Проброс белого IP



  • Всем привет!

    Тема не новая и вроде бы не должно быть подводных камней.
    Прочитал
    https://forum.pfsense.org/index.php?topic=47724.0
    сделал как написано, но не работает!

    Исходные данные
    pfSense    2.3.4_1

    wan  PPPoE    статический IP  xxx.yyy.222.137
    шлюз xxx.yyy.222.1

    lan - static 192.168.10.0

    Провайдером предоставлен пул внешних адресов: xxx.yyy.217.36/30

    Прописываю    Firewal/Virtual IPs

    xx.yyy.217.37/30 LAN  IP Alias

    Пингую из другой сети - фиг вам:
    Ответ от xxx.yyy.216.149: заданный узел недоступен

    Соответственно не доступна и машина внутри сети, которой присвоен второй белый адрес xxx.yyy.217.37/30

    Если VirtualIP присвоить тип WAN, то естественно он начинает пинговаться, но второй белый адрес также недоступен.

    В чем может быть дело?
    Это у провайдера не происходит переадресация  или где-то у меня косяк?

    Перенаправление портов не предлагать! :)
    Нужен именно проброс IP.



  • Доброго.

    lan - static 192.168.10.0

    Надеюсь, что 192.168.10.1

    Скрины правил fw на LAN, WAN покажите.



  • да



  • Могу только аттачем сделать






  • @werter:

    lan - static 192.168.10.0

    Надеюсь, что 192.168.10.1

    хех, а я бы не удивился. Зависит от маски )



  • Усе, кино кончилось!

    Проблема была у провайдера.
    Всем принявшим участие - спасибо!
    Ваши теплые слова поддержки помогли мне в трудные минуты отсутствия доступа к внутреннему белому IP!
    Спасибо, камрады!



  • Доброго.
    А зачем вы серые сети на LANе-то заблокировали ?

    ![2017-12-01 09_58_03.png](/public/imported_attachments/1/2017-12-01 09_58_03.png)
    ![2017-12-01 09_58_03.png_thumb](/public/imported_attachments/1/2017-12-01 09_58_03.png_thumb)



  • просто человек проставил галочки в свойствах интерфейса



  • Надеюсь, что т.о. он отсек на ЛАН только https://www.securitylab.ru/blog/personal/aodugin/305208.php  :

    192.0.0.0/24
    Блок не встречается в повседневной жизни, поскольку зарезервирован под IANA для нужд IETF в соответствии с RFC6890



  • @werter:

    Надеюсь, что т.о. он отсек на ЛАН только https://www.securitylab.ru/blog/personal/aodugin/305208.php  :

    192.0.0.0/24
    Блок не встречается в повседневной жизни, поскольку зарезервирован под IANA для нужд IETF в соответствии с RFC6890

    Очень даже встречается. Я однажды ругался с дебилоящиками с мегафона. Они мне сделали белый адрес, а при просмотре трасерта светились серые адреса. И PF неадеватно реагировал на это.

    И пример номер 2. Я раньше работал в провайдере, сейчас в производственном секторе итишником. Интернет подключил от этого провайдера, т.к. там работают мои друзья. И каково было моё удивление, когда ко мне на внешний интерфейс полетела DDOS атака с серых сетей вида 192.168.. – и это реально адрес из пакета. А на самом деле просто ещё один дибилоящик-админ из "электронного города" (новосибирск) включил серые адреса своих абонентов в анонс BGP. И мой провайдер получал этот анонс, и соот-но маршрутизировал эти пакеты до меня.
    Пример 3. Вымпелком. Кстати самый адекватный провайдер из большой тройки. Тоже прилетал DDOS с серыми адресами. Знаешь что это было? это в их офисе Билайна где то в районе самары кто то подвахтил бот-нет-червя. И этот червь тоже ходил с серого адреса,сетка анонсилась через BGP и прилетала до меня.

    Так что сплошь и рядом.



  • Претензии к ТС. Я просто указал на неверное правило.



  • @avg:

    Соответственно не доступна и машина внутри сети, которой присвоен второй белый адрес xxx.yyy.217.37/30

    машине должен быть дан адрес xxx.yyy.217.38/30