Resolvido! Redirecionar para outro ip
-
Prezados, tenho uma vlan (192.168.20.X/24) na empresa ao qual o fornecedor só libera o sistema deles para ela. mas preciso liberar várias maquinas para acessar essa aplicação e não pode ser pelo proxy
hoje eu faço pelo windows e funciona mas as vezes da problema, eu queria fazer um redirecionamento com o pfsense mas não consegui até agora.
no windows funciona com o comando abaixo:
netsh interface portproxy delete v4tov4 listenport=80 listenaddress=192.168.20.4 protocol=tcp
netsh interface portproxy add v4tov4 listenaddress=192.168.20.4 listenport=80 connectport=80 connectaddress=189.111.107.169 -
Neste caso seria um NAT + um OUTBOUND NAT para mascarar o ip de origem.
-
Alguém consegue me ajudar com essa OUTBOUND NAT para conseguir fazer o que eu preciso? por favor
tem fonte, destino e Tradução
-
Internamente na matriz eu consegui fazer funcionar mas a questão é que esse link somente a matriz tem acesso liberado ao cliente através de ipsec, agora preciso fazer com que as nossas filiais que se conecta a matriz através de vpn ip sec consigam acessar esse site.
Com o Windows funciona mas as vezes apresenta erro. A grande questão é que é de vpn ipsec para vpn ipsec quando a interfaceInterface Origem Porta de Origem Destino Porta de destino Endereço NAT Porta NAT Porta estática Descrição Ações
IPsec 192.168.203.99/32 tcp/* 201.77.140.224/32 tcp/* 192.168.200.157 * teste -
Você vai ter que incluir as outras redes na fase2 do ipsec, mas esse passo precisa ser feito na outra ponta do tunel também.
Se não conseguir que a outra ponta altere, você consegue fazer isso com outro servidor(linux, windows, pfSense) fazendo o nat da comunicação antes de entrar no túnel/pfSense.
estacoes filial -> matriz -> servidor de nat/proxy para o serviço -> pfsense -> vpn ipsec -> servidor remoto
-
Obrigado Marcelloc vou tentar muito obrigado pela luz.
-
Macelloc, já pesquisei e não encontrei forma de se colocar mais de uma rede na fase dois você conhece alguma forma? os ranges são bem diferentes por exemplo 10.14.69.0/24 e 192.168.100/21 e 192.168.70/24
nformação geral
Desabilitado Desabilitar esta entrada de phase 2 sem removê-la da lista.
Modo
Rede local
Tipo192.168.100.0
/
Endereço
Tradução NAT/BINAT
Tipo/
Endereço
Se NAT/BINAT for necessário nesta rede, especifique o endereço a ser traduzido
Rede remota
Tipo192.168.
/
Endereço
Descrição
BHE
Uma descrição pode ser inserida aqui para referência administrativa (não analisado). -
No IPsec você pode adicionar quantas fase2 quiser. Procura o símbolo de + na lista de fase2 logo abaixo da fase1 que já tem criado.
-
Muito obrigado você resolveu a questão.
-
Marcelloc tenho que criar essa outra fase dos dois lados? vai ser preciso criar uma nat dentro da vpn também?
hoje tenho uma vpn ipsec com o cliente na rede 10.14.60.0/24
uma vpn com a filial 192.168.70.0/24
e da filial para a nossa matriz que tem o ip 192.168.20.0/21na vpn da filial eu adicionei a rede do cliente 10.14.60.0/24 minha duvida é se eu colocar da matriz para a filial o ip 10.14.60.0/24 se pode ocorrer conflitos e erros.
-
Marcelloc tenho que criar essa outra fase dos dois lados? vai ser preciso criar uma nat dentro da vpn também?
Ou um ou outro, os dois não precisa
na vpn da filial eu adicionei a rede do cliente 10.14.60.0/24 minha duvida é se eu colocar da matriz para a filial o ip 10.14.60.0/24 se pode ocorrer conflitos e erros.
Conflito não dá. A fase 2 "só" informa que redes podem passar no túnel.