Rotas com IP Virtual



  • Prezados,

    Estou com uma dificuldade no pfsense para trabalhar com IP Virtual.

    Em uma inteface WAN eu configurei um IP público e um IP virtual, de rede privada (RFC1918). Hoje é assim que funciona com o Linux + iptables.

    A dificuldade é que, para determinados destinos, eu preciso sair pelo IP virtual por um gateway que eu adicionei (que não é o gateway do IP público da WAN) para o IP da rede privada.

    Eu tentei configurar rota estática, nat outbound, forçar a saída por regras apontando o gateway da rede privada, mas ele sempre joga para o gateway do IP público.

    Em anexo eu fiz um cenário para tentar ilustrar.

    Eu estou em um PC na rede 10.10.10.0 >> Tento ir para a internet, funciona tudo corretamente.
    Eu estou em um PC na rede 10.10.10.0 >> Tento ir para a rede 10.10.1.0 >> não funciona, os pacotes são jogados para o gateway da rede pública, ao invés de ir para o gateway do IP virtual que seria o 10.10.11.254 (que foi criado), mesmo com regras, rota estática ou nat outbound.

    a regra foi configurada assim
    na interface lan, sempre que o destino for a rede 10.10.1.0, jogar no gateway 10.10.11.254 –- gateway adicionei que eu criei.

    rota estática
    rede de destino: 10.10.1.0
    gateway: 10.10.11.254

    nat outbound
    na interface lan, toda vez a a rede de destino for 10.10.1.0 eu saio com um ip ta rede 10.10.11

    O único jeito que eu consegui fazer para que os pacotes cheguem no gateway certo quando o destino for a rede 10.10.1.0 é apontar o Gateway da WAN, a que está com o IP público, para o gateway 10.10.11.254
    Mas desse jeito, a internet para de funcionar porque o 10.10.11.254 não tem rota para a internet.

    Você conseguem me ajudar a fazer esse lab funcionar ou me informar se o pfsense não funciona desse jeito e seria necessário alterar o layout.




  • Esta bem confusa esta tua explicação.  :o

    Em uma inteface WAN eu configurei um IP público e um IP virtual, de rede privada (RFC1918). Hoje é assim que funciona com o Linux + iptables.

    Na WAN tu tem o IP publico e um IP privado!? Ip virtual é diferente de IP privado. Pelo menos no pfsense quando tu usa a nomenclatura "Ip virtual", entendemos que tu configurou um IP virtual em "Firewall > Virtual IPs".

    A dificuldade é que, para determinados destinos, eu preciso sair pelo IP virtual por um gateway que eu adicionei (que não é o gateway do IP público da WAN) para o IP da rede privada.

    Tu precisa sair pra internet? Se sim, esse gw é um novo IP publico configurado com um IP virtual no NAT 1:1? Esse gw tem saida pra internet?



  • @empbilly:

    Esta bem confusa esta tua explicação.  :o

    Desculpa, tentei deixar o mais claro possível

    Em uma inteface WAN eu configurei um IP público e um IP virtual, de rede privada (RFC1918). Hoje é assim que funciona com o Linux + iptables.

    Na WAN tu tem o IP publico e um IP privado!? Ip virtual é diferente de IP privado. Pelo menos no pfsense quando tu usa a nomenclatura "Ip virtual", entendemos que tu configurou um IP virtual em "Firewall > Virtual IPs".

    Isso, na interface física da WAN,eu tenho um IP público que está configurado na internace física normalemente, mas também tenho um um IP privado que está como IP virtual. É isso mesmo, configurei um IP privado na interface WAN em Firewall > Virtual IPs

    A dificuldade é que, para determinados destinos, eu preciso sair pelo IP virtual por um gateway que eu adicionei (que não é o gateway do IP público da WAN) para o IP da rede privada.

    Tu precisa sair pra internet? Se sim, esse gw é um novo IP publico configurado com um IP virtual no NAT 1:1? Esse gw tem saida pra internet?

    Sim, eu preciso sair para a internet e preciso ir para a rede 10.10.1.0 que está atraz do outro roteador. Esse outro roteador não tem e não pode ter acesso a internet.
    O gateway da WAN é um IP público, que faz funcionar a internet normalmente.
    O gateway criado é um IP privado de um roteador interno que conhece a rede 10.10.1.0 e tem uma perna na rede 10.10.11.0. O IP virtual criado na interface WAN também está na rede 10.10.11.0