Eu tenho um firewall PFSense como um gateway para um grupo de VMs sentado em cima de um hipervisor Xen (todas as máquinas, exceto o host, são virtuais). Eu tenho PFSense agindo como um waypoint para eu ser capaz de encaminhar o tráfego para a Internet como o meu provedor de hospedagem faz uma coisa onde se você quiser dispositivos para se conectar em tudo você tem que ter um IP de failover atribuído a um MAC virtual para ele ir para a sua rede, então eu imaginei que eu iria apenas avançar neste endereço público para quando eu precisar. Soa bem né?
O PFSense também tem uma saída IPv6 (apenas para empilhamento duplo e se eu quiser que um host tenha um endereço IPv6 para acessibilidade individual)
Do próprio PFSense eu posso pingar, enrolar, cavar ... etc em seu endereço IPv4 público, mas o mesmo não pode ser feito para clientes na rede LAN. Por alguma razão, esse tráfego é perdido e não é enviado. Eu verifiquei a captura de pacotes na interface WAN pública e não vejo os pacotes saindo para a Internet. Eu verifiquei o firewall para ver se ele estava sendo filtrado, mas não. Estou usando as regras padrão da instalação.
Todas as máquinas virtuais estão usando o e1000e como seu adaptador ethernet virtual e pelo que eu posso dizer que ele deveria estar funcionando. A conectividade IPv6 funciona muito bem e posso confirmar que não é um problema de LAN, já que posso conectar normalmente usando os endereços IP da LAN em cada caixa dentro dele.
Topo:
[ISP] - > (eno3) [Host Xen] (br0) - > (xn0) [PFSense] (xn1) - > (br1) - > [client01]
br0 - Adaptador em ponte para eno3 no host. As coisas que estão conectadas aqui têm um endereço IPv4 público e um conjunto MAC virtual que permite ao ISP rotear o tráfego de volta ao IP individual.
br1 - Adaptador em ponte para máquinas virtuais + interface LAN do PFSense.
Todas as pontes estão localizadas no host Xen. EDIT: Esqueceu de mencionar. Eu posso usar ICMP de todos os convidados muito bem (ex: ping 8.8.8.8) e aqueles funcionam muito bem.
Tags networking firewall xen pfsense