Проброс белого IP
-
Всем привет!
Тема не новая и вроде бы не должно быть подводных камней.
Прочитал
https://forum.pfsense.org/index.php?topic=47724.0
сделал как написано, но не работает!Исходные данные
pfSense 2.3.4_1wan PPPoE статический IP xxx.yyy.222.137
шлюз xxx.yyy.222.1lan - static 192.168.10.0
Провайдером предоставлен пул внешних адресов: xxx.yyy.217.36/30
Прописываю Firewal/Virtual IPs
xx.yyy.217.37/30 LAN IP Alias
Пингую из другой сети - фиг вам:
Ответ от xxx.yyy.216.149: заданный узел недоступенСоответственно не доступна и машина внутри сети, которой присвоен второй белый адрес xxx.yyy.217.37/30
Если VirtualIP присвоить тип WAN, то естественно он начинает пинговаться, но второй белый адрес также недоступен.
В чем может быть дело?
Это у провайдера не происходит переадресация или где-то у меня косяк?Перенаправление портов не предлагать! :)
Нужен именно проброс IP. -
Доброго.
lan - static 192.168.10.0
Надеюсь, что 192.168.10.1
Скрины правил fw на LAN, WAN покажите.
-
да
-
Могу только аттачем сделать
-
lan - static 192.168.10.0
Надеюсь, что 192.168.10.1
хех, а я бы не удивился. Зависит от маски )
-
Усе, кино кончилось!
Проблема была у провайдера.
Всем принявшим участие - спасибо!
Ваши теплые слова поддержки помогли мне в трудные минуты отсутствия доступа к внутреннему белому IP!
Спасибо, камрады! -
Доброго.
А зачем вы серые сети на LANе-то заблокировали ?![2017-12-01 09_58_03.png](/public/imported_attachments/1/2017-12-01 09_58_03.png)
![2017-12-01 09_58_03.png_thumb](/public/imported_attachments/1/2017-12-01 09_58_03.png_thumb) -
просто человек проставил галочки в свойствах интерфейса
-
Надеюсь, что т.о. он отсек на ЛАН только https://www.securitylab.ru/blog/personal/aodugin/305208.php :
192.0.0.0/24
Блок не встречается в повседневной жизни, поскольку зарезервирован под IANA для нужд IETF в соответствии с RFC6890 -
Надеюсь, что т.о. он отсек на ЛАН только https://www.securitylab.ru/blog/personal/aodugin/305208.php :
192.0.0.0/24
Блок не встречается в повседневной жизни, поскольку зарезервирован под IANA для нужд IETF в соответствии с RFC6890Очень даже встречается. Я однажды ругался с дебилоящиками с мегафона. Они мне сделали белый адрес, а при просмотре трасерта светились серые адреса. И PF неадеватно реагировал на это.
И пример номер 2. Я раньше работал в провайдере, сейчас в производственном секторе итишником. Интернет подключил от этого провайдера, т.к. там работают мои друзья. И каково было моё удивление, когда ко мне на внешний интерфейс полетела DDOS атака с серых сетей вида 192.168.. – и это реально адрес из пакета. А на самом деле просто ещё один дибилоящик-админ из "электронного города" (новосибирск) включил серые адреса своих абонентов в анонс BGP. И мой провайдер получал этот анонс, и соот-но маршрутизировал эти пакеты до меня.
Пример 3. Вымпелком. Кстати самый адекватный провайдер из большой тройки. Тоже прилетал DDOS с серыми адресами. Знаешь что это было? это в их офисе Билайна где то в районе самары кто то подвахтил бот-нет-червя. И этот червь тоже ходил с серого адреса,сетка анонсилась через BGP и прилетала до меня.Так что сплошь и рядом.
-
Претензии к ТС. Я просто указал на неверное правило.
-
@avg:
Соответственно не доступна и машина внутри сети, которой присвоен второй белый адрес xxx.yyy.217.37/30
машине должен быть дан адрес xxx.yyy.217.38/30