NAT para uma rede não ligada diretamente ao servidor

tiago2001

Preciso fazer um NAT para uma rede que não está diretamente ligada ao meu firewall.
Tenho um ip externo (ligado no firewall): 191.241.xxx.xxx
Rede Interna (ligado no firewall): 10.8.23.10 /24 (ligado no firewall) -> que conhece a rede 10.8.1.0/24

Preciso quando chegar na porta do meu firewall, 191.241.xxx.xxx, seja direcionado para uma porta do IP 10.8.1.9. Com iptables eu fazia isso, utilizando DNAT e SNAT, no pfsense não sei.

Obrigado

empbilly

Poste tuas regras de iptables que tu utilizava antes.

tiago2001

Na verdade, se não me engano, eu utilizava apenas isso:

eth0 -> acesso externo
eth1 -> rede 10

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -t nat -A PREROUTING -d 191.241.xxx.xxx -p tcp –dport 587 -j DNAT --to 10.8.1.9
iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx

fernandofolha

@tiago2001:

Preciso fazer um NAT para uma rede que não está diretamente ligada ao meu firewall.
Tenho um ip externo (ligado no firewall): 191.241.xxx.xxx
Rede Interna (ligado no firewall): 10.8.23.10 /24 (ligado no firewall) -> que conhece a rede 10.8.1.0/24

Preciso quando chegar na porta do meu firewall, 191.241.xxx.xxx, seja direcionado para uma porta do IP 10.8.1.9. Com iptables eu fazia isso, utilizando DNAT e SNAT, no pfsense não sei.

Obrigado

O que vc quer dizer exatamente com "não está ligada diretamente ao firewall"?

tiago2001

@fernandofolha:

@tiago2001:

Preciso fazer um NAT para uma rede que não está diretamente ligada ao meu firewall.
Tenho um ip externo (ligado no firewall): 191.241.xxx.xxx
Rede Interna (ligado no firewall): 10.8.23.10 /24 (ligado no firewall) -> que conhece a rede 10.8.1.0/24

Preciso quando chegar na porta do meu firewall, 191.241.xxx.xxx, seja direcionado para uma porta do IP 10.8.1.9. Com iptables eu fazia isso, utilizando DNAT e SNAT, no pfsense não sei.

Obrigado

O que vc quer dizer exatamente com "não está ligada diretamente ao firewall"?

Deixa eu tentar explicar direito.

Placas ligadas no servidor:
191.241.xxx.xxx/29
10.8.23.23/27 (rede interna do governo)
192.168.1.1 (rede interna dos computadores)

Existem tráfegos que só funcionam saindo por essa rede do governo.
Entao na minha placa interna eu coloco que qq saída para rede 10.0.0.0/8 saia por esse link.
Internamente eu chego nesse IP 10.8.1.9 (o acesso n é direto, passa por diversos routers q n tenho acesso).

Eu preciso chamar esse IP externo em algumas portas específicas e ele tem q direcionar para esse IP 10.8.1.9 que tem q sair por esse link do governo.

Consegui explicar?

empbilly

Faz um diagrama desse teu cenário e posta aqui.

Esse tópico abaixo também pode lhe ajudar.
https://forum.pfsense.org/index.php?topic=103543.0

reinaldo.feitosa

Pelo que entendi é só fazer um nat no pfsense que funciona.

Se o ip publico esta conectado direto no pfsense e o pfsense enxerga o servidor 10.8.1.9 é só fazer um nat no firewall que tem que funcionar.

Verifica no log do firewall se a requisição do trafego na porta necessária esta sendo bloqueada. Para facilitar marque para logar o trafego na regra do nat pois ai vc vai saber se o nat esta sendo feito ou não.

tiago2001

@Reinaldo:

Pelo que entendi é só fazer um nat no pfsense que funciona.

Se o ip publico esta conectado direto no pfsense e o pfsense enxerga o servidor 10.8.1.9 é só fazer um nat no firewall que tem que funcionar.

Verifica no log do firewall se a requisição do trafego na porta necessária esta sendo bloqueada. Para facilitar marque para logar o trafego na regra do nat pois ai vc vai saber se o nat esta sendo feito ou não.

O IP publico está ligado diretamente no servidor e enxerga o 10.8.1.9, mas este não está ligado diretamente ao servidor… A rede interna que está ligada diretamente no servidor funciona o NAT.

tiago2001

@empbilly:

Faz um diagrama desse teu cenário e posta aqui.

Esse tópico abaixo também pode lhe ajudar.
https://forum.pfsense.org/index.php?topic=103543.0

Fazendo o NAT do ip publico para minha rede interna funciona, para o 10.8.1.9 não vai.
Numa VPN que tenho acontece o mesmo problema… As redes internas se enxergam, mas não consigo fazer o NAT também para chegar na VPN do outro lado

empbilly

Poste as regras de NAT que tu ja tentou fazer.

tiago2001

@empbilly:

Poste as regras de NAT que tu ja tentou fazer.

Tenho outro caso que é bem parecido que tb não funcionou o NAT, seria o seguinte:
Uma VPN, interligada assim: (essa rede interna trafega pela internet em LP)
10.8.23.23/27 –-------------- 10.8.23.74/27
De um lado eu tenho a rede 192.168.1.0/24 e no outro lado eu tenho 192.168.2.0/24
No lado que tenho a rede 10.8.23.0/27 tenho também aquele link 191.241.xxx.xxx
Faço o NAT de alguma porta entrando por 191.241.xxx.xxx para a rede 192.168.1.0/24 funciona normal, agora se faço para rede 192.168.2.0 que está do outro lado da VPN também não funciona.
Exatamente o mesmo problema, com o linux também funcionava.

O NAT fica assim:

WAN_FIBRA TCP/UDP * * WAN FIBRA address 110 (POP3) 10.8.1.9 110 (POP3)

reinaldo.feitosa

Ative o log nesta regra e verifica se o tráfego esta sendo redirecionando ou não.

empbilly

@tiago2001:

Na verdade, se não me engano, eu utilizava apenas isso:

eth0 -> acesso externo
eth1 -> rede 10

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -t nat -A PREROUTING -d 191.241.xxx.xxx -p tcp –dport 587 -j DNAT --to 10.8.1.9
iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx

Tiago, em relação a esse caso.

Tente o seguinte. Vá para Firewall > NAT > Outbound e marque a opção manual. Explicação de o porque: https://forum.pfsense.org/index.php?topic=44116.msg228819#msg228819

Crie a regra como segue em anexo.

tiago2001

@empbilly:

@tiago2001:

Na verdade, se não me engano, eu utilizava apenas isso:

eth0 -> acesso externo
eth1 -> rede 10

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -t nat -A PREROUTING -d 191.241.xxx.xxx -p tcp –dport 587 -j DNAT --to 10.8.1.9
iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx

Tiago, em relação a esse caso.

Tente o seguinte. Vá para Firewall > NAT > Outbound e marque a opção manual. Explicação de o porque: https://forum.pfsense.org/index.php?topic=44116.msg228819#msg228819

Crie a regra como segue em anexo.

LAN seria a rede que conversa com o 10.8.1.9, certo? Se for isso, não funcionou.

empbilly

Mude de LAN pra WAN.

tiago2001

@empbilly:

Mude de LAN pra WAN.

Coloquei a LAN que conhece a rede e a WAN que tento acesso, mas não funcionou

empbilly

Tu tem rota estática configurada?

Esse IP 191.241.xxx.xxx é tua WAN ou faz parte de uma network que tu utiliza no pretense?

fabianofilhu

Ola Ja tentou fazer rota Estatica?

Vai em System -> Routing -> Static Routing

Clique em ADD

Destination network: Aqui voce coloca  o ip do Governo / a mascara

Gateway  Seleciona a WAN do GOVERNO

tiago2001

@fabianofilhu:

Ola Ja tentou fazer rota Estatica?

Vai em System -> Routing -> Static Routing

Clique em ADD

Destination network: Aqui voce coloca  o ip do Governo / a mascara

Gateway  Seleciona a WAN do GOVERNO

Tenho sim, segue a rota.


tiago2001

@empbilly:

Tu tem rota estática configurada?

Esse IP 191.241.xxx.xxx é tua WAN ou faz parte de uma network que tu utiliza no pretense?

Tenho sim, coloquei um print acima.