Điểm:1

Server

Sự cố cấu hình VyOS

sbagnato

16:39, 15/06/2023

Tôi đang làm việc để thiết lập phòng thí nghiệm VMWare. Tôi có một hộp vật lý mà tôi đã cài đặt ESXi 6.7 trên đó. Trong khi tôi sẽ thêm nhiều thứ nữa, tôi hiện có 3 vm; Máy chủ Windows 2016 không cài đặt vai trò máy chủ, DC (được sao chép từ hình ảnh cơ sở của Windows Server 2016) với vai trò DC và DNS được cài đặt (và định cấu hình) và bộ định tuyến VyOS.

Sơ đồ mạng bên dưới, nhưng bộ định tuyến VyOS có bốn mạng con; một cho DC, một cho hộp Máy chủ 2016, một cái hiện đang trống và cái còn lại là tuyến đường ra khỏi mạng.

DC được gán tĩnh 10.0.1.1. Hộp Server 2016 được cấu hình cho DHCP (vai trò DHCP trên DC) và DHCP được xác nhận hoạt động vì hộp đã được gán 10.0.2.11 (nhóm là 10.0.2.1-254, với 1-9 dành riêng (không biết tại sao nó không mất 10, nhưng đừng quan tâm).

Tuy nhiên, có vẻ như tôi gặp cả sự cố DNS cũng như sự cố định tuyến. Cụ thể, từ DC, tôi có thể ping loopback, từng giao diện VyOS, ESXi NIC, máy trạm quản lý (máy tính để bàn của tôi), cũng như tường lửa pfSense của tôi.Tuy nhiên, tôi không thể ping hộp Server2016 (một lần nữa, tôi có thể ping giao diện trong mạng con của nó chứ không phải chính hộp) qua IP (yêu cầu đã hết thời gian chờ) HOẶC tên máy chủ (yêu cầu ping không thể tìm thấy máy chủ Server2016), tôi cũng không thể ping ra 8.8.8.8 hoặc bất kỳ mạng bên ngoài nào khác (trả lời từ 10.0.1.254: không thể truy cập đích). Điều tương tự cũng xảy ra với hộp Server2016; Tôi có thể ping loopback, từng giao diện VyOS, ESXi NIC, máy trạm và pfSense, nhưng tôi không thể ping DC qua IP hoặc tên máy chủ (ít nhất nó phân giải DC1 thành IP, nhưng sau đó cho yêu cầu đã hết thời gian chờ), tôi cũng không thể ping internet.

Tôi khá chắc chắn rằng đó chỉ đơn giản là một/nhiều vấn đề về cấu hình. Tôi chỉ đơn giản là chưa thể sửa nó/chúng. Cấu hình VyOS của tôi (ảnh chụp màn hình vì tôi không thể sao chép/dán ra khỏi môi trường) cũng như cấu hình DHCP và DNS bên dưới:

Bất kỳ trợ giúp được đánh giá rất cao!

266

0 + 0

nội bộ-dns

vượn

Appleoddity

17:43, 15/06/2023

Bạn đã không chia sẻ cấu hình DHCP của mình hoặc bất kỳ IPConfig nào của giao diện mạng trên các máy khác nhau được đề cập, đặc biệt là thông tin cổng mặc định trên tất cả các máy. Bạn không chia sẻ cấu hình cổng mặc định cũng như bảng định tuyến của VyOS. Không thể xác định vấn đề nếu không có thông tin quan trọng này.

Hồi đáp

Appleoddity

17:51, 15/06/2023

Bạn chắc chắn có nhiều hơn một vấn đề. Nhưng một vấn đề cơ bản là máy trạm của bạn có thể sử dụng 192.168.27.1 làm cổng mặc định và đang sử dụng bảng định tuyến mặc định.Cả máy trạm của bạn lẫn hộp pfSense đều không có bất kỳ khái niệm nào về vị trí của bất kỳ mạng 10.x nào. Điều này về cơ bản là không chính xác vì bộ định tuyến (VyOS) phải ở trung tâm của mạng với pfSense nằm riêng lẻ, trên một phân đoạn mạng và tất cả các hệ thống khác nằm trên các phân đoạn khác nhau và tất cả các hệ thống sử dụng VyOS làm cổng mặc định. VyOS sử dụng pfSense làm cổng mặc định.

Hồi đáp

sbagnato

21:19, 15/06/2023

@Appleoddity vâng, tôi đã bỏ lỡ một số ảnh chụp màn hình và sao chép một ảnh. Tôi đã cập nhật OP với ảnh chụp màn hình hiển thị tuyến tĩnh trong VyOS, thông tin ipconfig trên DC và máy chủ cũng như thiết lập dhcp cơ bản. Xem lại bình luận thứ hai, tôi tin rằng tôi hiểu những gì bạn đang nói.

Hồi đáp

sbagnato

21:20, 15/06/2023

@Appleoddity Mục tiêu của tôi, và rõ ràng là có thể có thiếu sót, là tạo ra một mạng phòng thí nghiệm đầy đủ được phân đoạn hoàn toàn khỏi mạng gia đình của tôi. Phòng thí nghiệm sẽ có một bộ định tuyến và 3 mạng con bên trong. Tôi muốn truy cập nó thông qua bảng điều khiển web vmware esxi. Mọi yêu cầu web sẽ được định tuyến ra khỏi mạng phòng thí nghiệm và thông qua hộp vật lý pfsense tới web. Pfsense cung cấp định tuyến và dhcp cho mạng gia đình của tôi, nhưng tôi không muốn nó cung cấp bất kỳ thứ gì cho phòng thí nghiệm ngoài một cổng vào internet. Nếu logic có sai sót, vui lòng sửa cho tôi vì tôi muốn tìm hiểu cách tốt nhất và chính xác để thực hiện việc này.

Hồi đáp

Appleoddity

01:08, 16/06/2023

Bạn có thể thêm đầu ra của `route print` trên máy trạm tại nhà của mình không? Và thêm ảnh chụp màn hình bảng định tuyến của bạn trên pfSense? Tôi có một số ý tưởng nhưng không phải mọi thứ đều bổ sung. Đầu tiên, tôi nghĩ rằng bạn chưa thiết lập quy tắc NAT đúng cách. Tôi nghĩ bạn cần thêm `đặt địa chỉ nguồn quy tắc nguồn tự nhiên 10 '10.0.1.1-10.0.3.254'` để truy cập internet hoạt động. Tiếp theo, tôi nghĩ bạn cần kiểm tra tường lửa trên DC và Server2016 của mình và tạm thời tắt chúng đi để kiểm tra ping giữa chúng. Cuối cùng, bạn sẽ cần thêm một bản ghi A cho Server2016 vào DNS nếu bạn muốn nó phân giải qua DNS.

Hồi đáp

Appleoddity

01:09, 16/06/2023

Server2016 chưa tham gia miền nên không thể tự động thêm chính nó vào bản ghi DNS trên DC. Bạn sẽ phải thêm nó theo cách thủ công. Cuối cùng, Cuối cùng, vì bạn đang sử dụng NAT, bạn sẽ có thể truy cập internet và ping các thiết bị trên mạng gia đình của mình từ bên trong các mạng ảo. Tuy nhiên, bạn sẽ không thể giao tiếp theo cách khác nếu không có quy tắc chuyển tiếp cổng. Tôi không phải là chuyên gia về VyOs và tôi đã rất ngạc nhiên khi thấy nó không còn miễn phí sử dụng nữa. Nếu bất kỳ điều nào trong số này hoạt động, tôi sẽ thêm một câu trả lời chính thức với nhiều lời giải thích hơn.

Hồi đáp

sbagnato

15:51, 16/06/2023

@Appleoddity cuộc gọi tuyệt vời liên quan đến tường lửa và bản ghi A. Ping không còn là vấn đề giữa hộp DC hoặc máy chủ 2016. Về quy tắc NAT, tôi muốn xác nhận, tôi có nên xóa quy tắc NAT mà tôi có trong đó hay chỉ thêm quy tắc bạn đã cung cấp? Về khả năng mạng gia đình của tôi kết nối với mạng ảo và ngược lại, miễn là tôi có thể truy cập vm thông qua trình duyệt esxi, tôi thực sự muốn giữ mọi thứ khác được phân đoạn. Tôi có thể làm việc với các quy tắc tường lửa sau. Ảnh chụp màn hình định tuyến theo yêu cầu được thêm vào cuối OP.

Hồi đáp

Appleoddity

15:54, 16/06/2023

đó là một lệnh bổ sung để chạy cho NAT. Tôi nghĩ rằng bạn đã bỏ lỡ điều đó, nhưng tôi không chắc vì nếu nó không hoạt động thì bạn sẽ không thể ping máy trạm hoặc pfSense của mình mà không thực hiện thay đổi định tuyến trên các thiết bị đó. Tôi nghi ngờ rằng NAT không xảy ra. Do đó, bạn không thể truy cập Internet vì pfSense không biết hoặc không tin tưởng các địa chỉ IP 10.x.x.x. Một lần nữa, không phải là chuyên gia về VyOS. Bạn có thể cần xây dựng lại quy tắc NAT bao gồm lệnh bổ sung mà tôi đã cung cấp cho bạn. Hoặc đó có thể không phải là một lệnh hợp lệ như đã trình bày. Không chắc.

Hồi đáp

sbagnato

18:37, 16/06/2023

@Appleoddity yup bạn đã đúng, thêm quy tắc NAT đó cho phép cả vm ping internet. Vì vậy, tôi "nghĩ" rằng toàn bộ vấn đề như tôi trình bày đã được giải quyết.

Hồi đáp

Appleoddity

20:19, 16/06/2023

Thật tuyệt vời. Tôi đã thêm một câu trả lời chi tiết thông tin này. Tôi sẽ đánh giá cao nếu bạn có thể chấp nhận nó như một câu trả lời và bỏ phiếu cho nó. Cảm ơn!

Hồi đáp

Điểm:1

Server

Appleoddity

20:19, 16/06/2023

Tôi sẽ đâm vào cái này. Nhiều vấn đề tồn tại.

Tại sao bạn không thể truy cập internet? (I E. ping 8.8.8.8)

Có vẻ như cấu hình NAT của bạn chưa hoàn tất trong VyOS. Tôi không phải là chuyên gia về VyOS. Tuy nhiên, có vẻ như bạn cũng phải chỉ định các địa chỉ nguồn phù hợp với quy tắc NAT. Trong trường hợp này, tôi tin rằng bạn cần thêm đặt quy tắc nguồn tự nhiên 10 địa chỉ nguồn '10.0.1.1-10.0.3.254'. Không có điều này, lưu lượng truy cập không khớp với quy tắc NAT và do đó, lưu lượng truy cập không phải là NAT khi nó đi vào mạng gia đình của bạn tới hộp pfSense. Trong trường hợp này, pfSense sẽ không có bảng định tuyến thích hợp hoặc sự tin cậy thích hợp để chuyển lưu lượng truy cập từ mạng ảo. NAT ẩn các địa chỉ đó và làm cho tất cả lưu lượng truy cập từ Mạng ảo xuất hiện dưới dạng một hệ thống duy nhất, đáng tin cậy trên mạng gia đình của bạn. Hạn chế ở đây là giao tiếp là một chiều. Bạn có thể ping máy trạm của mình từ bên trong mạng ảo, nhưng máy trạm của bạn sẽ không thể ping hoặc kết nối với các máy trong mạng ảo. Trừ khi bạn thiết lập các quy tắc chuyển tiếp cổng thích hợp trong VyOS.

Tại sao bạn không thể ping từ DC đến Máy chủ hoặc ngược lại?

Theo mặc định, tường lửa Windows được bật và sẽ chặn hầu hết lưu lượng truy cập đó. Hãy thử tắt tường lửa Windows cho mục đích thử nghiệm. Nếu điều này giải quyết được vấn đề, thì hãy thêm các ngoại lệ cần thiết vào quy tắc tường lửa. Hoặc, sau khi miền của bạn hoạt động bình thường, bạn có thể dễ dàng triển khai các quy tắc tường lửa tiêu chuẩn trên tất cả các máy tính trong miền bằng Chính sách nhóm. Chẳng hạn, bạn có thể cho phép ICMP Echo Request/Replies để ping sẽ làm việc.

Tại sao không Máy chủ2016 giải quyết địa chỉ IP của máy chủ?

Cấu hình hiện tại của bạn không cho thấy rằng bạn có một bản ghi A được thêm vào máy chủ DNS khớp với Máy chủ2016 Tên. Nếu đây là miền AD hoạt động đầy đủ, thì các hệ thống là một phần của miền thường được phép thêm và cập nhật bản ghi A của riêng chúng trên máy chủ DNS, vì vậy quá trình này là tự động. Tuy nhiên, vì Máy chủ2016 chưa được tham gia vào miền, nó không có quyền thêm/cập nhật bản ghi trên máy chủ DNS. Vì vậy, bạn phải thêm nó theo cách thủ công.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: VyOS Configuration Issue

TH: ปัญหาการกำหนดค่า VyOS

RO: Problemă de configurare VyOS

RU: Проблема с конфигурацией VyOS

VI: Sự cố cấu hình VyOS

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.