NAT en un FAILOVER



  • Hola, buenos días.

    Tenía una pequeña consulta, acabo de configurar un FAILOVER, con el gateway group y demás, y va todo correcto. Pero uso mucho el NAT, y no me funciona. He revisado por que gateway estoy saliendo, y he puesto una regla para esa interfaz, pero no funciona, y no se si tengo que hacer algo en concreto para que funcione, o si hay algún modo de unificar las reglas no por interfaz, sino por el grupo de gateways.

    Gracias.


  • Rebel Alliance

    Pero uso mucho el NAT, y no me funciona. He revisado por que gateway estoy saliendo, y he puesto una regla para esa interfaz, pero no funciona,

    Podrias explayarte un poco mas acerca de Como ? tienes el NAT ?

    Estas hablando de "outbound NAT" ? Lo tienes en Manual o Automatico ?

    Unas capturas de pantalla de tus Reglas de FW y NAT ayudarian….

    Personalmente utilizo NAT + Failover (4 WANs) desde hace mas de 1 año sin problemas...



  • Perdón por tardar en responder.

    La NAT  los tengo en PORT FORWARD, no lo tengo en outbound NAT, es más, no se que es, alomejor es lo que tenia que poner cuando digo:

    @Dismuntel:

    no se si tengo que hacer algo en concreto para que funcione, o si hay algún modo de unificar las reglas no por interfaz, sino por el grupo de gateways.

    Respecto a las imagenes:

    Perdón por recortarlas, pero ocupaban demasiado.

    Las rules de firewall de las interfaces gateway son las que se crean por defecto al hacer las redirecciones NAT

    No os extrañeis que halla una caída, estamos en un polígono en el que caen bastante las ADSL, pero esta comprobado que funcionan.

    ![GETAWAY GROUP.jpg](/public/imported_attachments/1/GETAWAY GROUP.jpg)
    ![GETAWAY GROUP.jpg_thumb](/public/imported_attachments/1/GETAWAY GROUP.jpg_thumb)





  • He hablado con mi ISP, y parece ser que mi pfsense esta permitiendo el acceso desde dentro a fuera, pero desde fuera a dentro no. No responde ni a ping, y por eso no responde a los puertos tampoco, pero no se exactamente desde donde habilitarlo.

    La conexión que me falla es una conexión similar a wimax, en la que tengo el ISP, que pasa por una antena receptora que tenemos, y de aquí al pfsense. Hemos comprobado que tengo conexión del ISP a la antena, pero a partir de la antena al pfsense se corta, porque rechaza la conexión.

    No se ya por donde tirar, iré probando, y si alguien tiene alguna propuesta será bien recibida.



  • No entiendo mucho el problema porque se están mezclando cuestiones.

    Respondo sobre la salida (NAT Outbound)

    En principio NAT Outbound hay que dejarlo en automático, sin nada. A menos que se tengan cosas que requieran tunear la salida (por ejemplo puertos estáticos para VoIP)

    Por las imágenes que posteas es evidente que una de las puertas o no funciona o no está bien monitoreada. Por tanto, lo primero a resolver es qué pasa con la puerta que parece no funcionar. Revisa topología (asignaciones de IPs) y ping de monitorización. Sobre el ping, poner una IP pública de monitoreo que sepas que contesta a ping, a poder ser facilitada por el ISP (no sea que el destinatario lo interprete como un ataque). Si tienes IP fija en el equipo de conexión a internet va bien poner esta.

    Tras asegurarse que sales por los dos lados después viene el tema de los servicios publicados en internet (NAT Port Forward). Si el equipo de conexión a internet está en modo enrutador tendrás que entrar en él y hacer NAT Port Forward (abrir puertos) contra la WAN correspondiente de pfSense. Si está en modo puente (bridge) entonces ese paso no hay que hacerlo pues es la WAN de pfSense quien tiene la IP pública.

    Y finalmente tendrás que hacer el NAT Port Forward en pfSense hacia el equipo que tengas en la LAN para dar el servicio a internet.

    Que pfSense no responda a ping es normal. Es así por defecto, pues no está autorizado el tráfico entrante ICMP en las WAN. Si quieres que tus WAN respondan a ping, tracert… hay que poner una regla en la WAN para que permite el tráfico entrante en protocolo ICMP.

    Saludos,

    Josep Pujadas-Jubany



  • Olvidé decir que una cosa es hacer agrupamiento de puertas con failover hacia afuera y otra balanceo de carga con failover hacia adentro.

    Si lo que pretendes es salir hacia afuera con agrupamiento de puertas, ningún problema.

    Si lo que quieres es que tus servicios en internet se vean de forma indistinta de más de una IP pfSense te lo permite (balanceo de carga) pero necesitas además un proveedor que te gestione tus DNS con más de una IP, al estilo de "los grandes":

    ~$ nslookup www.google.com
    Server:		127.0.0.1
    Address:	127.0.0.1#53
    
    Non-authoritative answer:
    Name:	www.google.com
    Address: 173.194.35.147
    Name:	www.google.com
    Address: 173.194.35.146
    Name:	www.google.com
    Address: 173.194.35.148
    Name:	www.google.com
    Address: 173.194.35.145
    Name:	www.google.com
    Address: 173.194.35.144
    

    Saludos,

    Josep Pujadas-Jubany



  • Hola de nuevo, gracias por la información Josep, ya entiendo un poco más.

    Según he estado mirando, he comprobado que realmente el NAT si que se hace, desde un servidor dedicado he hecho un nc (linux), y me ha conectado, sin problemas. Parece ser que el problema es que desde dentro de la red entrando por la ip publica no se obtiene respuesta. Es decir, digamos que tengo un equipo con 192.168.1.2 con el gateway en el pfsense 192.168.1.1, cuya WAN es la ip pública (porque está en modo bridge). A la hora de hacer un acceso a un puerto con NAT en este equipo a la IP PUBLICA, no obtiene respuesta, pero desde el exterior si.

    No tiene más importancia, porque realmente el NAT si que se hace, que hasta ahora pensaba que no, pero estaría bien que funcionara el acceso desde la misma red por ip pública, para comprobar que realmente se ha hecho, y no tener que acceder a otro equipo externo. Esto con el pfsense solo con la 1 WAN si que me funcionaba, pero desde que hice el failover ya no.

    Gracias de nuevo.

    Saludos!



  • Arriba, en Documentación

    Ver (con el mismo nombre) servidores publicados en Internet
    System - Advanced - Firewall/NAT - Disable NAT Reflection (no si se superan 500 puertos o se usa NAT 1:1)
    Services - DNS Forwarder - Host Overrides (método recomendado, split DNS)
    http://forum.pfsense.org/index.php/topic,43113.msg223228.html#msg223228
    http://forum.pfsense.org/index.php/topic,33289.msg173400.html#msg173400

    Si antes funcionaba, pon una regla en LAN en que el destino sea la IP y asegure que siempre se sale por la misma puerta, no por el agrupamiento de puertas.



  • Hola, podrias por favor checar ..

    1. Revisar que efectivamente en las reglas del firewall en la parte de las WANs exista la regla de entrada que debio haber creado el sistema cuando se creo el portforwarding . estas se crean de manera automatica si es que asi se solicito.

    2. En relacion a que si pfsense responde pings o no , esto se debe de configurar en las reglas del firewall directamente, en la interface que esta viendo hacia internet ( WAN ).


Log in to reply