Carp y nat



  • Hola

    He creado un carp entre 2 pfsense en 2 esxi todo funciona correctamente, navegación correcta, si apago un pfsense hace el failover bien, se replica todo correcto, dhcp correcto, excepto el nat.

    Mas o menos las estructura de red es esta:

    Router ADSL x.x.10.254 (he puesto como ip dmz la ip wan del carp)

    esxi1 (pfsense1)                                                  esxi2 (pfsense2)
    WAN  x.x.10.251              WANCARP x.x.10.250        WAN x.x.10.252
    SYNC x.x.35.251                                                  SYNC x.x.35.252
    LAN  x.x.30.251              LANCARP x.x.30.250          LAN x.x.30.252

    Servidor al que quiero conectar por ssh x.x.30.3 por ejemplo

    Todo esta pinchado a switch gestionable, pero las vlans las manejan los esxi por lo que para los pfsense esto es tranparente.
    he permitido las opciones de seguridad en los vswtiches.

    Si hago nat poniendo como default gateway en la maquina a la que me quiero conectar desde fuera la ip de un pfsense ignorando la vip del carp y en el router adsl pongo como dmz la ip wan de este pfsense funciona, pero si pongo la vip ya no se puede conectar desde el exterior.

    creo que el problema esta en Nat outbound, pero no doy con la solución

    alguien ha creado algún failover usando nat en una situación parecida.

    Un saludo, muchas gracias de antemano.



  • ¡Hola!

    Si estás hablando de

    conectar desde el exterior

    esto depende de NAT Port Forward, no de NAT Outbound

    Y si tienes dos IPs públicas, creo que deberías marcar No XMLRPC Sync en los NAT Port Forward que tengas.



  • Hola

    Muchas gracias por la aclaración.

    no tengo 2 ips publicas, solo una.

    voy a probarlo y te cuento.

    Un saludo.



  • Hola

    Al ir a mirarlo he visto que pone esta explicación

    No XMLRPC Sync     HINT: This prevents the rule from automatically syncing to other CARP members.

    No es lo que necesito, con esto sigo en la misma situación que que solo uso uno de los pfsense para salir, si cae ese dejo de dar servicio.

    Todos los nat los tengo creados como NAT Port Forward sincronizándose entre los dos pfsense.

    Lo que necesito, es que al hacer nat lleguen las peticiones por la ip carp de la wan y haga el nat hacia la lan y que luego los servidores respondan por la ip carp de la lan, que es la que deberían tener como default gateway.

    Un saludo.



  • Leí por ahí que:

    • NAT Outbound -> Para que los clientes en LAN tengan NAT saliente hay que ponerlo en manual y ajustar la regla para que en lugar de emplear WAN IP se emplee WAN CARP IP.
      Interface WAN, Source Network LAN, Destination any, Translation Address WAN CARP IP.

    • NAT Port Forward -> Lo mismo para el tráfico entrante autorizado. Interface WAN, External address WAN CARP IP… Revisar reglas asociadas en WAN.



  • era esooo :)

    no estaba poniendo en el port fordward que saliese por el carp, no había visto esa opción

    al hacer las dos cosas a la vez el outbound y el port fordward a través del carp "tiene todo el sentido del mundo" ha funcionado.

    Por si le sirve a alguien pongo uno de los ejemplos de como lo he dejado:
    –----------------------------------------------------------------------------------
    Port Fordward
    If   Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports Description
    WAN   TCP/UDP * * x.x.10.250 22 (SSH) x.x.30.3 22 (SSH) NAT SSH a x.x.30.3
    –----------------------------------------------------------------------------------

    Outbound {Manual Outbound Nat rule generation (AON - Advanced Outbound NAT)}
    Interface Source Source Port Destination         Destination Port     NAT Address NAT Port Static Port   Description
    WAN x.x.30.0/24 *                *              *                     x.x.10.250 *         NO              Auto created rule for LAN to WAN
    –----------------------------------------------------------------------------------

    x.x.30.3 (servidor al que quiero acceder desde el exterior)
    x.x.30.0/24 (LAN)
    x.x.10.250 (IP carp interfaz wan)

    Por fin tengo alta disponibilidad hasta en el nat.
    Muchas gracias por la ayuda :)

    un saludo.


Log in to reply