Carp y nat
-
Hola
He creado un carp entre 2 pfsense en 2 esxi todo funciona correctamente, navegación correcta, si apago un pfsense hace el failover bien, se replica todo correcto, dhcp correcto, excepto el nat.
Mas o menos las estructura de red es esta:
Router ADSL x.x.10.254 (he puesto como ip dmz la ip wan del carp)
esxi1 (pfsense1) esxi2 (pfsense2)
WAN x.x.10.251 WANCARP x.x.10.250 WAN x.x.10.252
SYNC x.x.35.251 SYNC x.x.35.252
LAN x.x.30.251 LANCARP x.x.30.250 LAN x.x.30.252Servidor al que quiero conectar por ssh x.x.30.3 por ejemplo
Todo esta pinchado a switch gestionable, pero las vlans las manejan los esxi por lo que para los pfsense esto es tranparente.
he permitido las opciones de seguridad en los vswtiches.Si hago nat poniendo como default gateway en la maquina a la que me quiero conectar desde fuera la ip de un pfsense ignorando la vip del carp y en el router adsl pongo como dmz la ip wan de este pfsense funciona, pero si pongo la vip ya no se puede conectar desde el exterior.
creo que el problema esta en Nat outbound, pero no doy con la solución
alguien ha creado algún failover usando nat en una situación parecida.
Un saludo, muchas gracias de antemano.
-
¡Hola!
Si estás hablando de
conectar desde el exterior
esto depende de NAT Port Forward, no de NAT Outbound
Y si tienes dos IPs públicas, creo que deberías marcar No XMLRPC Sync en los NAT Port Forward que tengas.
-
Hola
Muchas gracias por la aclaración.
no tengo 2 ips publicas, solo una.
voy a probarlo y te cuento.
Un saludo.
-
Hola
Al ir a mirarlo he visto que pone esta explicación
No XMLRPC Sync HINT: This prevents the rule from automatically syncing to other CARP members.
No es lo que necesito, con esto sigo en la misma situación que que solo uso uno de los pfsense para salir, si cae ese dejo de dar servicio.
Todos los nat los tengo creados como NAT Port Forward sincronizándose entre los dos pfsense.
Lo que necesito, es que al hacer nat lleguen las peticiones por la ip carp de la wan y haga el nat hacia la lan y que luego los servidores respondan por la ip carp de la lan, que es la que deberían tener como default gateway.
Un saludo.
-
Leí por ahí que:
-
NAT Outbound -> Para que los clientes en LAN tengan NAT saliente hay que ponerlo en manual y ajustar la regla para que en lugar de emplear WAN IP se emplee WAN CARP IP.
Interface WAN, Source Network LAN, Destination any, Translation Address WAN CARP IP. -
NAT Port Forward -> Lo mismo para el tráfico entrante autorizado. Interface WAN, External address WAN CARP IP… Revisar reglas asociadas en WAN.
-
-
era esooo :)
no estaba poniendo en el port fordward que saliese por el carp, no había visto esa opción
al hacer las dos cosas a la vez el outbound y el port fordward a través del carp "tiene todo el sentido del mundo" ha funcionado.
Por si le sirve a alguien pongo uno de los ejemplos de como lo he dejado:
–----------------------------------------------------------------------------------
Port Fordward
If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports Description
WAN TCP/UDP * * x.x.10.250 22 (SSH) x.x.30.3 22 (SSH) NAT SSH a x.x.30.3
–----------------------------------------------------------------------------------Outbound {Manual Outbound Nat rule generation (AON - Advanced Outbound NAT)}
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
WAN x.x.30.0/24 * * * x.x.10.250 * NO Auto created rule for LAN to WAN
–----------------------------------------------------------------------------------x.x.30.3 (servidor al que quiero acceder desde el exterior)
x.x.30.0/24 (LAN)
x.x.10.250 (IP carp interfaz wan)Por fin tengo alta disponibilidad hasta en el nat.
Muchas gracias por la ayuda :)un saludo.