[RESOVIDO]POOL's de IP's Válidos na WAN
-
Bem gente,
Ao contrário de muita gente eu não tenho problemas de Escasses de IP's válidos.Tenho 4 Pools
186.xxx.xx.170/30 - Configurado na Wan do PFsense com o seu gateway padrão fornecido pela operadora (186.xxx.xx.169)
172.16.x.x - LANPool 1 - 186.xxx.xxx.172/30
Pool 2 -186.xxx.xxx.176/28
Pool 3 - 186.xxx.xxx.192/27Estou tentando migrar do RouterOS (mikrotik) para o pfsense , pela facilidade dos gráficos e logs que esse fornece.Acontece que , bastava , no RouterOS , inserir os Pools na Interface WAN e setar , manualmente, nas maquinas desejada (no caso servidores web) o ip válido , mascara e gateway correto e funcionava e "publicava" na internet.
Tenho apenas 2 NIC's , obviamente 1 para WAN e outra para lan , e preciso setar 1 IP válido para cada serviço que tenho no servidores.
Cada servidor tem 2 NIC's também , 1 Com configurações de IP válido (186.xx.xxxx.xxx) e 1 de Rede interna ( 10.10.10.x/26).
Problemas e Estranhezas:
Minha Lan navega normal , o PFsense criou o srcnat - masquerade tranquilinho e automático (MAravilha ! ).
Criei em Firewall> Virtual IP's :
VIP :IP ALIAS 10.10.10.1/26 (Single address) na INTERFACE LAN <–- Paras o servidores.
VIP : IP ALIAS 10.50.1.1/26 (Single Address) na Interface Lan <--- Para Algumas RB's MIkrotik
VIP : IP ALIAS 186.xxx.xxx.172/30(Single Address) na Interface WAN <--- Pool 1 de Ip's
VIP : IP ALIAS 186.xxx.xxx.176/28(Single Address) na Interface WAN <--- Pool 2 de Ip's
VIP : IP ALIAS 186.xxx.xxx.192/27(Single Address) na Interface WAN <--- Pool 3 de Ip'sMinha lan Local normal de Clientes que eu passo por DHCP 172.16.x.x pinga e acessa normal em qualquer ip das redes 10.10.10.0/26 e 10.50.1.1/26.
Os ip's Válidos quando eu digito no browser não dá nada , apenas cai no PFsense os IP alias Single address que eu criei. Notei então que não estava Adicionando o Pooll todos com o IP alias e sim um unico IP (Single Addres Dã). Gostaria de saber como adicionar o Pool todo , pois o que eu chamo de estranheza é que os Ip's da Lan 172.16.xx.x pingam tudo , os da rede 10.10.10.x também pingam entre sí , estes (da rede 10.10.10.x) são a Placa Lan de cada servidor web , o engraçado é que os servidores web mesmo manualmente configurados não pingam no pfsense (pelo Ip válido setado no Firewall > Virtual ip's) nem o PF sense neles , mas pela placa local vai ?! oO
Essa questão do ping pode ser uma regra de firewall , mas minha Pergunta principal é :
COMO EU ADICIONO TODOS OS POOL'S DE IP VÁLIDO NA PLACA WAN DO PFSENSE ?
De verdade conto ( e preciso muuuuito) da ajuda de vocês , meus serviços estão parados :( !
Grato !
-
Resumindo toda a História , não consegui adicionar a network toda no PFsense.
Então fiz um Virtual IP > IP Alias , coloquei o IP válido na WAN.
Fiz uma regra NAT 1:1 - External IP (O Ip válido que setei no alias)
Internal IP (O IP Local da maquina).Em Firewall Rules :
WAN >
Criei lá que qualquer Source (any) , com Destido ao IP Local na máquina , com qualquer destino de porta passe.
Funcionou !
Obrigado ao Forúm que me permitiu pesquisar e resolver o problema. Mas ainda fica a dúvida, como adicionar a network toda ?
-
Porque colocar servidores falando com a wan e lan? Esta configuração deixa várias possibilidades de se pular o firewall tanto na entrada quanto na saída.
-
Olá!
Vou tentar abordar isso de um ponto de vista mais prático, já que também trabalho com soluções da MK.
O seu cenário está um pouco confuso no que tange a funcionalidade e necessidade de um pool de endereços tão grande. Me deu até a impressão de que você usa IP's válidos para estações internas o que, por si, já é um sério problema de segurança.
Se você possui um "CPD" ou Datacenter com servidores rodando serviços especificos que precisam de acesso direto por IP Válido, o PFSense estaria cumprindo apenas a função de Roteamento, já que não haveria NAT. Se esse é o seu cenário, continue com o Mikrotik e apenas implante um servidor de SysLog para armazenar os Logs do RouterOS.
Qual sua RB? Precisa conferir também se a licença do RouterOS que você possui no equipamentos possui todos os recursos de LOG que você precisa.
Bom, se o seu cenário requer NAT, vou pedir para você racionalizar melhor seu cenário e colocar em mente que você pode ter que modifica-lo para adequar ao funcionamento do PFSense, não digo os servidores em si, mas o esquema de rede.
O PFSense requer a criação de Interfaces Virtuais para cada IP Válido que você for utilizar, isso requer um Switch Layer 3 para fazer a marcação das "Tags VLAN".
-
Eu meio que tentei imitar o que eu tinha no MK no Pfsense. Não deu tão legal , no fim como eu disse antes eu fiz IPvirtual e um NAT 1:1 passei o ip válido para o endereço local do servidor.
Eu peguei a estrutura já com muitos ip's válidos e meio torta.Estou tentando adequar a nova realidade.
Agradeço os esclarecimentos e a ajuda!!
Porém , Tenho mais uma dúvida agora para a rede Local.
Tenho uma rede com aproximadamente 100 máquinas divididas em setores diferentes. Preciso criar ranges dentro da mesma rede tipo:
Administração: 192.168.20.1 - 192.168.20.10 (ALIAS –> ADM)
TI: 192.168.20.11 - 192.168.20.20 ALIAS ---> TI
Financeiro: 192.168.20.21-192.168.20.22o GW no PF sense tá 192.168.0.1 e apenas para configuração inicial eu deixei /16(255.255.0.0)
O que ocorre: Os setores estão interligados via Rádios (Locais físicos diferentes) em modo Bridge , que só repassam o DHCP e configurações de rede do PF sense. Eu preciso que o Intervalo 192.168.20.1-192.168.20.10 (ADM) não se comunique com o intervalo da TI , por exemplo.
Eu criei uma regra no Firewall> Rules na Placa Lan que tudo que fosse "Source" do Single host ou Alias = ADM com Destination ao Alias "TI" para qualquer protocolo e qualquer porta fosse Blocked. Só que Pãn !
Passa do mesmo jeito :( , ICMP , FTP , tudo... :(
eu fazia a mesma regra (pelo menos eu acho que é a mesma) no MK e resolvia certinho. Alguém pode ajudar ? O.O
-
Passa do mesmo jeito :( , ICMP , FTP , tudo… :(
eu fazia a mesma regra (pelo menos eu acho que é a mesma) no MK e resolvia certinho. Alguém pode ajudar ? O.O
Passa porque estão no mesmo segmento de rede.
Se esta regra não estiver no rádio que faz a bridge, não vai funcionar.
Não tem como você bloquear no firewall um trafego que não passa por ele.
-
ok , Muito Grato Pela ajuda de Todos ! :D