[Resolvido] Ajuda com NAT 1:1



  • Caros,

    preciso transformar um IP público em uma máquina da minha rede.
    Tem algum tutorial aqui que mostre esta configuração, pois não o encontrei?

    Obrigado!



  • Com que finalidade o NAT 1:1? Um NAT Port Forward não resolveria? Que tipo de serviço, servidor web, e-mail?



  • Obrigado por responder.

    Essa máquina é um portal/servidor web.
    Possuo IP fixo, acabei de configurá-lo como bridge, neste caso, uma das interfaces do meu servidor está assumindo esse IP.
    NAT Port Foward se sairia melhor? Como funciona?



  • @darkknight:

    Essa máquina é um portal/servidor web.
    Possuo IP fixo, acabei de configurá-lo como bridge, neste caso, uma das interfaces do meu servidor está assumindo esse IP.
    NAT Port Foward se sairia melhor? Como funciona?

    Eu usaria o NAT Port Foward. Veja a cópia de tela desse post, com link abaixo, e adapte-a conforme suas necessidades. No caso, Destination port range, coloque ANY. Em Redirect port selecione HTTP se a porta de seu portal/servidor web está em 80. Se não, use a porta que você configurou nele.
    http://forum.pfsense.org/index.php/topic,52845.msg282525.html#msg282525



  • johnnybe, novamente, obrigado por responder.

    Não funcionou.
    Tire uma dúvida, por gentileza: IP fixo da Telefônica, possuo um servidor com o portal daqui da minha empresa e preciso atrelar este IP ao IP do servidor; neste caso, é necessário realizar o Bridge? Pois pelo Bridge, ele não pegou nenhum IP, ficou 0.0.0.0.

    Cara, estou até agora na empresa, meu problema maior é que tenho 3 links de internet (havia colocado dois nos outros posts pois um 3º não é tão importante quanto aos outros), não pensando em balanceamento, proxy ou failover mas, não consigo navegar na internet, pelo próprio servidor, sem ser pelo que usa o gateway padrão.

    Se eu tiro o cabo de rede deste que está como gateway padrão, os outros dois não navegam na internet.
    E um deles, mesmo alterando para padrão, não navega, possível problema de DNS, sei lá…

    Poderia me ajudar? São tão novo no pfSense quanto no Linux.

    Obrigado novamente!



  • @darkknight:

    johnnybe, novamente, obrigado por responder.

    Não funcionou.
    Tire uma dúvida, por gentileza: IP fixo da Telefônica, possuo um servidor com o portal daqui da minha empresa e preciso atrelar este IP ao IP do servidor; neste caso, é necessário realizar o Bridge? Pois pelo Bridge, ele não pegou nenhum IP, ficou 0.0.0.0.

    Cara, estou até agora na empresa, meu problema maior é que tenho 3 links de internet (havia colocado dois nos outros posts pois um 3º não é tão importante quanto aos outros), não pensando em balanceamento, proxy ou failover mas, não consigo navegar na internet, pelo próprio servidor, sem ser pelo que usa o gateway padrão.

    Se eu tiro o cabo de rede deste que está como gateway padrão, os outros dois não navegam na internet.
    E um deles, mesmo alterando para padrão, não navega, possível problema de DNS, sei lá…

    Poderia me ajudar? São tão novo no pfSense quanto no Linux.

    Obrigado novamente!

    Telefônica é ADSL e, portanto, tem necessidade de PPPOE. Será que esse modem da Telefônica está em bridge, realmente? Ou está roteando? Quantos IPs fixos (públicos) a Telefônica disponibilizou? O PfSense é responsável pelo discagem PPPOE, ou o modem? O PfSense é responsável pelo DNS ou tem AD no meio? Existem certas informações absolutamente necessárias para resolver seu problema, você poderia ser mais claro?



  • johnnybe,

    primeiramente, obrigado por responder e pela paciência costumeira.
    Acho que é bem simples, mas só enxergo complexidade nesta situação. Bom, vamos lá.

    Nós temos um link da Telefônica de 4Mbps, com IP público e fixo atribuido. A cada 30 dias, é necessário autenticar para validar o IP/serviço. Se eu conectar um notebook, por exemplo, ao modem, eu acesso à internet, sem discador, sem criar conexão alguma. E via DHCP. Sendo assim, eu confio que o modem está roteado.
    Além deste link, temos uma rede MPLS de 2Mbps chegando via fibra óptica que depois é convertida em Ethernet, em um roteador/gateway da rede.
    E, recentemente, nós contratamos um terceiro link, da Net de 20Mbps, também sem necessidade de discador/conexão e com DHCP.

    O pfSense, após sua instalação, me mostra duas das quatro interfaces de rede que o servidor possui: a LAN e uma WAN.
    Como o link da Net é maior, ele a principio será o principal, desta forma, acabei deixando ele na interface da WAN (como DHCP).
    O que eu não entendi é que desta forma, eu consigo navegar, sem aplicar regra alguma de Firewall. Os problemas começam quando eu crio 4 VLANs que usamos aqui mais as outras duas interfaces que servirão para os outros links.
    Para eu ter acesso à rede, em qualquer uma das VLANs, eu crio uma regra onde apenas eu indico a dada VLAN no campo SOURCE, deixando todo o resto como ANY. Basta somente esta configuração para eu pingar as outras VLANS, a LAN, a WAN e as outras interfaces criadas para os outros links.
    Quando eu tiro o cabo de rede da interface WAN e passo a usar, por exemplo, OPT1 dedicada a Telefonica (como DHCP), eu não navego, nem mesmo pelo próprio servidor.
    Me vem à tona duas coisas: Firewall (Regra e/ou NAT) ou DNS.
    Não temos AD na nossa rede.
    No diagnóstico de rede do Windows 7 (cliente de uma das VLANs), ele me fala que não foi possível resolver o nome. Problema de DNS. Mas, se o DNS (pfSense) está errado, como eu consigo navegar pela interface WAN (Net)?
    Tanto a Telefonica quanto a Net possuem DNS (do DHCP), já na minha MPLS, eu preciso definir um DNS, caso contrário, não tenho navegação. Desta forma, não sei como eu faria para configurar o DNS no pfSense para os três links.
    Caso não seja problema de DNS, qual é a regra que me faz navegar por qualquer outro link/interface, mesmo não sendo o default gateway?
    Às vezes, um dos gateways aparece como offline (!?). Já aconteceu de eu definir um outro gateway como default e também já coloquei o link da Telefônica na interface WAN, da Net. Em nenhum dos casos navegou.
    Com certeza é alguma regra faltante ou que eu fiz errado. Após a instalação do pfSense, percebi que a interface WAN não possui nenhuma regra e mesmo assim tem-se acesso à internet. A NAT/OUTBOUND possui duas opções que não sei qual melhor se aplica ao meu caso.
    Mas, apesar de tudo isto, o mais crítico é fazer com que o nosso portal seja acessado externamente, pelo IP da Telefônica, caso contrário, não adiantará o esforço.
    Quando me referi à BRIDGE, quis dizer sobre algo que eu li na internet que talvez é o que eu preciso: essa configuração atribui um IP público à uma interface do servidor, "como se o modem não existisse". Não tenho certeza se é isso.

    johnnybe e caros colegas, peço profundas desculpas por isto, pelo horário deste post, peço que entendam a gravidade da tarefa que me foi dada.
    Muito obrigado novamente.

    Abraços!



  • @darkknight:

    johnnybe,

    Nós temos um link da Telefônica de 4Mbps, com IP público e fixo atribuido. A cada 30 dias, é necessário autenticar para validar o IP/serviço. Se eu conectar um notebook, por exemplo, ao modem, eu acesso à internet, sem discador, sem criar conexão alguma. E via DHCP. Sendo assim, eu confio que o modem está roteado.

    Sim, o modem está roteando, não está em bridge e ele é reponsável pelo PPPOE. Como ver isso? Verifique qual IP o modem está entregando para você. Aposto que é um IP privado, quando deveria ser, em bridge, o IP publico. Daí que isso requer double nat e só dá dor de cabeça.

    @darkknight:

    Além deste link, temos uma rede MPLS de 2Mbps chegando via fibra óptica que depois é convertida em Ethernet, em um roteador/gateway da rede.
    E, recentemente, nós contratamos um terceiro link, da Net de 20Mbps, também sem necessidade de discador/conexão e com DHCP.

    O pfSense, após sua instalação, me mostra duas das quatro interfaces de rede que o servidor possui: a LAN e uma WAN.
    Como o link da Net é maior, ele a principio será o principal, desta forma, acabei deixando ele na interface da WAN (como DHCP).
    O que eu não entendi é que desta forma, eu consigo navegar, sem aplicar regra alguma de Firewall. Os problemas começam quando eu crio 4 VLANs que usamos aqui mais as outras duas interfaces que servirão para os outros links.

    A Net Virtua vem com o modem em bridge por padrão e torna as coisas mais fáceis. Nesse caso, um simples NAT Port Foward para seu servidor Web resolve o problema. Quanto a navegação, por padrão, o pfSense tem uma regra na LAN que permite todo tráfego que sai. Ou seja, conexões originadas na LAN estão liberadas para destino WAN. Se os problemas começam nas VLANs, então aí está o que precisa ser melhor analisado. Tem algo errado no reino da Dinamarca, configuração das VLANs no switch ou na placa de rede do pfSense. O Switch é gerenciável?

    @darkknight:

    Para eu ter acesso à rede, em qualquer uma das VLANs, eu crio uma regra onde apenas eu indico a dada VLAN no campo SOURCE, deixando todo o resto como ANY. Basta somente esta configuração para eu pingar as outras VLANS, a LAN, a WAN e as outras interfaces criadas para os outros links.
    Quando eu tiro o cabo de rede da interface WAN e passo a usar, por exemplo, OPT1 dedicada a Telefonica (como DHCP), eu não navego, nem mesmo pelo próprio servidor.

    Placas adicionais, precisam ter regras criadas para acesso externo. A LAN sabe que existe a WAN, mas ela sabe que existe a OPT1? Por padrão, não sabe. Segundo você disse, a OPT1 seria uma segunda WAN ou, apenas exemplificando, vamos chamá-la de OPTWAN ou WAN2. É preciso direcionar esse tráfego e, pelo jeito, fazer um failover pelo menos. Melhor ainda, Load Balance e Failover.

    Vou ficando aqui nesse ponto. Seu ambiente é complexo e o que coloquei até aqui precisa ser resolvido antes de prosseguir com as outras dúvidas.



  • Olá johnnybe, novamente, muito obrigado por responder.

    Respondendo, o switch é gerenciável. Eu inclusive adotei as IDs que já estão configuradas nele para o pfSense.
    Quanto à esta solução que você citou da Net, funcionaria para IP dinâmico? Não tenho a informação de que a Net trabalha com IPs fixos.

    Quanto à LAN, o próprio pfSense me entregou essa regra, anexada ao post.
    Nesta segunda regra, a LAN já não deveria enxergar a OPT1 e todas as demais?

    Pretendo fazer o Balance + Failover, mas preciso antes resolver um problema de navegação incomum:
    o modem da NET assumiu a interface WAN (default gateway), o modem da Telefonica a OPT2; se eu desconecto qualquer um deles, deixando apenas um, deixo de acessar a internet. Consigo pingar estas interfaces, consigo pingar o gateway que estiver conectado mas se eu realizar o ping para, por exemplo, 8.8.8.8, independente da interface, não tenho resposta.
    Em System -> Gateways -> Routing deixei tudo dinâmico, para troubleshooting e nada.
    Segue outro anexo, sobre DNS.

    Complexo…
    Obrigado!






  • @darkknight:

    Respondendo, o switch é gerenciável. Eu inclusive adotei as IDs que já estão configuradas nele para o pfSense.
    Quanto à esta solução que você citou da Net, funcionaria para IP dinâmico? Não tenho a informação de que a Net trabalha com IPs fixos.

    A Net Virtua tem IP dinâmico. Funciona sim, fazendo NAT Port Forward. Tenho dois clientes que usam a Net Virtua. Também uso Net aqui no meu escritório e em casa. O único problema com provedores que fornecem IP dinâmico, na falta de uma VPN, é o acesso remoto à GUI por DNS, que você pode resolver configurando Services: Dynamic DNS clients.

    @darkknight:

    Quanto à LAN, o próprio pfSense me entregou essa regra, anexada ao post.
    Nesta segunda regra, a LAN já não deveria enxergar a OPT1 e todas as demais?

    Não, conforme eu disse antes. E, pelas suas cópias de tela, você tem mais do que 4 (quatro) interfaces: WAN, LAN, OPT1, OPT2, OPT3, OPT4, OPT5, OPT6. Você tinha dito que eram quatro, mas contei 8 (oito): Uma WAN, uma LAN + 6 (seis) OPT = 8 (oito).

    Desculpe-me, mas está tudo muito confuso.  ???



  • johnnybe,

    quiz dizer fisicamente, eu possuo 4. Desculpe por isto.
    Enfim, consegui navegar pelos meus 3 links, agora, o mais importante, como ficaria a regra de NAT Port Forward, johnnybe?

    Obrigado, mais uma vez!



  • @darkknight:

    johnnybe,

    quiz dizer fisicamente, eu possuo 4. Desculpe por isto.
    Enfim, consegui navegar pelos meus 3 links, agora, o mais importante, como ficaria a regra de NAT Port Forward, johnnybe?

    Obrigado, mais uma vez!

    Já respondi isso antes. Veja aqui:
    http://forum.pfsense.org/index.php/topic,53288.msg284932.html#msg284932



  • johnnybe,

    obrigado mas infelizmente ainda não funcionou.
    Não consigo entender o que está acontecendo.



  • @darkknight:

    johnnybe,

    obrigado mas infelizmente ainda não funcionou.
    Não consigo entender o que está acontecendo.

    Vá em System: Advanced: Firewall and NAT e verifique se a opção "Disable NAT Reflection for port forwards" está desmarcada. Essa opção diz: Disables the automatic creation of additional NAT redirect rules for access to port forwards on your external IP addresses from within your internal networks.
    Se não estiver, desmarque-a e clique em Save. Se não for isso o problema pode ser DNS, ou conflito de portas. Qual é a porta que seu servidor web utiliza? Em qual porta seu pfSense está ouvindo?



  • @darkknight:

    O pfSense, após sua instalação, me mostra duas das quatro interfaces de rede que o servidor possui: a LAN e uma WAN.

    Você já foi na tela de configuração de interfaces para ver se ele reconheceu as outras e só está esperando você atribuir a interface física a uma opt?

    @darkknight:

    Os problemas começam quando eu crio 4 VLANs que usamos aqui mais as outras duas interfaces que servirão para os outros links.

    São poucos os casos em que placas de rede funcionam com vlans tag e untag simultaneamente, você lembrou de "tagear" todas as vlans na hora de configurar a porta do switch e o pfsense?

    Para publicar seu servidor web nos 3 links , eu usaria o pacote do varnish(http). Com ele você consegue disponibilizar o site nos tres links e ainda reduzir a carga do servidor web.



  • @johnnybe:

    @darkknight:

    johnnybe,

    obrigado mas infelizmente ainda não funcionou.
    Não consigo entender o que está acontecendo.

    Vá em System: Advanced: Firewall and NAT e verifique se a opção "Disable NAT Reflection for port forwards" está desmarcada. Essa opção diz: Disables the automatic creation of additional NAT redirect rules for access to port forwards on your external IP addresses from within your internal networks.
    Se não estiver, desmarque-a e clique em Save. Se não for isso o problema pode ser DNS, ou conflito de portas. Qual é a porta que seu servidor web utiliza? Em qual porta seu pfSense está ouvindo?

    Obrigado por responder!
    Bom, no momento não estou na empresa, verei esta informação mas, se não me engano, ao final da regra há esta opção, não sei se seria a mesma coisa: use default, enable e disable.
    Mas verificarei em Advanced e te darei uma resposta em seguida.
    E, respondendo suas perguntas, a porta utilizada é a 81 e na configuração do Port Forward, como não tem como deixar como ANY, eu deixo 80 em FROM e 81 em TO.
    Se nada disso funcionar, tirarei a evidência da minha configuração de DNS e da regra para dar uma olhada.
    Só um detalhe: o IP que é apontado para o Servidor vem do Speedy, só que ele não é mais nosso link default (gateway), não tem problema? Configurei Load Balance, igualando as Tiers para todos os 3 gateways.

    Obrigado, abraços!



  • @marcelloc:

    Você já foi na tela de configuração de interfaces para ver se ele reconheceu as outras e só está esperando você atribuir a interface física a uma opt?

    **Obrigado por responder!

    Já sim, marcelloc, quanto a isto está ok, as interfaces estão OK.**

    @marcelloc:

    São poucos os casos em que placas de rede funcionam com vlans tag e untag simultaneamente, você lembrou de "tagear" todas as vlans na hora de configurar a porta do switch e o pfsense?

    Para publicar seu servidor web nos 3 links , eu usaria o pacote do varnish(http). Com ele você consegue disponibilizar o site nos tres links e ainda reduzir a carga do servidor web.

    **Quanto às VLANs, aproveitei a configuração existente dos meus switches, já testei está tudo ok. Era questão de regra.
    Agora, essa tua sugestão é bem atrativa.
    Primeiramente vou seguir os passos do johnnybe, dar um feedback das sugestões dele e, se for o caso, parto para essa tua.
    Colegas, obrigado pela ajuda!

    Abraços**!



  • @darkknight:

    e na configuração do Port Forward, como não tem como deixar como ANY, eu deixo 80 em FROM e 81 em TO.

    O nat fica com source port any, destination port 80 e nat port 80(porta do servidor web)



  • johnnybe,

    obrigado novamente, segui as tuas instruções, inclusive quanto à opção Disable NAT Reflection for port forwards, deixei desativada, mas ainda assim não consegui ter o redirecionamento.
    Como prometido, evidenciei para fins de feedback.

    Se notarem alguma coisa de errado, peço que me apontem para que eu faça a correção necessária.
    Caros, obrigado novamente.










  • Seu servidor web está na porta 81? existe algum motivo em especial para esta configuração?



  • @marcelloc:

    Seu servidor web está na porta 81? existe algum motivo em especial para esta configuração?

    Marcelo, te mandei uma Mensagem Pessoal só para te mostrar como funciona, mas continuaremos a conversa por aqui.

    Não sei o motivo, mas está sim na porta 81.
    IPPúblico:81/portalcorporerm

    Será que meu problema está em "portalcorporerm" do endereço? Se eu colocar apenas o IP:porta, não abre. Preciso colocar o endereço completo, conforme exemplo acima.

    Valeu, cara!



  • voce acessa o ip interno na porta 81?

    Qual o gateway deste servidor web? é o ip do pfsense ou o ip de algum outro firewall/gateway que voce tinha antes?



  • @marcelloc:

    voce acessa o ip interno na porta 81?

    Qual o gateway deste servidor web? é o ip do pfsense ou o ip de algum outro firewall/gateway que voce tinha antes?

    Acabei de testar, acesso, mas sem a porta declarada, ou seja, aparentemente por HTTP, mas ainda assim preciso do complemento (http://192.168.0.155/portalcorporerm/).

    O gateway ainda não é o pfSense, é um servidor que ainda está ativo, mas será substituído.
    Abraços!



  • Caros colegas,

    consegui fazer o redirecionamento. A porta 81 é a externa, enquanto para acesso ao servidor, internamente, é a 80 (HTTP).
    Na regra, estava invertido.

    johnnybe, marcelloc, muito obrigado pela ajuda, prestatividade e, principalmente, paciência.
    Até mais!



  • @darkknight:

    Caros colegas,

    consegui fazer o redirecionamento. A porta 81 é a externa, enquanto para acesso ao servidor, internamente, é a 80 (HTTP).
    Na regra, estava invertido.

    johnnybe, marcelloc, muito obrigado pela ajuda, prestatividade e, principalmente, paciência.
    Até mais!

    Excelente notícia! Podemos pedir uma coisa, em nome de todos do fórum? Coloque uma print da sua regra NAT, por favor? Isso vai ajudar outros com problemas semelhantes no futuro. Pode ser?  ;)



  • @johnnybe:

    Excelente notícia! Podemos pedir uma coisa, em nome de todos do fórum? Coloque uma print da sua regra NAT, por favor? Isso vai ajudar outros com problemas semelhantes no futuro. Pode ser?  ;)

    Sem dúvida!

    Evidências 01, 02 e 03 se referem à regra Port Forward (Firewall -> Nat -> Port Forward);








  • Já as evidências 04 e 05 foi a regra aplicada à interface pela própria regra de NAT (Firewall -> Rules -> aba da interface onde é aplicado o Port Forward).

    Abraços!






  • Valeu, darkknight !!!!  :)


Locked