[RISOLTO] reindirizzare ip statico su ip con ddns

ohifra

Buongiorno, da qualche settimana sto sbattendo la testa su un problemino con pfsense.
Vorrei partecipare al progetto ntp pool pool.ntp.org , ma ho il problema da casa con l'ip dinamico.

Ho proceduto così:

ip orologio atomico 192.168.20.10 presente nella mia DMZ (CASA)
no-ip registrato che fa riferimento al mio ip dinamico (CASA) : ntp.ddns.me (è un esempio)
ip aziendale statico 1.1.1.1 (esempio)
alias al no-ip (UFFICIO): frantp

CASA
1. ho registrato il mio ip su noip così da avere un riferimento sul mio ip statico
2. ho aperto sul mio pfsense la porta 123 UDP verso il serverino che ospita il mio orologio atomico.
3. ho creato una regola NAT così

source address 1.1.1.1 (ip statico aziendale dedicato all'orologio atomico)
            source ports 123 UDP
            destination address WAN address
            destination ports 123 UDP
            NAT IP : 192.168.20.10 (IP DMZ del mio orologio atomico)
            NAT Ports 123 UDP

UFFICIO
3. in azienda ho creato un alias, sul pfsense aziendale, collegandolo al mio noip address.
4. ho creato una regola NAT

source address *
            source ports *
            destination address 1.1.1.1 (ho registrato ovviamente questo indirizzo in pfsense come Virtual IPs)
            destination ports 123 UDP
            NAT IP : frantp (alias con riferimento a ntp.ddns.me)
            NAT Ports 123 UDP
5. nel menu firewall - nat - 1:1 ho settato una nuova regola

interface WAN
external ip 1.1.1.1 (ip statico aziendale dedicato all'orologio atomico)
internal ip: *
destination ip: frantp (alias con riferimento a ntp.ddns.me)

Se setto in pfsense, nel menu ntp, il server 1.1.1.1 mi da come errore

Unreach/Pending 1.1.1.1 .INIT.

oppure

Unreach/Pending 1.1.1.1 .STEP.

A questo punto ho qualche dubbio sulle regole firewall da settare su entrambi i pfsense.

Attendo vostri lumi
Saluti
Francesco

PS vorrei configurare qualcosa del genere

internet -> ip statico ufficio -> pfsense ufficio -> no-ip casa -> pfsense casa -> server con orologio atomico su dmz casa

ohifra

penso di aver risolto smanettando con la regola sul firewall di casa
il resto è rimasto tutto come descritto nel post precedente

da così
            source address 1.1.1.1 (ip statico aziendale dedicato all'orologio atomico)
            source ports 123 UDP
            destination address WAN address
            destination ports 123 UDP
            NAT IP : 192.168.20.10 (IP DMZ del mio orologio atomico)
            NAT Ports 123 UDP

a così
            source address *
            source ports *
            destination address WAN address
            destination ports 123 UDP
            NAT IP : 192.168.20.10 (IP DMZ del mio orologio atomico)
            NAT Ports 123 UDP

ohifra

Sto approfondendo la cosa…..
Ho eliminato la regola 1:1 e tutto funziona ugualmente.
Se non mi sbaglio ho trovato il problema.
Pfsense pur settando l'alias che collega un id a un host, nel mio caso ntp.ddns.me, non riesce a risolvere i cambi di IP del mio router a casa, ma mantiene solo l'ip nel momento in cui setto l'alias sopracitato.
Quindi fino a quando il router di casa mantiene l'ip non ci sono problemi, appena cambia ip l'alias sul pfsense aziendale perde il riferimento tra ddns e ip di casa.
Dovrebbe avvenire in automatico ma così non è.
Sul pfsense di casa, dove c'è configurato il ddns invece il cambio di IP nob inficia il funzionamento corretto del dynamic dns.

sisko212

C'hai un orologio atomico in dmz ?
Dove l'hai comprato ? :-) :-)

ohifra

@sisko212:

C'hai un orologio atomico in dmz ?
Dove l'hai comprato ? :-) :-)

In ufficio ho collegato un'antenna GPS con porta seriale alla porta con del server con pfsense. A casa invece ho acquistato in orologio atomico dal sito di Leo Bodnar ma purtroppo non ho un IP statico e stavo cercando di collegare un IP statico dell'ufficio con quello dinamico con dyndns di casa, ma ancora non ho risolto

ohifra

@ohifra:

Sto approfondendo la cosa…..
Ho eliminato la regola 1:1 e tutto funziona ugualmente.
Se non mi sbaglio ho trovato il problema.
Pfsense pur settando l'alias che collega un id a un host, nel mio caso ntp.ddns.me, non riesce a risolvere i cambi di IP del mio router a casa, ma mantiene solo l'ip nel momento in cui setto l'alias sopracitato.
Quindi fino a quando il router di casa mantiene l'ip non ci sono problemi, appena cambia ip l'alias sul pfsense aziendale perde il riferimento tra ddns e ip di casa.
Dovrebbe avvenire in automatico ma così non è.
Sul pfsense di casa, dove c'è configurato il ddns invece il cambio di IP nob inficia il funzionamento corretto del dynamic dns.

Pensavo di aver risolto.
Ha funzionato per pochi attimi, ma al successivo riavvio di pfsense di casa non sono più riuscito a collegare l'ip statico dell'ufficio con il dyndns di casa.
Dal menu Diagnostics - tables - nome del dyndns di pfsense (ufficio) mi viene riportato l'ip di casa quindi l'ip viene aggiornato, ma poi le regole firewall non riescono a nattare il traffico tra ip statico e alias dyndns.
Continuo a lavorarci su.

ohifra

Domanda:
Se collego i due pfsense dele due sedi con una vpn server-client riesco poi ad inoltrare le richieste dell'ip statico aziendale sull'ip dinamico di casa?

in pratica;

richiesta da internet -> ip statico aziendale -> pfsense aziendale -> vpn server -> vpn client -> pfsense casa -> dmz casa -> server in dmz

Dico questo perchè mi sono accorto che pur cambiando l'ip dinamico, con la vpn il collegamento tra le due sedi rimane sempre attivo anche senza l'ultilizzo di un dyndns.

Attendo una vostra risposta sulla fattibilità
Grazie in anticipo
Francesco

ps dimenticavo di dirvi che le due sedi hanno già una vpn attiva.
Ho seguito la guida sul blog di Fabio Viganò
http://www.pfsenseitaly.com/2013/02/qualche-mese-fa-abbiamo-visto-come.html

ohifra

Ok risolto.

lasciando tutto invariato come avevo scritto nei primi post, ho dovuto attendere solo una nuova versione di pfsense che ha risolto la gestione degli alias con i dyndns.
Ora tutto funziona  ;D

ho escluso l'uso della vpn