NAT/DHCP e Endereços Reais Fixos numa mesma interface?
-
Ola Pessoal,
Alguem sabe dizer como que faço para ter numa mesma interface de rede possuir duas funcionalidades? Exemplificando:
Vamos supor que eu tenha um endereço de saida para a WAN como 128.64.32.16 e internamente existem endereços IP's reais num range 128.64.16.0-254 a 128.64.24.0-254 e ainda uma rota em outra rede 64.64.64.0-254
Agora eu quero adicionar a opção de NAT com IP's restritos com 192.168.x.x nessa mesma rede, na saida obviamente. O gateway seria o 128.64.32.16.
Como fazer isso? Alguma sujestão? Fiz uns experimentos com VLAN mas não deu muito certo, ou eu fiz cagada.
Na pratica um usuário se fixa um endereço 128.64.16.x ele usa este IP, se usa DHCP recebe um endereço 192.168.x.x;
[]'s
-
Voce precisa separar cada rede na sua interface, misturar ips validos com inválidos Nao é uma boa pratica.
Voce pode ter na wan o seu endereço fora da faixa
Na opt1 seus ips validos.
Na lan, Voce mantém o dhcp com a faixa invalida. -
Realmente preciso separar as interfaces?
Sei que no Linux pelo terminal posso definir dois endereços IP numa mesma interface. O que é otimo de certa forma.
Não há condições de refazer toda a infraestrutura apenas para "separar".
Fisicamente eu só posso ter duas placas de rede. Uma para a WAN e a outra para a LAN. Mesmo que tenha que separar em VLANs não sei nem entendi como fazer isso.
-
A questão não é conceitual. Separar a rede na base da obscuridade é ilusão de segurança.
Separe em dois switches ou coloque um switch que seja capaz de usar vlans.
Voce vai ver que o resultado é bem mais profissional.
Quando estiver configurando as vlans, use os ids a partir do 10. O id 01 é o id da vlan default do swith.
Boa sorte na evolução da configuração da sua rede.
Att,
Marcello Coutinho -
A questão não é conceitual. Separar a rede na base da obscuridade é ilusão de segurança.
Separe em dois switches ou coloque um switch que seja capaz de usar vlans.
Voce vai ver que o resultado é bem mais profissional.
Quando estiver configurando as vlans, use os ids a partir do 10. O id 01 é o id da vlan default do swith.
Boa sorte na evolução da configuração da sua rede.
Att,
Marcello CoutinhoOpa Marcello.
O problema é que isso é apenas um quebra galho.
Deixa eu explicar melhor como que funciona. A rede já existe, está operando e não pode parar. Atualmente todos os IPs dessa rede são fixos e reais. Não tem DHCP rodando.
Como aqui é uma instituição publica os IP's acabaram. E algumas pessoas não necessitam de IP's reais. NAT resolve o problema delas. A infraestrutura está pronta e não há condições de se passar mais cabos de rede, colocar pontos separados e etc. Isso é impossível. Teria que ser tudo no mesmo cabo.
Sei que isso é possível mas não elegante. E sei como fazer no Linux. Mas queria implementar um servidor pfSense e precisava desta funcionalidade.
Abraços e obrigado pelas respostas.
-
Entendi seu problema.
O Freebsd suporta varias redes na mesma interface assim como o linux.Na implementação do pfsense, por questões conceituais não é possivel fazer esta configuração pela gui.
Voce pode até acessar a console e configurar o segundo ip na mão, mas a qualquer reboot ou reconfiguração de rotas, sua interface de rede volta para o padrão.
Para resolver seu problema sem grandes gambiarras, instale outro pfsense(pode ser em vm), configure lan(192) e wan(128) e faça um bridge entre as redes.
Outra solução seria um freebsd ou linux em uma vm fazendo esse nat.
-
Entendi seu problema.
O Freebsd suporta varias redes na mesma interface assim como o linux.Na implementação do pfsense, por questões conceituais não é possivel fazer esta configuração pela gui.
Voce pode até acessar a console e configurar o segundo ip na mão, mas a qualquer reboot ou reconfiguração de rotas, sua interface de rede volta para o padrão.
Para resolver seu problema sem grandes gambiarras, instale outro pfsense(pode ser em vm), configure lan(192) e wan(128) e faça um bridge entre as redes.
Outra solução seria um freebsd ou linux em uma vm fazendo esse nat.
A solução de duas pfSense me parece mais elegante mesmo. Posso fazer isso em uma unica máquina e utilizar um VMWare ESXi. Aprovado? Ou alguma idéia melhor?
-
Isso vai depender do seu volume de dados.
Pela quantidade de ips publicos, seu link de internet não deve ser dos piores.
Eu sugiro, por uma questão de performance, você deixar o pfsense principal em uma maquina física e com o pfsense x64.
Voltando no assunto da rede, se os seus switches aceitarem vlan você consegue fazer esta configuração sem problemas.
Voce coloca as maquinas na vlan 10 com a porta untag e no pfsense voce configura a porta da lan com id 1 e 10 tagged.Vai dar um pouco de trabalho, mas funciona.