Sao không có ai giúp mình vậy! :(
Mô hình tổng quang mạng công ty:

PCs -----------> 2950s, 3560 ------------> 4503 ------ cáp quang đi Tổng cty ---------> 6509 -----> 1 lease line (web), 10 ADSL (internet)
PCs -----------> 2950s, 3560 ------------> 4503 ------> Pfsense load balancing ---------> 4 ADSL
Cấu hình của 4503 đã post ở trên.
Tình trạng:
- Nếu gim trực tiếp PC vào cổng LAN của Pfsense thì dùng Internet OK (PC dùng IP tĩnh vì Pfsense stop DHCP server, vì mạng cty có server Web và DHCP riêng)
- Nếu gim port Gi1/12 của 4503 vào Pfsense thì các PCs trong mạng không dùng được Internet (lúc này đã tăng metric của route đi Tổng cty cao hơn route đi Pfsense)
+ Kiểm tra: Từ Pfsense Ping các PCs trong mạng OK; từ 4503 Ping port LAN (10.1.252.5) của Pfsense, các Modem ADSL, các ISP (203.162.0.11,...) đều OK
Từ PCs ở trong mạng chỉ Ping được Port LAN của Pfsense, KHÔNG Ping được các Modem ADSL và ISP.
HELP ME!!!

bạn giagia có nghĩ vấn đề là do NAT không?

Mình cũng nghĩ nhiều khả năng là do NAT hoặc chức năng FW của Pfsense này. Mình rất thích troubleshoot, nếu mò ko ra thì cứ pm mình nhé, ta học hỏi thêm :)

Chào bạn,
Tôi xin được ghi lại những thông tin quan trọng như sau :
"nhưng nếu nối pfsense vào 4503 thì các máy tính đều ko sài được Internet (tất nhiên lúc này mình đã tạm cắt đường cáp quang đi Tổng cty); từ 4503 ping đến LAN của pfsense : OK, ping ra internet : OK,"
=> Bạn vẫn có thể ping ra ngoài internet nhưng không truy cập được internet => nguyên nhân có thể do phân giải tên miền nếu như bạn ping bằng địa chỉ ip public chứ không phải domain.

"Từ PCs ở trong mạng chỉ Ping được Port LAN của Pfsense, KHÔNG Ping được các Modem ADSL và ISP."
PCs ở đây có phải là mạng 3560 quảng lí ? Bạn có thể cho xem cấu hình của 3560 không ?

Chúc vui vẻ.

Cám ơn ý kiến của thầy dangquangminh, bạn newhorizon và tranmyphuc!
- NAT của Pfsense: trong hướng dẫn về pfsense cũng của bạn tranmyphuc (http://www.vnpro.org/forum/showpost....86&postcount=8) ko thấy hướng dẫn phần NAT nên mình để automatic outbound NAT, pfsense mình mới làm lần đầu, có gì các thầy và các bạn giúp thêm nhé.
- Firewall và DNS của Pfsense mình nghĩ ko có vấn đề gì, vì đã tạo rule đầy đủ cho nó rồi (thậm chí đã đổi Protocol, Port, Source và Des thành Any).
- Cấu hình nói chung của Pfsense mình tham khảo theo bài của bạn tranmyphuc ở trên, chỉ có thêm 1 lệnh route add –net 10.0.0.0/8 10.1.252.5
- Theo bạn tranmyphuc là do phân giải tên miền : nhưng nếu gim 1 PC trực tiếp vào port LAN của pfsense thì vẫn dùng Internet Ok mà. PC gim trực tiếp vào pfsense thì mình đặt ip là 10.1.252.6, gw và dns: 10.1.252.5 (LAN của pfsense).
- Các PCs ở đây có IP 10.6.x.y (x=1 ® 15, y = 10 ® 220);
Mình đang phân vân không biết do NAT trên pfsense hay còn vấn đề khác?

Một số thông tin thêm các thầy và các bạn tham khảo giúp:
Cái sơ đồ trên chưa chính xác lắm, mình post lại:

Cầu hình của 3560:
no aaa new-model
ip subnet-zero
ip routing
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
interface Loopback0
ip address 10.6.255.254 255.255.255.255
!
interface Port-channel1
description ### Connect to Catalyst 4503 using 0/1-2 ###
no switchport
ip address 10.6.250.6 255.255.255.252
ip ospf network point-to-point
!
interface GigabitEthernet0/1
description ### Connect to Catalyst 4503 ###
no switchport
no ip address
channel-group 1 mode desirable
!
interface GigabitEthernet0/2
description ### Connect to Catalyst 4503 ###
no switchport
no ip address
channel-group 1 mode desirable
!
interface GigabitEthernet0/3
switchport access vlan 6
!
interface GigabitEthernet0/4
switchport access vlan 6
…………..
interface GigabitEthernet0/23
switchport access vlan 4
!
interface GigabitEthernet0/24
switchport access vlan 4
!
interface GigabitEthernet0/25
switchport access vlan 11
switchport mode access
!
interface GigabitEthernet0/26
description ### Connect to A_(G) ###
switchport access vlan 11
switchport mode access
!
interface GigabitEthernet0/27
switchport access vlan 11
!
interface GigabitEthernet0/28
description ### Connect to CO_KHI ###
switchport access vlan 12
switchport mode access
!
interface Vlan1
no ip address
shutdown
!
interface Vlan4
ip address 10.6.4.1 255.255.255.0
ip helper-address 10.6.1.2
!
interface Vlan5
no ip address
ip helper-address 10.6.1.2
!
interface Vlan6
ip address 10.6.9.1 255.255.255.0
ip helper-address 10.6.1.2
!
interface Vlan11
ip address 10.6.11.1 255.255.255.0
ip helper-address 10.6.1.2
!
interface Vlan12
ip address 10.6.12.1 255.255.255.0
ip helper-address 10.6.1.2
!
interface Vlan13
no ip address
ip helper-address 10.6.1.2
!
interface Vlan14
no ip address
ip helper-address 10.6.1.2
!
interface Vlan15
no ip address
ip helper-address 10.6.1.2
!
router ospf 100
log-adjacency-changes
area 6 stub
network 10.6.0.0 0.0.255.255 area 6
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.6.250.5
ip http server
ip http secure-server
!
!
access-list 1 permit 10.1.2.2
snmp-server community abchprivate RW 1
!
control-plane
!
!
line con 0
line vty 0 4
end

THÔNG TIN THÊM:
Switch 4503: route theo WAN Tổng cty:
ip route 0.0.0.0 0.0.0.0 10.1.255.60 - > đi Tổng cty
ip route 0.0.0.0 0.0.0.0 10.1.252.6 2 -> ko đi Pfsense vì metric cao hơn
-> lệnh show ip route:
Cat4503#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.1.255.60 to network 0.0.0.0

10.0.0.0/8 is variably subnetted, 45 subnets, 6 masks
O 10.6.12.0/24 [110/2] via 10.6.250.6, 04:50:00, Port-channel2
O 10.1.11.0/24 [110/3] via 10.1.255.60, 03:06:10, Port-channel1
O IA 10.8.0.0/16 [110/3] via 10.1.255.60, 03:06:10, Port-channel1
O 10.6.14.0/24 [110/2] via 10.6.250.6, 04:50:00, Port-channel2
O 10.1.9.0/24 [110/3] via 10.1.255.60, 03:06:10, Port-channel1
O IA 10.9.0.0/16 [110/3] via 10.1.255.60, 03:06:10, Port-channel1
C 10.6.15.0/24 is directly connected, Vlan15
O 10.1.8.0/24 [110/3] via 10.1.255.60, 03:06:10, Port-channel1
C 10.6.8.0/24 is directly connected, Vlan8
O 10.6.9.0/24 [110/2] via 10.6.250.6, 04:50:00, Port-channel2
C 10.6.10.0/24 is directly connected, Vlan10
O 10.6.11.0/24 [110/2] via 10.6.250.6, 04:50:00, Port-channel2
O 10.1.12.0/24 [110/3] via 10.1.255.60, 03:06:10, Port-channel1
O 10.6.4.0/24 [110/2] via 10.6.250.6, 04:50:00, Port-channel2
O IA 10.2.0.0/16 [110/3] via 10.1.255.60, 03:06:10, Port-channel1
C 10.6.5.0/24 is directly connected, Vlan5
O IA 10.3.0.0/16 [110/3] via 10.1.255.60, 03:06:10, Port-channel1
O 10.1.250.248/29 [110/2] via 10.1.255.60, 03:06:10, Port-channel1
O 10.1.255.254/32 [110/3] via 10.1.255.60, 03:06:10, Port-channel1
C 10.6.7.0/24 is directly connected, Vlan7
O 10.1.255.255/32 [110/2] via 10.1.255.60, 03:06:10, Port-channel1
C 10.6.255.255/32 is directly connected, Loopback0
O 10.6.0.0/16 is a summary, 04:50:00, Null0
O IA 10.7.0.0/16 [110/3] via 10.1.255.60, 03:06:10, Port-channel1
O 10.6.255.254/32 [110/2] via 10.6.250.6, 04:50:00, Port-channel2
O 10.6.1.0/24 [110/11] via 10.6.250.2, 04:50:00, GigabitEthernet1/1
O 10.1.6.0/24 [110/12] via 10.1.255.60, 03:06:10, Port-channel1
O 10.6.2.0/24 [110/11] via 10.6.250.2, 04:50:00, GigabitEthernet1/1
O IA 10.4.0.0/16 [110/3] via 10.1.255.60, 03:06:10, Port-channel1
O 10.1.5.0/24 [110/2] via 10.1.255.60, 03:06:10, Port-channel1
O 10.1.255.80/31 [110/2] via 10.1.255.60, 03:06:12, Port-channel1
O 10.1.255.90/31 [110/2] via 10.1.255.60, 03:06:12, Port-channel1
O 10.1.255.70/31 [110/2] via 10.1.255.60, 03:06:12, Port-channel1
C 10.1.255.60/31 is directly connected, Port-channel1
O 10.1.255.40/31 [110/2] via 10.1.255.60, 03:06:12, Port-channel1
O 10.1.255.20/31 [110/2] via 10.1.255.60, 03:06:12, Port-channel1
O 10.1.250.16/30 [110/2] via 10.1.255.60, 03:06:12, Port-channel1
O 10.1.255.30/31 [110/2] via 10.1.255.60, 03:06:12, Port-channel1
O 10.1.250.0/30 [110/2] via 10.1.255.60, 03:06:12, Port-channel1
C 10.6.250.4/30 is directly connected, Port-channel2
C 10.6.250.0/30 is directly connected, GigabitEthernet1/1
O 10.1.253.0/30 [110/12] via 10.1.255.60, 03:06:12, Port-channel1
C 10.1.252.0/24 is directly connected, Port-channel3
O 10.1.250.8/30 [110/2] via 10.1.255.60, 03:06:12, Port-channel1
O 10.1.250.12/30 [110/2] via 10.1.255.60, 03:06:12, Port-channel1
S* 0.0.0.0/0 [1/0] via 10.1.255.60
O E2 203.191.48.0/21 [110/20] via 10.1.255.60, 03:06:12, Port-channel1
Cat4503#

- Đổi lại cấu hình trên 4503: đi theo Pfsense:
ip route 0.0.0.0 0.0.0.0 10.1.255.60 2 - >set metric WAN =2 -> ko đi Tổng cty
ip route 0.0.0.0 0.0.0.0 10.1.252.6 -> đi Pfsense
Lệnh show ip route:
Cat4503#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.1.255.60 to network 0.0.0.0

10.0.0.0/8 is variably subnetted, 45 subnets, 6 masks
O 10.6.12.0/24 [110/2] via 10.6.250.6, 04:59:07, Port-channel2
O 10.1.11.0/24 [110/3] via 10.1.255.60, 03:15:17, Port-channel1
O IA 10.8.0.0/16 [110/3] via 10.1.255.60, 03:15:17, Port-channel1
O 10.6.14.0/24 [110/2] via 10.6.250.6, 04:59:07, Port-channel2
O 10.1.9.0/24 [110/3] via 10.1.255.60, 03:15:17, Port-channel1
O IA 10.9.0.0/16 [110/3] via 10.1.255.60, 03:15:17, Port-channel1
C 10.6.15.0/24 is directly connected, Vlan15
O 10.1.8.0/24 [110/3] via 10.1.255.60, 03:15:17, Port-channel1
C 10.6.8.0/24 is directly connected, Vlan8
O 10.6.9.0/24 [110/2] via 10.6.250.6, 04:59:07, Port-channel2
C 10.6.10.0/24 is directly connected, Vlan10
O 10.6.11.0/24 [110/2] via 10.6.250.6, 04:59:07, Port-channel2
O 10.1.12.0/24 [110/3] via 10.1.255.60, 03:15:17, Port-channel1
O 10.6.4.0/24 [110/2] via 10.6.250.6, 04:59:07, Port-channel2
O IA 10.2.0.0/16 [110/3] via 10.1.255.60, 03:15:17, Port-channel1
C 10.6.5.0/24 is directly connected, Vlan5
O IA 10.3.0.0/16 [110/3] via 10.1.255.60, 03:15:17, Port-channel1
O 10.1.250.248/29 [110/2] via 10.1.255.60, 03:15:17, Port-channel1
O 10.1.255.254/32 [110/3] via 10.1.255.60, 03:15:17, Port-channel1
C 10.6.7.0/24 is directly connected, Vlan7
O 10.1.255.255/32 [110/2] via 10.1.255.60, 03:15:17, Port-channel1
C 10.6.255.255/32 is directly connected, Loopback0
O 10.6.0.0/16 is a summary, 04:59:07, Null0
O IA 10.7.0.0/16 [110/3] via 10.1.255.60, 03:15:17, Port-channel1
O 10.6.255.254/32 [110/2] via 10.6.250.6, 04:59:07, Port-channel2
O 10.6.1.0/24 [110/11] via 10.6.250.2, 04:59:07, GigabitEthernet1/1
O 10.1.6.0/24 [110/12] via 10.1.255.60, 03:15:17, Port-channel1
O 10.6.2.0/24 [110/11] via 10.6.250.2, 04:59:07, GigabitEthernet1/1
O IA 10.4.0.0/16 [110/3] via 10.1.255.60, 03:15:17, Port-channel1
O 10.1.5.0/24 [110/2] via 10.1.255.60, 03:15:17, Port-channel1
O 10.1.255.80/31 [110/2] via 10.1.255.60, 03:15:18, Port-channel1
O 10.1.255.90/31 [110/2] via 10.1.255.60, 03:15:18, Port-channel1
O 10.1.255.70/31 [110/2] via 10.1.255.60, 03:15:18, Port-channel1
C 10.1.255.60/31 is directly connected, Port-channel1
O 10.1.255.40/31 [110/2] via 10.1.255.60, 03:15:18, Port-channel1
O 10.1.255.20/31 [110/2] via 10.1.255.60, 03:15:18, Port-channel1
O 10.1.250.16/30 [110/2] via 10.1.255.60, 03:15:18, Port-channel1
O 10.1.255.30/31 [110/2] via 10.1.255.60, 03:15:18, Port-channel1
O 10.1.250.0/30 [110/2] via 10.1.255.60, 03:15:18, Port-channel1
C 10.6.250.4/30 is directly connected, Port-channel2
C 10.6.250.0/30 is directly connected, GigabitEthernet1/1
O 10.1.253.0/30 [110/12] via 10.1.255.60, 03:15:18, Port-channel1
C 10.1.252.0/24 is directly connected, Port-channel3
O 10.1.250.8/30 [110/2] via 10.1.255.60, 03:15:18, Port-channel1
O 10.1.250.12/30 [110/2] via 10.1.255.60, 03:15:18, Port-channel1
S* 0.0.0.0/0 [1/0] via 10.1.255.60
[1/0] via 10.1.252.6
O E2 203.191.48.0/21 [110/20] via 10.1.255.60, 03:15:18, Port-channel1
Cat4503#

Các thầy cho em hỏi về khái niệm và nguyên lý hoạt động của Virtual Firewall với ạ, em đang tìm hiểu mà chưa hiểu mô tê nó như thế nào ạ?
Xin các thầy giúp đỡ.

Em cám ơn các Thầy,

Mời bạn xem tham khảo

Tôi có nhận xét thế này:do NAT và FW của con pfsense này chỉ cho phép 10.1.252.0 /24, là dãy địa chỉ connected với nó, tất cả các IP mạng khác đều bị cấm, mặc dù con pfsense này có khả năng cấu hình route.

Cách test:
- Tắt tính năng FW của nó đi
- Bỏ NAT, cho nó làm router thôi (không biết con này làm được không), xong từ PC bên trong ping ra các interface của modem xem kết quả thế nào

Good luck :)

Mình làm được rồi... cám ơn các thầy và các bạn!

Nhận xét của newhorizon chính xác, mình đã đổi lại net của pfsense cùng với net của công ty: 10.1.252.0/24 -> 10.6.252.0/24 và ... thành công. Có nghĩa là ip của LAN pfsense đổi từ 10.1.252.6 -> 10.6.252.6 vì mạng của công ty là 10.6.0.0. Bạn nào gặp vấn đề tương tự thì xử lý như trên nhé.
Nhờ ý kiến của các thầy và các bạn đã giúp mình giải quyết được vấn đề.
Cám ơn thầy dangquangminh, bạn tranmyphuc và newhorizon! :)