Ip públicas dentro de la red

bellera

Piensa bien qué quieres hacer. En una misma LAN no es seguro tener IPs privadas y públicas.

http://doc.pfsense.org/index.php/Can_I_have_public_and_private_IPs_on_my_LAN_interface%3F

leandro1979

Buen dia

te comento como proveedor de servicios de Internet si un cliente solicita una ip publica debo de entregarla pura
sin restricción de puertos lo que el haga con esa ip publica ya es cuestión del cliente ya que la usan para diferentes cuestiones
ya sean camaras servidores o cualquier otro servicio

lo que necesito saber como seria la configuracion de pfsense para este caso
te pongo un ejemplo

internet–---pfsense-ip-10.10.10.1--------control-banda-ip-10.10.10.2-------switch-vlans1-186.42.x.0/24--clientes-186.42.181.2/24

la idea esque el cliente tenga su propia ip publica

es posible hacer esto ?
te comento algo adicional si le pongo la ip publica al cliente y pongo www.cualesmiip.com me muestra la ip publica del cliente
eso quiere decir que si esta saliendo con la ip publica asignada
el inconveniente es cuando quiero entrar a esa ip publica remotamente no ingresa no me hace ni ping
es como que en el pfsense se quedara la ip de ingreso

Saludos Cordiales,
Leandro Segovia

bellera

@leandro1979:

Si un cliente solicita una ip publica debo de entregarla pura sin restricción de puertos lo que el haga con esa ip publica ya es cuestión del cliente ya que la usan para diferentes cuestiones ya sean camaras servidores o cualquier otro servicio.

Entonces, ¿por qué pasas por pfSense?

¿Qué quieres que te haga pfSense con estos clientes?

leandro1979

te explico como esta mi red

router-proveedor-190.95.232.233/30
pfsense-WAN-190.95.232.234/30
pfsense-lan-10.10.1.1/30
control-banda-ETHER1-10.10.1.2/30
control-banda-ETHER2-10.10.10.1/30
Mikrotit-distribuidor-Ether1-10.10.10.2/30
mikrotik-distribuidor-ether5-182.42.181.254/24-segmento publico
mikrotik-distribuidor-ether5-172.16.1.254/24-segmento privado

como puedes ver mi proveedor me entrega un pool /24 de ip publicas enrutado sobre la ip publica 190.95.232.234 para que yo use la red publica
internamente como yo quiera distribuirla asi yo puedo hace varios segmentos y dristribuir mi  pool como yo crea conveniente
osea el pool publico esta dentro de mi red interna no en el router de mi proveedor.
paso por pfsence para que el ospf se pueda redistribuir y asi poder llegar a cualquier ip publica dentro de mi red
y asi esta bien porque desde pfsence puedo hacer ping a cualquier publica interna eso quiere decir que el ospf esta funcionando correctamente
el problema como te cuento esque no tengo ping a ninguna ip publica desde afuera de mi red
un ejemplo
intenta con esta ip publica 186.5.53.30 esta es una ip de un servidor remoto con windows

gracias por tu ayuda

saludos cordiales,
leandro segovia

bellera

tracert 186.5.53.30

Traza a la dirección host-186-5-53-30.uio.telconet.net [186.5.53.30]
sobre un máximo de 30 saltos:

  1    <1 ms    <1 ms    <1 ms  
  2     2 ms     2 ms     1 ms  10.13.32.1
  3     2 ms     2 ms     2 ms  10.9.1.58
  4     3 ms     2 ms     2 ms  10.9.1.50
  5     2 ms     2 ms     2 ms  10.9.1.42
  6     3 ms     3 ms     2 ms  217.111.216.198
  7     4 ms     3 ms     3 ms  212.74.67.117
  8    33 ms    35 ms    34 ms  te0-0-0-0-pr2.PAR.router.colt.net [212.74.88.161]
  9    33 ms    35 ms    35 ms  80.157.129.249
 10    31 ms    82 ms    31 ms  217.239.38.114
 11    32 ms    31 ms    31 ms  213.140.52.173
 12   111 ms   110 ms   110 ms  Xe7-1-2-0-grtwaseq2.red.telefonica-wholesale.net [94.142.126.81]
 13   145 ms   145 ms   145 ms  Xe4-1-2-0-grtmiana3.red.telefonica-wholesale.net [94.142.123.161]
 14   161 ms   142 ms   142 ms  176.52.251.201
 15   241 ms   241 ms   241 ms  TELCONET-3-1-0-0-gramiana4.red.telefonica-wholesale.net [84.16.11.42]
 16     *        *        *     Tiempo de espera agotado para esta solicitud.
 17     *        *        *     Tiempo de espera agotado para esta solicitud.
 18     *        *        *     Tiempo de espera agotado para esta solicitud.
 19     *        *        *     Tiempo de espera agotado para esta solicitud.
 20     *        *        *     Tiempo de espera agotado para esta solicitud.
 21   244 ms   243 ms   243 ms  host-190-95-232-54.uio.telconet.net [190.95.232.54]
 22     *        *        *     Tiempo de espera agotado para esta solicitud.
 23     *        *        *     Tiempo de espera agotado para esta solicitud.
 24     *        *        *     Tiempo de espera agotado para esta solicitud.
 25     *        *        *     Tiempo de espera agotado para esta solicitud.
 26     *        *        *     Tiempo de espera agotado para esta solicitud.
 27     *        *        *     Tiempo de espera agotado para esta solicitud.
 28     *        *        *     Tiempo de espera agotado para esta solicitud.
 29     *        *        *     Tiempo de espera agotado para esta solicitud.
 30     *        *        *     Tiempo de espera agotado para esta solicitud.

Traza completa.

leandro1979

Buen dia

no se si tuviste oportunidad de ver el diagrama mas o menos como esta la red interna
tengo tanto publicas como privadas
cuando usaba mikroik si podia llegar a las publicas internas solo agregando l ospf pero migre a pfsense y ya no pude acceder
desde pfsence si hago ping a mis publicas internas
es como que pfsence las trabara

una consulta como creo una regla que diga que cierto pool de ip tenga un gateway en especifico

saludos
leandro

bellera

A ver, por defecto, pfSense es un enrutador LAN/WAN (subredes distintas).

Eso quiere decir que, por defecto:

• El tráfico de LAN puede pasar a WAN con la regla default inicial.
• Que con las peticiones de LAN se hace hace NAT Outbound. Es decir, que son vistas con IP:puerto de WAN.
• Que no se admite tráfico de WAN a LAN.

A partir de ahí puedes configurar pfSense como quieras, en modo enrutador (con o sin NAT) o en modo puente (bridge).

http://forum.pfsense.org/index.php/topic,56806.msg303230.html#msg303230

Quizás deberías revisar cómo estaban los Mikrotik.

bellera

@leandro1979:

Como creo una regla que diga que cierto pool de ip tenga un gateway en especifico.

Si trabajas en modo enrutador…

Si el pool corresponde a una subred definida en pfSense no hay que poner rutas.

Consulta Diagnostics: Routing tables para ver las rutas autodefinidas.

Maneja System: Gateways para crear puertas y enrutamientos adicionales.

Ajusta Firewall: NAT: Outbound a tus necesidades. Entiendo que hay conexiones que no deseas NATear.

leandro1979

como estas buen dia
después de tanto intentar me puse a ver detalladamente como funciona pfsense y el problema era
que el firewall por defecto bloquea todo lo que entra al router
en este caso lo unco que hice fue crear una regla de destino que acepte mi pool publico
y listo ya tuve acceso externo a mis ip publicas

comprubalo porfavor ip: 186.42.181.70

saludos cordiales,
leandro segovia

bellera

Sin problemas…

traceroute 186.42.181.70
traceroute to 186.42.181.70 (186.42.181.70), 30 hops max, 60 byte packets
 1  1.454 ms  1.595 ms  1.939 ms
 2  254.Red-80-58-67.staticIP.rima-tde.net (80.58.67.254)  38.190 ms  39.777 ms  41.162 ms
 3  20.Red-80-58-32.staticIP.rima-tde.net (80.58.32.20)  43.680 ms  45.116 ms  46.559 ms
 4  et-1-0-0-0-100-GRTBCNES1.red.telefonica-wholesale.net (94.142.103.201)  50.550 ms  50.556 ms  67.263 ms
 5  213.140.49.42 (213.140.49.42)  129.589 ms Xe9-0-0-0-grtlontc1.red.telefonica-wholesale.net (84.16.15.150)  86.751 ms Xe10-0-0-0-grtlontc1.red.telefonica-wholesale.net (84.16.13.122)  89.934 ms
 6  Xe6-1-0-0-grtnycpt2.red.telefonica-wholesale.net (213.140.43.149)  239.493 ms Xe3-0-2-0-grtnycpt3.red.telefonica-wholesale.net (213.140.38.221)  141.880 ms Xe4-1-3-0-grtnycpt2.red.telefonica-wholesale.net (94.142.116.193)  144.369 ms
 7  Xe9-3-0-0-grtpaopx2.red.telefonica-wholesale.net (94.142.118.186)  210.470 ms  214.075 ms  213.834 ms
 8  te-4-2.car1.SanJose2.Level3.net (4.59.0.225)  221.462 ms  219.870 ms  225.153 ms
 9  vlan70.csw2.SanJose1.Level3.net (4.69.152.126)  318.363 ms  318.816 ms  319.519 ms
10  ae-71-71.ebr1.SanJose1.Level3.net (4.69.153.5)  325.826 ms  327.875 ms  332.057 ms
11  ae-2-2.ebr2.NewYork1.Level3.net (4.69.135.186)  331.620 ms  334.510 ms  312.699 ms
12  ae-82-82.csw3.NewYork1.Level3.net (4.69.148.42)  306.151 ms  309.370 ms ae-92-92.csw4.NewYork1.Level3.net (4.69.148.46)  309.630 ms
13  ae-3-80.edge1.NewYork1.Level3.net (4.69.155.142)  317.008 ms ae-4-90.edge1.NewYork1.Level3.net (4.69.155.206)  311.025 ms ae-1-60.edge1.NewYork1.Level3.net (4.69.155.14)  317.496 ms
14  CORPORACION.edge1.NewYork1.Level3.net (4.78.132.202)  314.686 ms  317.470 ms *
15  190.152.252.209 (190.152.252.209)  305.401 ms  305.729 ms  313.230 ms
16  190.152.252.138 (190.152.252.138)  358.029 ms  358.034 ms  358.343 ms
17  190.152.252.154 (190.152.252.154)  322.784 ms  304.796 ms  301.445 ms
18  host-190-95-232-234.uio.telconet.net (190.95.232.234)  307.749 ms  314.389 ms  310.308 ms
19  host-190-95-232-234.uio.telconet.net (190.95.232.234)  306.368 ms  306.968 ms  309.026 ms
20  * * *
21  * * *
22  186.42.181.70 (186.42.181.70)  321.284 ms  318.934 ms  320.713 ms

leandro1979

Muchisimas gracias por tu ayuda
se podria poner una seccion de ip publicas dentro de una red

saludos cordiales,
leandro segovia

pepe00

como puedes ver mi proveedor me entrega un pool /24 de ip publicas enrutado sobre la ip publica 190.95.232.234 para que yo use la red publica
internamente como yo quiera distribuirla asi yo puedo hace varios segmentos y dristribuir mi  pool como yo crea conveniente
osea el pool publico esta dentro de mi red interna no en el router de mi proveedor.
paso por pfsence para que el ospf se pueda redistribuir y asi poder llegar a cualquier ip publica dentro de mi red

Hola Leandro,

Quiero montar algo similar a tu solución, también quiero pasar unas IPs públicas por OSPF a un MikroTik, ¿me puedes explicar como realizaste dicha configuración?

Me gustaría usar el pfsense para bloquear algunas conexiones, ¿lo podré realizar a pesar de usar OSPF?