VyOS 配置問題
我正在建立一個 VMWare 實驗室。我有一個安裝了 ESXi 6.7 的物理盒子。雖然我會添加更多,但我目前有 3 個 vm;未安裝伺服器角色的 Windows 2016 Server、安裝(和配置)DC 和 DNS 角色的 DC(從 Windows Server 2016 的基本映像複製)和 VyOS 路由器。
下面是一個網路圖,但是 VyOS 路由器有四個子網;一個用於 DC,一個用於 Server 2016 框,一個目前為空,另一個作為網路外的路由。
DC 被靜態分配為 10.0.1.1。Server 2016 box配置為DHCP(DC上的DHCP角色),確認DHCP工作,因為box已經分配了10.0.2.11(池為10.0.2.1-254,1-9保留(不知道為什麼它不需要 10,但不在乎)。
但是,我似乎同時遇到了 DNS 問題和路由問題。具體來說,我可以從 DC ping 環回、每個 VyOS 介面、ESXi NIC、管理工作站(我的桌面)以及我的 pfSense 防火牆。但是,我無法通過 IP (
request timed out) 或主機名 ( ) ping Server2016 機器(同樣,我可以 ping 其子網中的介面,但不能 ping 機器本身)ping request could not find host Server2016,也無法 ping 到 8.8.8.8 或任何其他外部網路(reply from 10.0.1.254: destiation unreachable)。Server2016 盒子也是如此;我可以 ping 環回、每個 VyOS 介面、ESXi NIC、工作站和 pfSense,但我無法通過 IP 或主機名 ping DC(它至少將 DC1 解析為 IP,然後給出request timed out),我也無法 ping 網際網路。我很確定這只是一個/多個配置問題。我只是還無法修復它/它們。我的 VyOS 配置(截圖,因為我無法從環境中複製/粘貼)以及 DHCP 和 DNS 配置如下:
非常感謝任何幫助!
我會試一試。存在多個問題。
- 為什麼不能上網?(即
ping 8.8.8.8)您的 NAT 配置在 VyOS 中似乎不完整。無論如何,我都不是 VyOS 方面的專家。但是,您似乎還應該在 NAT 規則中指定要匹配的源地址。在這種情況下,我相信您需要添加
set nat source rule 10 source address '10.0.1.1-10.0.3.254'. 沒有這個,流量與 NAT 規則不匹配,因此當流量向 pfSense 盒出口到您的家庭網路時,流量不會被 NAT。在這種情況下,pfSense 將沒有適當的路由表或適當的信任來傳遞來自虛擬網路的流量。NAT 隱藏了這些地址,並使來自虛擬網路的所有流量在您的家庭網路上顯示為一個單一的、受信任的系統。這裡的缺點是通信是一種方式。您可以從虛擬網路中 ping 您的工作站,但您的工作站將無法 ping 或連接到虛擬網路中的電腦。除非您在 VyOS 中建立適當的埠轉發規則。
- 為什麼不能從 DC ping 到伺服器,反之亦然?
預設情況下,Windows 防火牆已打開,並將阻止大部分流量。嘗試關閉 Windows 防火牆以進行測試。如果這解決了問題,則向防火牆規則添加必要的例外。或者,一旦您的域正常執行,就很容易使用組策略在域中的所有電腦上部署標準防火牆規則。例如,您可以允許 ICMP Echo Request/Replies 以便
ping工作。
- 為什麼不會
Server2016解析到伺服器的IP地址?您目前的配置未顯示您已將 A 記錄添加到與
Server2016名稱匹配的 DNS 伺服器。如果這是一個功能齊全的 AD 域,則通常允許屬於該域的系統在 DNS 伺服器上添加和更新其自己的 A 記錄,因此此過程是自動的。但是,由於Server2016尚未加入域,它沒有權限在 DNS 伺服器上添加/更新記錄。因此,您必須手動添加它。