Esxi üzerindeki Pfsense Yönetim Ağına ARP yayını yapıyor.

Tek port üzerinden wan-lan vs kontrolü olduğu için bu arp durumu olabilir.

http://pfsensesetup.com/arp-configuration-in-pfsense/

Şöyle şeyler deneyip trafiği azaltabilirsiniz belki pfsense de varsa dhcp gibi servisleri durdurun, üzerinde scan vs yapan servis olmasın, herşeyi manuel ip yapın, sunucularda vs udp yayın yapan şeyleri durdurun. Bunlar tabi sağlayıcınız için yeterli olur mu bilmem. Elinizde 2 port olsaydı aşabilir zaten yaşamayabilirdiniz.

Selamlar ;

Hetzner  üzerinde 1  adet ek ip  alıp bu  ek ip  için Virtual MAC  oluşturup Pfsense'i bu şekilde  kullanın. ( Pfsense Wan interface'i  üzerinde  direk Public ip  adresiniz yer alacak ) 1  adet de  internal vmnetwork  oluşturup bu  vmnetwork ile de  Pfsense üzerinde  LAN interface'i  için  kullanın ve  Sunucularınızı da bu vmnetwork ile  Pfsense  arkasında  kullanarak NAT ile  sunucularınızı da  internete çıkartabilirsiniz. ( Böylelikle Fiziksel Firewall/Switch ve Sunucu  yapılandırmasının aynısını Hetzner  üzerinde  oluşturmuş  olursunuz. )

Bu  tarz  datacenter'lerin uyarılarını  dikkate  almak  önemli sıkıntılı/zararlı bir  kullanım vb  tespit  edilirse  hesabınızın iptali gibi yaptırımlar  ile  karşılaşabilirsiniz.

Merhabalar,

Ben Hetzner'den dedicated sunucu aldım. Tek adaptör ile makinaya Esxi 6.0 kurdum.Ek 2 IP aldım. Sanal makinaların firewall yönetimi için sanal olarak pfSense kurdum. Uzun süredir böyle kullanıyordum. Fakat Hetzner izin verilmeyen MAC adresleri(firewall MAC adresi) ile yayın yaptığımı söylediler. Esxi'de tcpdump ile kontrol ettiğimde aşağıdaki gibi yayın yapıyor. Fakat pfSense Management Networke erişmemesi gerekiyor diye biliyoruz. İkinci bir switch açtığımızda adaptör olmadığından zaten internete çıkamıyorum. Yada ek aldığım IP adreslerini kullanamıyoruz. Switch topolojisi paylaştığım gibidir. 3 gündür çözemedik ve kaç kere ayarları bozduk. Çözümü yada bilgisi olan yardımcı olursa seviniriz. Şimdiden teşekkür ederim.

07:57:49.194829 ARP, Request who-has 192.168.1.100 tell 192.168.1.1, length 46

 

Tek port üzerinden wan-lan vs kontrolü olduğu için bu arp durumu olabilir.

http://pfsensesetup.com/arp-configuration-in-pfsense/

Şöyle şeyler deneyip trafiği azaltabilirsiniz belki pfsense de varsa dhcp gibi servisleri durdurun, üzerinde scan vs yapan servis olmasın, herşeyi manuel ip yapın, sunucularda vs udp yayın yapan şeyleri durdurun. Bunlar tabi sağlayıcınız için yeterli olur mu bilmem. Elinizde 2 port olsaydı aşabilir zaten yaşamayabilirdiniz.

Söylediğiniz tavsiyelerden bulabildiğimi kapattım. Ama pfsense kendi için yine yayın yapıyor. Yani önünü bir türlü kesemedik.

 

Selamlar ;

 

Hetzner  üzerinde 1  adet ek ip  alıp bu  ek ip  için Virtual MAC  oluşturup Pfsense'i bu şekilde  kullanın. ( Pfsense Wan interface'i  üzerinde  direk Public ip  adresiniz yer alacak ) 1  adet de  internal vmnetwork  oluşturup bu  vmnetwork ile de  Pfsense üzerinde  LAN interface'i  için  kullanın ve  Sunucularınızı da bu vmnetwork ile  Pfsense  arkasında  kullanarak NAT ile  sunucularınızı da  internete çıkartabilirsiniz. ( Böylelikle Fiziksel Firewall/Switch ve Sunucu  yapılandırmasının aynısını Hetzner  üzerinde  oluşturmuş  olursunuz. )

Bu  tarz  datacenter'lerin uyarılarını  dikkate  almak  önemli sıkıntılı/zararlı bir  kullanım vb  tespit  edilirse  hesabınızın iptali gibi yaptırımlar  ile  karşılaşabilirsiniz.

 

Merhabalar,

Ben Hetzner'den dedicated sunucu aldım. Tek adaptör ile makinaya Esxi 6.0 kurdum.Ek 2 IP aldım. Sanal makinaların firewall yönetimi için sanal olarak pfSense kurdum. Uzun süredir böyle kullanıyordum. Fakat Hetzner izin verilmeyen MAC adresleri(firewall MAC adresi) ile yayın yaptığımı söylediler. Esxi'de tcpdump ile kontrol ettiğimde aşağıdaki gibi yayın yapıyor. Fakat pfSense Management Networke erişmemesi gerekiyor diye biliyoruz. İkinci bir switch açtığımızda adaptör olmadığından zaten internete çıkamıyorum. Yada ek aldığım IP adreslerini kullanamıyoruz. Switch topolojisi paylaştığım gibidir. 3 gündür çözemedik ve kaç kere ayarları bozduk. Çözümü yada bilgisi olan yardımcı olursa seviniriz. Şimdiden teşekkür ederim.

07:57:49.194829 ARP, Request who-has 192.168.1.100 tell 192.168.1.1, length 46

 

Öneriniz için teşekkür ederim. Çok farklı denemeler yaptık. Dediğiniz tam olarak açabilir misiniz? 

Biz yeni switch oluşturduk. Sanal makineleri ayırdık. Ama yine Management Network ile aynı switchte oluyor. Bu seferde sanal makinalar internete çıkmıyor. traceroute attığımızda pfsense kendi içinde dönüyor. Bir türlü WAN bacağına gidemiyor. 

Cumhur beyin yardımlarıyla sorunumuzu giderdik. Kendisine teşekkür ederim. 

Düzeltmeler;

1- Switch topolojisi düzenlendi. 

2- Lan interfacede gateway none olarak işaretlendi.

3- Outbound Nat Hybrid olarak güncellendi.

4- DNS Resolver kapatıldı, DNS Forwarder açıldı.

5- Interfaceler üzerinde rule düzenlemesi yapıldı.

Pfsense Management Networkten ayrıldığı için sorunumuz çözülmüş oldu. Sanal makinalarımızda internete çıkmıştır. Tekrardan teşekkür ederiz.