Mi scuso fin da ora per la lunghezza del post ma non posso fare altrimenti, sto impazzendo.
Dunque, possiedo una macchina con ESXi. Su questo host ho creato un vSwitch secondario come da diagramma:
Come potete vedere, il primo vSwitch ospita solo UNA scheda di rete di UNA macchina virtuale (nel mio caso SRV-FW01). Nel secondo vSwitch ho invece due VLAN e una porta TRUNK (oppure TAGGED, che dir si voglia) con tutte le VLAN taggate e la seconda scheda di SRV-FW01.
Alla fine non è niente di complesso, il mio intento è che l'unica VM "esposta" è, appunto, SRV-FW01, con attestati tutti i miei IP, e poi distribuisco tramite NAT questi IP alle mie macchine virtuali. Su SRV-FW01 è installatopfSense.
Per quanto riguarda gli IP, io possiedo, oltre ai 3 IP di Failover e a quello dedicato all'host, 8 IP RIPE che, a seguito delle istruzioni del supporto telefonico del provider, ho provveduto a dividere in modo da ottenere una configurazione come quella che segue:
E già qua la cosa mi puzza, cioè, prima di dividere il blocco, gli IP utilizzabili erano solo 6 (8 meno quello di rete e di broadcast, quindi una subnet /29). Ora che li ho divisi il pannello me li fa usare come se appartenessero ad una subnet /24, cioè posso usarli tutti e 8 senza problemi.
Ma passiamo oltre. Tramite il Manager, ho configurato un MAC Virtuale che ho assegnato all'interfaccia "WAN" di SRV-FW01, cioè quella attestata al vSwitch0, che è legato alla scheda di rete fisica del mio server.
Tale interfaccia è configurata come segue (ricordo che l'IP 94.23.73.X che vedete è uno dei miei IP di Failover dati dal provider insieme al server):
DOMANDA 1: questa configurazione è corretta?
Comunque, così configurato, SRV-FW01 naviga bello tranquillo, e funziona bene.
Passiamo oltre: i restanti IP.
Ho aggiunto TUTTI gli altri IP di cui dispongo (quindi i restanti 2 di Failover più gli 8 del blocco RIPE) come Virtual IPs di tipo Proxy ARP su pfSense come da immagine che segue:
Ovviamente, tutti questi IP sono "ruotati" tramite Manager al corretto MAC Address virtuale attestato sulla WAN di SRV-FW01.
Detto questo, ho creato delle regole di NAT e sul Firewall in modo da provare a pubblicare qualche servizio utilizzando i miei IP.
In particolare, ho provato a nattare il secondo IP di Failover (per comodità lo chiameremo 94.23.73.B) sull'IP di una delle mie VM (10.10.1.1) attestate sul vSwitch1, cioè quello privato con le VLAN, e ho aperto la porta TCP/3389 per utilizzare il Remote Desktop di Windows. Tutto funziona alla perfezione.
Ho poi provato a fare la stessa cosa nattando un IP del blocco RIPE (per comodità lo chiameremo 178.33.10.C) sulla porta TCP/80 dell'IP privato di un'altra delle mie VM (10.10.0.2) attestate sempre sul vSwitch1, anche se appartenente ad un'altra VLAN.
Per tutte queste regole ho creato relative eccezioni sul firewall e altrettante regole di Outbound NAT, così come segue:
NB: le reti interne (quindi le due VLAN) possono accedere alla WAN senza alcuna limitazione.
Arriviamo, finalmente, al vero, grosso problema: FUNZIONANO SOLO GLI IP FAILOVER E NON QUELLI RIPE!!!
Mi spiego meglio, delle due regole solo quella con IP Pubblico 94.23.73.B funziona, mentre i pacchetti destinati a 178.33.10.C è come se non capissero da che parte devono entrare/uscire.
DOMANDA 2: cosa c'è che non funziona in tutto ciò? Dove ho sbagliato??
Ho fatto anche tutte le prove "inverse", cioè invertendo i due IP esterni in modo che la colpa non fosse delle VM, ho provato a usare altri IP, ma niente da fare.
Sicuramente ho omesso di dirvi qualcosa perchè ho fatto veramente molti tentativi, ma se vi mancano informazioni per aiutarmi chiedete pure.
Vi prego, datemi una mano perchè sono disperato, sono 2 giorni che ci sbatto la testa e sono cose che ho fatto migliaia di volte, ma non si decidono a funzionare :)
Buona settimana
MZ