Ayuda por favor, necesito salir por la WAN con IPs de la LAN NET
-
Después de buscar en cientos de temas acerca del tema que me aqueja, no he logrado avanzar, es por eso que decidí pedir ayuda a los más experimentados.
Tengo una red montada con un FW Pfesense V2.4.4. Tres interfaces de red con:
LAN: red de clientes (IP de clientes: 10.xxx.18.0/24 Puerta de enlace 10.xxx.18.20 “es la IP de la LAN por supuesto”)
DMZ: Servidor de archivos con Win 2008 server
WAN: (IP 10.xxx.17.110) Dedicado con dos Mikrotik LGH5 enlazando la WAN con el proveedor de servicios, con salida a dos redes:
• Red local (Puerta de enlace 10.xxx.17.10)
• Red con acceso a Internet (Puerta de enlace 10.xxx.17.246)
El problema consiste en que necesito salir desde la LAN por la WAN con el número de IP y la MAC de las máquinas de los clientes, porque así lo exige el proveedor. Y lo que está sucediendo es que todas salen con el IP de la WAN.
Tengo definidas las puertas de enlace a estas redes en las pasarelas y definidas las rutas estáticas a cada red con sus respectivas puertas de enlace.
Están hechas las reglas de ruteo, que funcionan correctamente
Donde creo que tengo el problema es en el Nateo, que no logro descifrar, es posible que la solución este en algún otro detalle. Lo cierto es que logro navegar en la red local con la IP de la WAN porque no está restringida, pero no logro pasar a la red de Internet porque esta filtrada por IP y MAC.
Gracias de antemano. -
https://forum.netgate.com/topic/21817/recomendaciones-al-postear
https://docs.netgate.com/pfsense/en/latest/index.html
-
Gracias ha sido de gran ayuda
-
Agrego al hilo que, anoche descubrí, que la conexión del pfsense con la DMZ,” que funciona bien”, se materializa como desearía que saliera a mi proveedor de servicios a través de la WAN, con el comando netstat en la consola de msdos del servidor, aparece la ip real de la máquina detrás de la LAN que accede al servidor, esto es posible porque en la interfaz de red del mencionado server le había asignado la ip de la DMZ como puerta de enlace, cuando se la quitó, es imposible llegar al server desde la LAN, al agregársela se restablece la conexión, de mas esta decir que tengo configuradas las reglas en las interfaces del pfsense que regulan el tráfico a través de este.
La única manera que se puede llegar a una ip detrás de las interfaces DMZ y WAN, sin asignar puerta de enlace del lado del server y la máquina que puse a simular al proveedor es con un NAT OUTBOND, pero llego con la ip de la interfaz de salida del pfsense (IP de la DMZ, IP de la WAN), si le agrego una iP Virtual y le digo al NAT que el destino es la IP virtual entonces llega con la ip virtual que le señalo.
No tengo idea de las horas de estudio que le he dedicado a esto, y lo que he pagado en horas de internet para buscar información, y realmente no sé qué hacer para solucionarlo, la idea que me da es que Pfsense no tiene una solución a mi necesidad, y no me va a quedar más remedio que desestimarlo.
Agradezco la atención que algún alma caritativa me pueda dar, el tiempo y los conocimientos que me puedan compartir.
Gracias -
Por Favor ! https://forum.netgate.com/topic/21817/recomendaciones-al-postear
Adjunta un Diagrama/Esquema Claro, Completo y Detallado de tu red, y capturas de pantalla de la configuración de tu pfSense.
De esa manera los compañeros podrán "Entender" tu Red, y ayudarte/orientarte.
-
Gracias ptt por su atención, adjunto diagrama de mi red
Aclaro que la máquina detrás de la WAN está simulando al proveedor de servicios, al cual debo llegar con el ip de las máquinas de la Lan, me controla IP y MAC de lo que llega hasta él.
Como dije anteriormente, solo puedo llegar con un NAT Outbound, pero lo hago con los datos de la Wan. Solo tengo habilitado este NAT, no hay otros, como dije las reglas del cortafuego me funcionan bien, las probé, con la DMZ y el server, las demás son parecidas.
Gracias -
Y las Capturas de pantalla de la configuración del pfSense ?
Si "NATeas" eslógico que la IP cambie
Si deseas mantener/preservar la IP, debes "Rutear" (sin NAT)
Por mi parte, hasta aquí llego.
Suerte.
-
Gracias ptt, por su atención, comprendo que su tiempo es poco y no le alcanza para leer, me disculpo por no haber tenido el tiempo suficiente para completar lo que me aconsejó, pero humano como soy también compongo mi vida de otros muchos problemas, de todas formas, le agradezco sinceramente su atención y expongo para otros las imágenes que me aconsejó.
Le significo a los lectores de este hilo que:
• “Snet_Inet” es el nombre con que identifico la interface Wan.
• “G_paquete” es el alias del grupo de ip con permiso de acceso a la DMZ.
• “G_Snet” es el alias del grupo con permiso de acceso a la red local.
• “G_Internet” es el alias del grupo con permiso de acceso a la red Internet.
• “R_Snet” es el alias de la red local, expresada como “10.0.0.0/8”.
• “R_Internet” es el alias de la red Internet, expresada como “0.0.0.0/8”.
• En el esquema simulo con un pc al proveedor que me da acceso a las redes locales e Internet, para poder ver en ella la manera salgo del pfsense.Me reconforta, que, aunque no resuelva mi problema, haber llegado hasta aquí me ha dado la posibilidad de aprender muchísimo sobre redes y pfsense, que lo que aquí he expuesto le servirá a otros con situaciones parecidas a entender su problema.
Los conocimientos no pesan en los bolsillos y no ocupan espacio
Muchas gracias a los que me puedan ayudar -
Me pregunto si a alguien se le ha dado el caso de tener que controlar el acceso de las máquinas de la LAN a al(los) servidor(es) DMZ a través de IP, sin dale la IP de la DMZ como puerta de enlace a los mencionados servers, entonces me interesaría conocer su solución que le dio.
Gracias -
Tengo exactamente el mismo problema que tu y con pfsense no lo he podido solucionar, una vez logre hacerlo con Vyos, pero queria hacerlo con pfsense porque me lo recomendaron. Si logras hacer esto con pfsense te agradeceria que publicaras como lo lograste. Saludos