Nat de salida outbound duda
-
Buen dia.
Tengo pfsense 2.1.4-RELEASE (amd64), con el siguiente esquema:
em0 Lan 192.168.1.1
em1 wan1 100.0.0.2
em2 wan2 200.0.0.2Las IP Wan son Fijas, pero son 2 proveedores de servicios diferentes (isp), van a la misma velocidad.
Lo primero que hice fue crear un balanceo de carga para la salida de internet (multiwan), y me funciono sin problemas. (squid transparente + squidguard)
Luego configure 2 reglas de failover, por si se cae wan1, trabaje wan2 y vicerversa.
Allí todo bien, entre algunas reglas de nat para el servidor web (servidor en la lan), etc.
Mi duda:
Se tenia un servidor (correo) del enlace em2 con 2 tarjeta de red, una para la lan y otra para la wan con una ip publica 200.0.0.3, para corregir el esquema inseguro, se bajo la tarjeta de red con la ip publica dejando al servidor solo con la ip de la red lan. Se aplicaron las reglas de nat para los servicios públicos (webmail, imaps, etc)
-
Los correos empezaron a salir por la IP publica em2 y em1… y no por la 200.0.0.3, investigue y encontré los de la "IP virtual", encones cree la ip 200.0.0.3 con el alias para em2. Y funciono, pero me salían las entonces por la 200.0.0.2 y por 100.0.0.2 que es em1. funcionada de afuera hacia adentro solamente. (nat)
-
Seguí investigando y me encontré con nat outbound, entonces lo active de forma manual (AON) y cree la regla de salida para el servidor que esta en el segmento 192.168.1.0, y cree otra para los demas usuarios 192.168.2.0. El problema que se me presento es que los paquetes si estaban saliendo por la em2 con ip 200.0.0.3, pero funcionaba aveces, aveces si, aveces no (la conexion) como lo probaba? simple hacia ssh a un servidor publico y al conectarme ejecutaba w para ver quien estaba conectado y desde que servidor. pero si salia y volvia hacer ssh se quedaba esperando y daba time out, lo mismo pasaba con el ping, aveces respondía y en el segundo intento no.
-
Investigando vi que tenia que crear la outbound para la salida de los 2 enlaces.
A la final quedo el nat outbound
wan2 192.168.1.2/32 por 200.0.0.3 (servidor de correo).
wan1 192.168.0.0/16 por wan
wan2 192.168.0.0/16 por wan2Esto mejoro los tiempos de respuesta (ssh y ping) de las pruebas que estaba realizando.
Pero tengo un detalle: me sigue saliendo tanto por wan2 como por wan1, lo que quiere decir que los correos me van a salir por las 2 ip publicas, haciendo que los que salgan por wan1 puedan caer en spam por el tema del registro MX del correo por la relacion con la IP publica de wan2.
Muchas gracias. espero sus comentarios.
-
-
Hola.
Creo que podia ayudar que crees una regla en el firewall para tu servidor de correo con los puertos adecuados y que le especifiques el gateway a ocupar ( policy routing )
Esto debe ser antes de tu regla general de salida.
-
Gracias por Responder.
Hice esto a la final, y me esta funcionando.
En la reglas de firewall, (LAN)
IPv4 * 192.168.1.17 * * * WANGW none
Donde 192.168.1.17 es mi servidor de correo, y le dije que salga por el gateway (WANGW)
Hasta ahora esta funcionando y todo esta llegando con la ip de wangw (lo valido haciendo ssh desde 192.168.1.17 hacia IP publicas de servidores que tengo)
Ahora el outbound nat lo deje por defecto, es decir automático. En teoria, todo lo que es salida por internet, va a salir por los 2 gateways.
Mantengo mi balanceo (multiwan) para efectos de internet/.
Pero todo lo que salga de correo 192.168.1.17 debe irse solamente por wangw y no por wangw2.
Se que si agrego otra IP publica (IP VIrtual) alli si tendria ue apoyarme con outbound nat.
-
Al parecer creo que diste con el problema si has creado en nat de salida te ha faltado indicar en las pestañas de abajo por cual gateway especifico deseas salga el trafico con esto siempre deberia salir por el mismo enlace del isp correspondiente. Estamos a tu orden