Белый IP (VIP) на машину в LAN



  • Коллеги, сам я разработчик, с сетевыми технологиями не очень знаком. Возникла задача в LAN сети получить машину с белым IP(Назначил VIP). Проброс портов не предлагать.





  • А так вопрос в том, что бы на машине в локалке был назначен статический внешний IP, и машина думала что она во внешке



  • Доброе.
    NAT 1:1



  • А можно пример использования?





  • @werter:

    Доброе.
    NAT 1:1

    это все не то. А можно wan адреса упаковать в lan, и так их использовать?



  • вот тут описана проблема моя https://forum.pfsense.org/index.php?topic=99031.0 но решения нет, vlan я не умею конфигурировать
    по инструкции https://www.reddit.com/r/PFSENSE/comments/39gxwj/assigning_a_public_ip_to_a_vlan/ ничего не завелось



  • Доброе.
    Так у вас еще и proxmox имеется ? Кстати, там уже не openvz, а lxc исп-ся.
    Как сеть организована ? Пф - реальная или вирт. машины ? Полное ТЗ в студию.

    P.s. Сколько у вас реальных (белых) ip в распоряжении ?



  • @werter:

    Доброе.
    Так у вас еще и proxmox имеется ? Кстати, там уже не openvz, а lxc исп-ся.
    Как сеть организована ? Пф - реальная или вирт. машины ? Полное ТЗ в студию.

    P.s. Сколько у вас реальных (белых) ip в распоряжении ?

    Все работает по такой схеме, но через NAT. Задача требует все белые ip передать виртуалкам и контейнерам, иначе софт некорректно работает. Также необходимо будет на одной виртуалке разместить нейм сервер.




  • 1. Запросить у провайдера инфу: какой ip в каком vlan
    2. На пф на wan порту создать vlan с тегом\ми которые дал провайдер.
    3. На пф на лан порту проделать аналогичное.
    4. На всех коммутаторах, вплоть до kvm switch(при необходимости) назначатить транки с этими вланами.
    5. На квм свитче(при необзодимости) или же на последнем к виртуалке коммутаторе назначать ацес порты.
    Все зависит как скомутировано и настроенно у вас, по схеме инфы мало. Да и как работает свитч у проксмокс я не знаю.



  • @bill_open:

    1. Запросить у провайдера инфу: какой ip в каком vlan
    2. На пф на wan порту создать vlan с тегом\ми которые дал провайдер.
    3. На пф на лан порту проделать аналогичное.
    4. На всех коммутаторах, вплоть до kvm switch(при необходимости) назначатить транки с этими вланами.
    5. На квм свитче(при необзодимости) или же на последнем к виртуалке коммутаторе назначать ацес порты.
    Все зависит как скомутировано и настроенно у вас, по схеме инфы мало. Да и как работает свитч у проксмокс я не знаю.

    про vlan мне провайдер ничего не сказал



  • Пробуем без влан.

    1. У всех вирт. маш (kvm и LXC) шлюзом должен быть лан-адрес пф. Проверьте это внимательно.
    2. Почему у пф на ВАН два GW ? У вас 2 ВАНа ?

    https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses
    Вам нужен IP Alias.



  • @werter:

    Пробуем без влан.

    1. У всех вирт. маш (kvm и LXC) шлюзом должен быть лан-адрес пф. Проверьте это внимательно.
    2. Почему у пф на ВАН два GW ? У вас 2 ВАНа ?

    https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses
    Вам нужен IP Alias.

    1. У виртуалок Шлюзом pfsense, а ip - которые установить в VirtualIP
    2. Провайдер выдал один из ip из другой подсети.
    Vip на какой интерфейс вешать?



  • Вот такие настройки как я понял, но ничего не робит.

    ![QIP Shot - Screen 215.png](/public/imported_attachments/1/QIP Shot - Screen 215.png)
    ![QIP Shot - Screen 215.png_thumb](/public/imported_attachments/1/QIP Shot - Screen 215.png_thumb)
    ![QIP Shot - Screen 216.png](/public/imported_attachments/1/QIP Shot - Screen 216.png)
    ![QIP Shot - Screen 216.png_thumb](/public/imported_attachments/1/QIP Shot - Screen 216.png_thumb)



  • Доброе.
    Мил человек, так оно и не будет работать. Вы зачем контейнеру присвоили внешний белый адрес ? У него должен быть локальный ip адрес из той же сети, что и лан-адрес пф,
    шлюзом же - лан пф-а.  После создавайте на ван пф virt ip с белым ip и делайте nat 1:1 на лок. адрес контейнера. Действуйте.



  • @werter:

    Доброе.
    Мил человек, так оно и не будет работать. Вы зачем контейнеру присвоили внешний белый адрес ? У него должен быть локальный ip адрес из той же сети, что и лан-адрес пф,
    шлюзом же - лан пф-а.  После создавайте на ван пф virt ip с белым ip и делайте nat 1:1 на лок. адрес контейнера. Действуйте.

    ну а как мне назначить белый ip контейнеру?



  • Перечитайте внимательно еще раз написанное выше.



  • @werter:

    Перечитайте внимательно еще раз написанное выше.

    Но ведь nat 1:1 не то пальто



  • Пробуйте так
    https://forum.pfsense.org/index.php/topic,47724.0.html
    Но эту ссылку вы уже давали  :o

    Это выполнено ?

    В NAT outbound не должно быть ничего касающегося xxx.xxx.yyy.112/29 (все удалить), ковыряйте правила брандмауэра на интерфейсе LAN. По аналогии с LAN subnet, нужно сделать правило пускающее сеть xxx.xxx.yyy.112/29 по любому протоколу на любой порт куда угодно.

    Да. IP alias создавать на LAN в таком случае.



  • Только я пошел другим путем, добавил карточку физическую pfsense, затем бридж WAN - OPT1 (эта карта).
    На сервере где виртуальная машина, добавил тоже одну карточку. Там (в PROXMOX) подключился к этой карте из виртуальной машины(назначил данные провайдера). Удалил VIP записи и почистил NAT. Но чудеса. Внешне виртуальная машина доступна только по правилам из NAT, изнутри не видит даже шлюз.



  • Думаю, что это лишнее - добавлять физ. карты.
    Попробуйте все внимательно сделать с нуля по инс-ции с этого форума от rubic.



  • @werter:

    Думаю, что это лишнее - добавлять физ. карты.
    Попробуйте все внимательно сделать с нуля по инс-ции с этого форума от rubic.

    в моем случае инструкция не сработала



  • Удалил VIP записи и почистил NAT

    1. NAT в этом случае вообще не нужен был.
    2. Попробуйте маску сети /32 для вирт. ip.



  • @werter:

    Удалил VIP записи и почистил NAT

    1. NAT в этом случае вообще не нужен был.
    2. Попробуйте маску сети /32 для вирт. ip.

    система пишет недопустимый ip



  • У меня 6 белых IP от провайдера. дал он их с данными шлюза и маской 27. Нужно назначить их виртуальным машинам под LAN.

    Пробовал по инструкции выше, пробовал с картами. Ничего не работает, форумчане прошу помощи. Если нужно - могу дать доступ teamviewer.

    Тут похожая тема, и у ТС все работает.
    https://community.spiceworks.com/topic/173515-adding-to-a-pfsense-which-is-acting-as-a-transparent-firewall-a-dmz



  • Возможно провайдер дал все ip в влан1. Тогда по рекомендациям уважаемого rubic:

    ““Вам нужно вот что: сделать еще один интерфейс (не важно как вы этого добьетесь - вставите в pfSense еще одну сетевую карту и соедините ее отдельным кабелем с арендатором, или на существующей карте LAN сделаете VLAN и настроите свитч так, чтобы арендатор был в этом VLAN'е). Затем взять 4 IP, которые вам даст провайдер (скажем, x.x.x.32, x.x.x.33, x.x.x.34 и x.x.x.35), назначить второй из них (x.x.x.33) новому интерфейсу pfSense, третий (x.x.x.34) - компу арендатора, маска подсети и там и там: 255.255.255.252 (т.е. /30). Назначить шлюзом на компе арендатора адрес нового интерфейса pfSense (x.x.x.33) и настроить firewall (никакого NAT не надо, если есть - убрать!). Это - все!””

    Значения ставьте свои.



  • @bill_open:

    Возможно провайдер дал все ip в влан1.

    нет, не vlan.



  • Если вам провайдер выделил целую подсеть, можно спокойно воспользоваться Proxy-Arp, а если провайдер в добавок использует IPoE подключение, то на самом PF можно даже не оставлять IP из выданной подсети.
    На Wan интерфейсе — добавляете все ваши выданные IP в ProxyArp.
    На LAN интерфейсе — IP шлюза провайдера в ProxyArp, и статические маршруты /32 на интерфейс до выданных IP.(делал это на pf 2.1, а он не разрешал держать 2-е одинаковые подсети на разных интерфейсах почему-то)
    Ну и накрайний случай никто не мешает настраивать серверы с Classless маршрутизацией.
    В такой конфигурации я клиентам предоставлял реальники от провайдера очень долго, потом просто договорился с провайдером о маршрутизации реальной подсети.



  • @PbIXTOP:

    Если вам провайдер выделил целую подсеть, можно спокойно воспользоваться Proxy-Arp, а если провайдер в добавок использует IPoE подключение, то на самом PF можно даже не оставлять IP из выданной подсети.
    На Wan интерфейсе — добавляете все ваши выданные IP в ProxyArp.
    На LAN интерфейсе — IP шлюза провайдера в ProxyArp, и статические маршруты /32 на интерфейс до выданных IP.(делал это на pf 2.1, а он не разрешал держать 2-е одинаковые подсети на разных интерфейсах почему-то)
    Ну и накрайний случай никто не мешает настраивать серверы с Classless маршрутизацией.
    В такой конфигурации я клиентам предоставлял реальники от провайдера очень долго, потом просто договорился с провайдером о маршрутизации реальной подсети.

    спасибо за ответ. подсеть для меня дорого. как понять, с этой маской (27) у меня подсеть или как? )

    вот тут аналогичная проблема https://forum.pfsense.org/index.php?topic=16245.0



  • @PbIXTOP:

    статические маршруты /32 на интерфейс до выданных IP.

    что это значит?



  • Благодаря товарищу PbIXTOP все получилось, нужно было только правила прописать



  • Т.е. все же оставили доп. физ. сетевые в итоге ?



  • @werter:

    Т.е. все же оставили доп. физ. сетевые в итоге ?

    Нет, отключил их. Обошелся одной на LAN



  • По старой инс-ции или с NAT 1:1 ?



  • @werter:

    По старой инс-ции или с NAT 1:1 ?

    Обошлись ProxyArp на WAN и LAN и статическим маршрутами на LAN  интерфейсе.



  • А сделайте, пожалуйста, краткий мануальчик. Тема, может быть, и не сильно популярная, но нужная.



  • Поддерживаю. Нужный мануал получиться может.