Настройка маршрутизации между VLAN в TrueNAS Scale 2026: пошаговое руководство

Настройка маршрутизации между VLAN в TrueNAS Scale позволяет эффективно разделить трафик управления, хранения данных и пользовательских сервисов на одном физическом сервере, повышая безопасность и управляемость инфраструктуры. Это проверенное руководство для версий TrueNAS Scale 2026 года предоставляет точные шаги для создания сегментированной сети с использованием интерфейсов, мостов и встроенного межсетевого экрана. Вы получите готовую архитектуру и избежите типичных ошибок конфигурации.

Маршрутизация между VLAN превращает ваш TrueNAS в полноценный маршрутизатор для внутренних сетей, позволяя изолированным сегментам безопасно взаимодействовать по заданным правилам. Ниже приведена детальная инструкция, основанная на практическом опыте и актуальная для текущих релизов системы.

📋 Чек-лист перед настройкой: 5 пунктов, которые сэкономят время и предотвратят ошибки

Прежде чем изменять сетевые параметры, выполните эти обязательные действия. Они минимизируют риск потерять доступ к системе и гарантируют, что дальнейшие шаги будут выполнены корректно.

1. Проверка версии TrueNAS Scale. Убедитесь, что используется актуальная стабильная версия (например, 24.10.0 или новее). Инструкция ориентирована на интерфейс и функционал 2026 года.
2. Подготовка схемы сети. На бумаге или в документе определите:
   – Физический интерфейс, который будет использоваться (например, eth0).
   – VLAN ID и назначение для каждого сегмента (например: VLAN 10 – управление, VLAN 20 – хранение, VLAN 30 – пользователи).
   – IP-адреса и подсети для каждого VLAN (например: 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24).
   – IP-адрес шлюза по умолчанию для системы (если требуется выход в внешнюю сеть).
3. Настройка физического коммутатора. Порт, к которому подключен TrueNAS, должен быть настроен в режиме trunk (или tagged) с разрешением всех необходимых VLAN ID (10,20,30). Если используется неуправляемый коммутатор, технология VLAN должна поддерживаться на стороне TrueNAS через отдельные физические порты.
4. Резервная копия текущей конфигурации сети. В интерфейсе TrueNAS Scale перейдите в System Settings → Backup и создайте полную резервную копию конфигурации. Это позволит мгновенно восстановить рабочую сеть в случае ошибки.
5. План действий при потере удаленного доступа. Настройку рекомендуется начинать, имея физический доступ к консоли сервера (через монитор и клавиатуру) или гарантированный альтернативный путь управления (например, отдельный, уже настроенный сетевой интерфейс). Первые изменения могут временно нарушить текущее соединение.

🔧 Пошаговая настройка VLAN, мостов и маршрутизации в TrueNAS Scale

Процесс строится по принципу: сначала создаются виртуальные интерфейсы VLAN на физическом порте, затем для каждого VLAN создается отдельный сетевой мост (bridge), которому назначается IP-адрес. Маршрутизация между подсетями возникает автоматически после присвоения адресов.

Шаг 1: Настройка физического интерфейса и создание VLAN

В TrueNAS Scale интерфейсы VLAN создаются как дети (child) физического интерфейса.

1. Перейдите в Network → Interfaces.
2. Найдите ваш основной физический интерфейс (например, eth0). Убедитесь, что он активен и имеет базовую конфигурацию (например, получение адреса по DHCP для первоначального доступа). Не добавляйте этот физический интерфейс в мост на этом этапе.
3. Нажмите ADD и выберите тип интерфейса VLAN.
4. В форме создания:
   – Parent Interface: выберите ваш физический интерфейс (eth0).
   – VLAN Tag: введите идентификатор VLAN. Например, для сети управления – 10.
   – Description: задайте понятное имя, например VLAN10-Management.
5. Нажмите SAVE. Повторите процесс для создания всех необходимых VLAN интерфейсов (например, vlan20 с Tag=20 для хранения, vlan30 с Tag=30 для пользователей).

После создания эти интерфейсы будут отображаться в списке с названиями типа vlan10, vlan20. Они будут получать тегированные фреймы от коммутатора.

Шаг 2: Создание и конфигурация сетевых мостов (Bridge)

Сетевой мост (bridge) логически объединяет интерфейсы. В нашей архитектуре каждый мост будет агрегировать трафик одного VLAN, предоставляя ему IP-адрес.

1. В Network → Interfaces нажмите ADD и выберите тип Bridge.
2. В форме создания:
   – Name: задайте имя, например br-vlan10.
   – Bridge Members: добавьте в мост соответствующий VLAN интерфейс (например, vlan10). Не добавляйте физический интерфейс (eth0) в мост. Это предотвратит двойную тегировку.
   – Description: Bridge for Management VLAN.
3. После создания моста, кликните на его имя в списке интерфейсов для настройки IP.
   – Перейдите в раздел IPv4 Configuration.
   – Выберите тип Static.
   – Введите IP Address: например, 192.168.10.1/24 для моста управления. Этот адрес будет служить шлюзом для устройств в VLAN 10.
   – Если требуется выход в интернет, в поле IPv4 Default Gateway укажите адрес вашего основного маршрутизатора (например, 192.168.10.254). Этот шаг можно выполнить позже.
4. Нажмите SAVE & APPLY CHANGES. Повторите процесс для создания мостов br-vlan20 (IP: 192.168.20.1/24) и br-vlan30 (IP: 192.168.30.1/24).

Теперь каждый сетевой сегмент имеет свой собственный мост с уникальным IP-адресом в отдельной подсети.

Шаг 3: Организация маршрутизации между VLAN

TrueNAS Scale автоматически становится маршрутизатором между подсетями, когда его интерфейсы (мосты) получают IP-адреса в разных сетях.

1. После применения настроек, система построит таблицу маршрутизации. Проверить ее можно через командную строкю (Shell) или в интерфейсе.
   – Откройте Shell из меню TrueNAS.
   – Введите команду: ip route show или netstat -rn.
   – Вы увидите записи для каждой подсети, связанные с соответствующими мостами (например, 192.168.10.0/24 dev br-vlan10, 192.168.20.0/24 dev br-vlan20).
2. Для проверки работоспособности маршрутизации, подключите тестовые устройства к соответствующим VLAN на коммутаторах (или создайте виртуальные машины в соответствующих сетях в TrueNAS) и назначьте им IP-адреса из тех подсетей (например, 192.168.10.2, 192.168.20.2).
3. Из Shell TrueNAS выполните ping между адресами в разных VLAN: ping 192.168.10.2 и ping 192.168.20.2. Успешный ответ подтвердит, что маршрутизация работает.

На этом этапе базовое соединение между VLAN установлено. Однако весь трафик разрешен, что небезопасно. Следующий шаг – настройка фильтрации.

🔐 Настройка межсетевого экрана для контроля трафика между VLAN

TrueNAS Scale включает встроенный межсетевой экран (firewall) на основе iptables/nftables. Правила применяются к интерфейсам (мостам) и позволяют детально контролировать поток данных между сегментами.

Перейдите в Network → Firewall. Правила создаются для каждого интерфейса (моста) и могут иметь направление IN (входящий на мост) или OUT (исходящий из моста). Логика построения политик: разрешить только необходимый трафик, все остальное запретить.

Пример правил для типовой архитектуры: управление, хранение, пользователи

Рассмотрим сценарий, где:
– VLAN 10 (br-vlan10): управление TrueNAS (SSH, WebUI).
– VLAN 20 (br-vlan20): трафик хранения (iSCSI, NFS, SMB).
– VLAN 30 (br-vlan30): пользовательские сервисы (Docker/Apps).

1. Правило: разрешить доступ к управлению только из VLAN управления.
   – Интерфейс: br-vlan10.
   – Направление: IN (трафик, поступающий на этот мост).
   – Протокол: TCP.
   – Порт источника: любой.
   – Порт назначения: 22 (SSH), 80, 443 (WebUI).
   – Действие: ALLOW.
   – Комментарий: Allow SSH and WebUI to TrueNAS from Management VLAN.
   – Дополнительно: Добавить правило с действием DENY для интерфейса br-vlan10, направления IN для всех остальных протоколов и портов. Это запретит любой другой входящий трафик на интерфейс управления.
2. Правило: разрешить трафик хранения из VLAN хранения.
   – Интерфейс: br-vlan20.
   – Направление: IN.
   – Протокол: TCP.
   – Порт назначения: 3260 (iSCSI), 2049 (NFS), 445 (SMB).
   – Действие: ALLOW.
   – Комментарий: Allow storage protocols from Storage VLAN.
   – Добавить правило DENY для всего остального входящего трафика на br-vlan20.
3. Правило: запретить любой трафик из пользовательских VLAN к управлению и хранению.
   – Интерфейс: br-vlan30.
   – Направление: OUT (трафик, исходящий из этого моста в другие сети).
   – IP назначения: 192.168.10.0/24, 192.168.20.0/24.
   – Действие: DENY.
   – Комментарий: Block user VLAN from accessing management and storage networks.
   – Это правило предотвратит попытки соединения из пользовательской сети в критические сегменты.
4. Правило: разрешить необходимые порты для Docker/Kubernetes из пользовательских VLAN.
   – Если в VLAN 30 размещены приложения (Apps) TrueNAS или виртуальные машины, которым нужен доступ в интернет или к другим сервисам, создайте разрешающие правила на интерфейсе br-vlan30 для конкретных портов (например, 80, 443, 53 для DNS).

Порядок правил критически важен: правила обрабатываются сверху вниз. Размещайте разрешающие (ALLOW) правила выше запрещающих (DENY).

Проверка работоспособности и диагностика правил firewall

После применения правил необходимо убедиться в их корректной работе.

1. Тестовый ping с ограничениями. Попробуйте выполнить ping из устройства в VLAN пользователей (30) к адресу TrueNAS в VLAN управления (10). Ping должен быть заблокирован. Ping из VLAN управления к пользовательскому VLAN может быть разрешен, если вы не создали запрещающее правило.
2. Использование tcpdump. В Shell TrueNAS можно проверить, проходит ли трафик через интерфейсы:
   – tcpdump -i br-vlan30 icmp – покажет ICMP пакеты на пользовательском мосту.
   – Если пакеты не появляются при попытке ping из другой сети, вероятно, они блокируются правилом firewall на исходном интерфейсе.
3. Логи firewall в TrueNAS. В интерфейсе Network → Firewall есть раздел Logs. Проверьте его после тестовых запросов. Заблокированные пакеты могут отображаться там, если настроено логирование для правил DENY.
4. Что делать, если трафик блокируется некорректно?
   – Проверьте порядок правил: разрешающее правило должно быть выше запрещающего для того же типа трафика.
   – Убедитесь, что правило применено к правильному интерфейсу и направлению.
   – Временно добавьте разрешающее правило для всего трафика (ALLOW from ANY to ANY) в верх списка для диагностики, затем удалите его после устранения проблемы.

Настройка межсетевого экрана завершает создание безопасной сегментированной сети. Для дальнейшего расширения сети, например, создания изолированных пользовательских Docker bridge-сетей, можно использовать созданные VLAN как базовую транспортную среду.

⚠️ 5 ошибок при настройке VLAN в TrueNAS (и как их избежать)

Эти ошибки часто приводят к потере сетевого подключения или некорректной работе маршрутизации.

1. Не настроить теги VLAN на физическом коммутатора. Если порт коммутатора не настроен в режиме trunk/tagged, фреймы с тегами VLAN не будут переданы на TrueNAS. Решение: заранее проверить и настроить коммутатор.
2. Добавить физический интерфейс в мост вместе с VLAN интерфейсом. Если добавить eth0 в мост br-vlan10, система попытается обработать тегированные фреймы дважды, что приведет к потере связи. Решение: в мост добавлять только созданные VLAN интерфейсы (vlan10), физический интерфейс остается независимым.
3. Использовать одинаковые подсети для разных мостов. Назначение одинакового IP-адреса или подсети (например, 192.168.1.0/24) двум мостам br-vlan10 и br-vlan20 приведет к конфликту и невозможности маршрутизации. Решение: использовать уникальные, непересекающиеся подсети для каждого VLAN.
4. Настроить правила firewall до проверки базовой маршрутизации. Если сначала настроить жесткие правила запрета, можно заблокировать трафик диагностики и потерять возможность понять, работает ли маршрутизация. Решение: сначала убедиться, что ping между VLAN работает без firewall, затем постепенно добавлять правила и проверять их влияние.
5. Не иметь плана восстановления доступа при ошибке конфигурации. При изменении сетевых настроек через WebUI можно потерять текущее соединение. Решение: как указано в чек-листе, иметь доступ к консоли или резервный интерфейс, а также сохраненную резервную копию конфигурации для быстрого отката.

❓ Частые вопросы о маршрутизации и VLAN в TrueNAS Scale

Можно использовать DHCP на VLAN интерфейсах? Да, для мостов можно настроить получение IP-адреса по DHCP, если в вашей сети есть DHCP сервер, способный выдавать адреса в соответствующих VLAN. Однако для стабильной маршрутизации и firewall рекомендуется использовать статические адреса.

Как настроить маршрутизацию через внешний роутер? Если вам не нужна маршрутизация между VLAN на самом TrueNAS, а трафик должен идти через внешний маршрутизатор (Layer 3 коммутатор), то на TrueNAS не нужно назначать IP-адреса мостам из разных подсетей. Достаточно настроить VLAN интерфейсы и мосты, а затем указать в настройках каждого моста шлюз по умолчанию (ваш внешний роутер). Тогда все меж-VLAN трафик будет направлен на него.

Влияет настройка на производительность? Маршрутизация на уровне ОС (software routing) добавляет небольшую нагрузку на CPU. Для типичных задач хранения и управления в домашних или небольших корпоративных сценариях это влияние минимально. Для высоконагруженных сред рекомендуется использовать аппаратный маршрутизатор или рассматривать TrueNAS как конечную точку, а не транзитный роутер.

Совместимо с приложениями (Apps) и виртуальными машинами? Да. При создании приложения (Docker) или виртуальной машины в TrueNAS Scale вы можете выбрать сетевой интерфейс для контейнера/VM – один из созданных мостов (например, br-vlan30). Таким образом, приложение будет автоматически размещено в нужном VLAN и получит доступ согласно правилам firewall. Этот подход позволяет глубоко сегментировать даже контейнерные среды, что особенно важно для продвинутых Docker-конфигураций.

Как сделать резервную копию конфигурации сети? В TrueNAS Scale перейдите в System Settings → Backup → Create Backup. Выберите опцию включения сетевых настроек. Файл конфигурации можно скачать и использовать для восстановления в случае сбоя или миграции на другой сервер.

Настройка маршрутизации между VLAN в TrueNAS Scale – мощный инструмент для организации безопасной и управляемой сетевой инфраструктуры на базе единого сервера. Следуя этому руководству, вы сможете реализовать рабочую схему, избежав распространенных ошибок, и адаптировать ее под свои конкретные требования к сегментации трафика.