cisco layer 2 cho vlan ra NET

 

1. Mô hình tổng quan

• pfSense có 1 interface trunk (em0) kết nối với switch Cisco.
• Switch có 2 VLAN: 10 và 20.
• Các PC gắn vào switch ở các port access VLAN 10 hoặc 20.
• pfSense làm gateway và NAT ra Internet.

---

⚙️ 2. Cấu hình pfSense

🔹 a. Tạo VLANs

Vào Interfaces > Assignments > VLANs:

• Tạo VLAN 10 trên em0
• Tạo VLAN 20 trên em0

🔹 b. Gán interface

Vào Interfaces > Assignments:

• Gán VLAN 10 thành LAN10, bật interface
• Gán VLAN 20 thành LAN20, bật interface

🔹 c. Gán IP cho VLAN interfaces

• LAN10: IP 172.16.10.254/24
• LAN20: IP 172.16.20.254/24

🔹 d. DHCP Server (nếu cần)

Vào Services > DHCP Server:

• Bật DHCP cho LAN10:
  • Range: 172.16.10.100 - 172.16.10.200
• Bật DHCP cho LAN20:
  • Range: 172.16.20.100 - 172.16.20.200

🔹 e. NAT cấu hình

Vào Firewall > NAT > Outbound:

• Chuyển sang chế độ Hybrid
• Tạo 2 rule:

Rule 1:

• Interface: WAN
• Source: 172.16.10.0/24
• Translation: Interface address
• Description: NAT VLAN 10

Rule 2:

• Interface: WAN
• Source: 172.16.20.0/24
• Translation: Interface address
• Description: NAT VLAN 20

🔹 f. Firewall Rules

Vào Firewall > Rules > LAN10:

• Tạo rule:
  • Action: Pass
  • Protocol: Any
  • Source: LAN10 net
  • Destination: Any

Vào Firewall > Rules > LAN20:

• Tạo rule tương tự cho LAN20 net

---

🖧 3. Cấu hình Switch Cisco Layer 2

🔹 a. Tạo VLANs

conf t

vlan 10

vlan 20

🔹 b. Cấu hình trunk port kết nối pfSense

interface GigabitEthernet0/1

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 10,20

🔹 c. Cấu hình access port cho PC

interface GigabitEthernet0/2

switchport mode access

switchport access vlan 10

interface GigabitEthernet0/3

switchport mode access

switchport access vlan 20

💻 4. Cấu hình PC trong VLAN

1. xin DHCP cho tinycore linux:

sudo udhcpc -i eth0; 

2. xem ip gateway: ip route

---

✅ 5. Kiểm tra kết nối

• Ping từ PC đến gateway (172.16.10.254 hoặc 172.16.20.254)
• Ping ra Internet (ping 8.8.8.8)
• Kiểm tra DNS nếu không truy cập được web

---