Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Carp y nat

    Scheduled Pinned Locked Moved Español
    6 Posts 2 Posters 1.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      m4k1
      last edited by

      Hola

      He creado un carp entre 2 pfsense en 2 esxi todo funciona correctamente, navegación correcta, si apago un pfsense hace el failover bien, se replica todo correcto, dhcp correcto, excepto el nat.

      Mas o menos las estructura de red es esta:

      Router ADSL x.x.10.254 (he puesto como ip dmz la ip wan del carp)

      esxi1 (pfsense1)                                                  esxi2 (pfsense2)
      WAN  x.x.10.251              WANCARP x.x.10.250        WAN x.x.10.252
      SYNC x.x.35.251                                                  SYNC x.x.35.252
      LAN  x.x.30.251              LANCARP x.x.30.250          LAN x.x.30.252

      Servidor al que quiero conectar por ssh x.x.30.3 por ejemplo

      Todo esta pinchado a switch gestionable, pero las vlans las manejan los esxi por lo que para los pfsense esto es tranparente.
      he permitido las opciones de seguridad en los vswtiches.

      Si hago nat poniendo como default gateway en la maquina a la que me quiero conectar desde fuera la ip de un pfsense ignorando la vip del carp y en el router adsl pongo como dmz la ip wan de este pfsense funciona, pero si pongo la vip ya no se puede conectar desde el exterior.

      creo que el problema esta en Nat outbound, pero no doy con la solución

      alguien ha creado algún failover usando nat en una situación parecida.

      Un saludo, muchas gracias de antemano.

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        ¡Hola!

        Si estás hablando de

        conectar desde el exterior

        esto depende de NAT Port Forward, no de NAT Outbound

        Y si tienes dos IPs públicas, creo que deberías marcar No XMLRPC Sync en los NAT Port Forward que tengas.

        1 Reply Last reply Reply Quote 0
        • M
          m4k1
          last edited by

          Hola

          Muchas gracias por la aclaración.

          no tengo 2 ips publicas, solo una.

          voy a probarlo y te cuento.

          Un saludo.

          1 Reply Last reply Reply Quote 0
          • M
            m4k1
            last edited by

            Hola

            Al ir a mirarlo he visto que pone esta explicación

            No XMLRPC Sync     HINT: This prevents the rule from automatically syncing to other CARP members.

            No es lo que necesito, con esto sigo en la misma situación que que solo uso uno de los pfsense para salir, si cae ese dejo de dar servicio.

            Todos los nat los tengo creados como NAT Port Forward sincronizándose entre los dos pfsense.

            Lo que necesito, es que al hacer nat lleguen las peticiones por la ip carp de la wan y haga el nat hacia la lan y que luego los servidores respondan por la ip carp de la lan, que es la que deberían tener como default gateway.

            Un saludo.

            1 Reply Last reply Reply Quote 0
            • belleraB
              bellera
              last edited by

              Leí por ahí que:

              • NAT Outbound -> Para que los clientes en LAN tengan NAT saliente hay que ponerlo en manual y ajustar la regla para que en lugar de emplear WAN IP se emplee WAN CARP IP.
                Interface WAN, Source Network LAN, Destination any, Translation Address WAN CARP IP.

              • NAT Port Forward -> Lo mismo para el tráfico entrante autorizado. Interface WAN, External address WAN CARP IP… Revisar reglas asociadas en WAN.

              1 Reply Last reply Reply Quote 0
              • M
                m4k1
                last edited by

                era esooo :)

                no estaba poniendo en el port fordward que saliese por el carp, no había visto esa opción

                al hacer las dos cosas a la vez el outbound y el port fordward a través del carp "tiene todo el sentido del mundo" ha funcionado.

                Por si le sirve a alguien pongo uno de los ejemplos de como lo he dejado:
                –----------------------------------------------------------------------------------
                Port Fordward
                If   Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports Description
                WAN   TCP/UDP * * x.x.10.250 22 (SSH) x.x.30.3 22 (SSH) NAT SSH a x.x.30.3
                –----------------------------------------------------------------------------------

                Outbound {Manual Outbound Nat rule generation (AON - Advanced Outbound NAT)}
                Interface Source Source Port Destination         Destination Port     NAT Address NAT Port Static Port   Description
                WAN x.x.30.0/24 *                *              *                     x.x.10.250 *         NO              Auto created rule for LAN to WAN
                –----------------------------------------------------------------------------------

                x.x.30.3 (servidor al que quiero acceder desde el exterior)
                x.x.30.0/24 (LAN)
                x.x.10.250 (IP carp interfaz wan)

                Por fin tengo alta disponibilidad hasta en el nat.
                Muchas gracias por la ayuda :)

                un saludo.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.