Cos'è Virtual IP?

kiokoman

allora .. provo a essere chiaro
supponiamo che
io ho 7 ip statici (x.x.x.211 .212 .213 .214 etc etc)
e 4 interfacce interne (LAN DMZ OPT1 OPT2)
x.x.x.210 sarà assegnato alla wan di pfsense
x.x.x.209 è il gateway che l'isp mi assegna
x.x.x.215 sarà l'ip di broadcast per la mia rete
voglio che LAN esca con l'ip e riceva eventuali nat dall'ip x.x.x.211
voglio che DMZ esca con l'ip e riceva evantuali nat dall'ip x.x.x.212
voglio che OPT1 esca con l'ip e riceva eventuali nat dall'ip x.x.x.213
voglio che OPT2 esca con l'ip e riceva eventuali nat dall'ip x.x.x.214

per poter ottenere questo devo configurare virtual ip e impostarli come ip alias e definire Firewall / NAT Outbound
altrimenti non potrei creare regole di nat specifiche in quanto come unica opzione in nat / port forward avrei solo WAN net come possibile destinazione, questa è una delle tante possibili configurazioni che si possono ottenere

senseiluke

@kiokoman said in Cos'è Virtual IP?:

allora .. provo a essere chiaro
supponiamo che
io ho 7 ip statici (x.x.x.211 .212 .213 .214 etc etc)
e 4 interfacce interne (LAN DMZ OPT1 OPT2)
x.x.x.210 sarà assegnato alla wan di pfsense
x.x.x.209 è il gateway che l'isp mi assegna
x.x.x.215 sarà l'ip di broadcast per la mia rete
voglio che LAN esca con l'ip e riceva eventuali nat dall'ip x.x.x.211
voglio che DMZ esca con l'ip e riceva evantuali nat dall'ip x.x.x.212
voglio che OPT1 esca con l'ip e riceva eventuali nat dall'ip x.x.x.213
voglio che OPT2 esca con l'ip e riceva eventuali nat dall'ip x.x.x.214

per poter ottenere questo devo configurare virtual ip e impostarli come ip alias e definire Firewall / NAT Outbound
altrimenti non potrei creare regole di nat specifiche in quanto come unica opzione in nat / port forward avrei solo WAN net come possibile destinazione, questa è una delle tante possibili configurazioni che si possono ottenere

Ok, più o meno ho capito, anche se ci sono ancora degli aspetti che mi piacerebbe approfondire, ma come spiegazione di introduzione al virtual IP penso vada più che bene.
Ciò che hai riportato sopra come esempio può essere ottenuto solo utilizzando virtual Ip o ci sono anche altre tipi di soluzioni e/o tecnologie che possono portare allo stesso risultato? Giusto per curiosità.
Grazie

kiokoman

uno volendo potrebbe assegnare gli indirizzi ip pubblici direttamente sulle macchine solo che anzichè coprire una rete intera avresti solo 1 pc per ogni ip
qui c'e' qualche informazione in più
https://docs.netgate.com/pfsense/en/latest/book/firewall/virtual-ip-addresses.html

senseiluke

@kiokoman said in Cos'è Virtual IP?:

uno volendo potrebbe assegnare gli indirizzi ip pubblici direttamente sulle macchine solo che anzichè coprire una rete intera avresti solo 1 pc per ogni ip

Si mi riferisco proprio a questo.
ed è proprio questo il passaggio che mi sfugge, anche se a te sembrerà banale immagino
In che senso coprire una rete intera? Pensavo che lo scopo era proprio quello di dedicare l'Ip pubblico solo ad un singolo pc/server come un web server ad esempio.
Scusami, ma da quella pagina ci capsico poco...e poi sono più efficaci le tue spiegazioni

Grazie

kiokoman

un web server.. ok ma se i server sono più di uno?
ho 3 server
uno che mi fa da server email 192.168.1.2
uno che mi fa da server web 192.168.1.3
uno che fa da server ntp 192.168.1.4

tutti e tre raggiungibili dallo stesso indirizzo x.x.x.211 quindi apro la nat per la porta 80/443 verso 192.168.1.2 , la 25 e la 110 verso .1.3 e la porta 123 per 192.168.1.4

poi ho altri 3 server per x.x.x.212 e altri 3 per x.x.x.213 e altri 3 per x.x.x.214

se impostassi gli indirizzi ip pubblici direttamente alle macchine non mi basterebbero no?
quindi per oviare al problema devi fare il nat
o sarei costretto a comprare altri indirizzi ip pubblici che non sono di certo economici

gli usi aziendali sono molto varie potrebbero essere dei server mysql per i database oltre ai server di backup e i server web molto spesso non sono 1 ma molteplici per ridondanza /fail over o se vogliono dividere il carico di lavoro in caso il traffico fosse consistente. pensa a youtube potrebbe mai avere un server solo? mi vien da ridere solo a pensarci

senseiluke

@kiokoman said in Cos'è Virtual IP?:

un web server.. ok ma se i server sono più di uno?
ho 3 server
uno che mi fa da server email 192.168.1.2
uno che mi fa da server web 192.168.1.3
uno che fa da server ntp 192.168.1.4

tutti e tre raggiungibili dallo stesso indirizzo x.x.x.211 quindi apro la nat per la porta 80/443 verso 192.168.1.2 , la 25 e la 110 verso .1.3 e la porta 123 per 192.168.1.4

poi ho altri 3 server per x.x.x.212 e altri 3 per x.x.x.213 e altri 3 per x.x.x.214

se impostassi gli indirizzi ip pubblici direttamente alle macchine non mi basterebbero no?
quindi per oviare al problema devi fare il nat
o sarei costretto a comprare altri indirizzi ip pubblici che non sono di certo economici

gli usi aziendali sono molto varie potrebbero essere dei server mysql per i database oltre ai server di backup e i server web molto spesso non sono 1 ma molteplici per ridondanza /fail over o se vogliono dividere il carico di lavoro in caso il traffico fosse consistente. pensa a youtube potrebbe mai avere un server solo? mi vien da ridere solo a pensarci

Quindi se ho capito bene servono (almeno nel tuo esempio sopra) per distribuire i carichi utilizzando più IP pubblici però sulla stessa interfaccia WAN.
Giusto?

kiokoman

no, ogni ip pubblico diventa una interfaccia wan a parte praticamente
poi ogni ip puo' a sua volta essere nattato o meno, se non uso nat dietro ci posso mettere solo pochi server se natto invece aumentano esponenzialmente

senseiluke

@kiokoman said in Cos'è Virtual IP?:

no, ogni ip pubblico diventa una interfaccia wan a parte praticamente

Si ma io intedevo porte WAN virtuali (con ip assegnati distribuiti al momento della configurazione su pfsense) su un'unica interfaccia fisica....se no mi sfugge completamente tutto il discorso. È così?
Grazie

kiokoman

ah si stessa porta wan fisica

senseiluke

@kiokoman

Ok grazie