Sobre IP Masquerade



  • Saludos llevo siguiendo tu foro hace poco y veo que podrian ayudarme con un problema que tengo:

    Instale un pfsense con 2 wan (multiwan) y 2 lan, el detalle es que por cosas de la vida tengo un sistema antiguo que para funcionar amarra a ips, una red esta en el segmento 192.168.4.0/24 y la otra en 192.168.10.0/24 (son mis dos lan), el tema es que necesito que algunos equipos de la red 192.168.4.0 puedan acceder al sistema que esta en la red 192.168.10.0 pero que al momento de conectarse a dicha red, lo hagan con una ip de ese segmento (192.168.10.0) para que pueda funcionar el sistema. Cada red esta conectada a una interfaz distinta del pfsense.

    Ejemplo:
    la ip 192.168.4.30 al conectarse al sistema lo haga con la ip 192.168.10.30, me comentaron que si es posible hacerlo con pfsense (que cambie de ip al momento de conectarse a la otra red), pero la verdad no encuentro aun la forma de hacerlo.

    Agradeceria mucho si alguno me pueda ayudar con esto

    Muchas gracias de antemano por la atencion prestada.

    Woolder Ruiz
    Lima - Peru


  • Rebel Alliance

    Necesitas que Cada IP de la Red 192.168.4.x que se conecte al sistema que está en la otra red(192.168.10.x) sea diferente ? o puede ser una unica IP del segmento 192.168.10.x ?

    Si no es necesario que sean diferentes, pues, activas el NAT "manual" (Firewall –> NAT --> Outbound :  Manual Outbound NAT rule generation) y creas una regla de NAT desde la Red 192.168.4.x a 192.168.168.10.x



  • Hola gracias por responder.
    No necesito que todas las ips del segmento 192.168.4.0 cambien… solo algunas (hablamos de unas 10 ip como maximo).

    Saludos

    Woolder


  • Rebel Alliance

    A ver si me explico mejor:

    Si haces NAT de 192.168.4.x a 192.168.10.x todas las "peticiones" al sistema de la red 192.168.10.x vendran de la misma IP que en este caso sera la IP que tiene la interface del pfSense ejemplo:

    PC con IP 192.168.4.25

    Interface del pfSense IP 192.168.10.1

    Sistema IP 192.168.10.254

    Al hacer el NAT lo que venga de la PC 4.25, el sitema (10.254) lo ve venir de la 10.1, lo mismo pasa para cualquier PC de la red 192.168.4.x, a Todas las va a ver como "viniendo" de la 192.168.10.1, si tu sistema no tiene problema con multiples conexiones de la misma IP, pues con el NAT lo tendrias resuelto ;)



  • Hola gracias por responder, lo que necesito es que se haga la traduccion de ip a una del segmento al cual esta accediendo, el sistema es bien restrictivo. Habilitando el trafico entre lans puedo acceder los recursos de la otra red pero mantengo mi ip original y no funciona el sistema

    necesito cambiar la ip 192.168.4.20 a 192.168.10.xx

    Gracias



  • 1. Configura NAT Outbound manual, teniendo en cuenta que tienes que tener todas las combinaciones WAN/LAN que necesites.

    http://www.bellera.cat/josep/pfsense/nat_cs.html#outbound

    Ojo si tienes IPsec funcionando porque entonces hay que añadir también a mano y por delante del resto de NATs lo que necesita IPsec:

    WAN   	192.168.10.0/24 	500 	* 	500 	* 	500 	NO	IPsec isakmp  	
    WAN  	127.0.0.0/8             500 	* 	500 	* 	500 	NO	IPsec isakmp
    
    (siendo 192.168.10.0/24 la subred LAN)
    

    2. Añade las combinaciones LAN1/LAN2 que precises, teniendo en cuenta que la interfase de salida es la de tu LAN que recibe las peticiones. Con esto los equipos en LAN2 serán vistos con la IP de tu LAN1.

    LAN1 192.168.10.1 <–- LAN2 192.168.4.1

    LAN1   	192.168.4.20/32 	* 	* 	* 	* 	* 	NO
    

    Esto hará que tu equipo 192.168.4.20 vaya por LAN1 siendo NATeado. Se verán las peticiones como si procedieran de 192.168.10.1.

    Espero haberme explicado y no estar en un error, pues no he podido probarlo…

    Saludos,

    Josep Pujadas-Jubany


  • Rebel Alliance

    Bellera

    En la version 2.0 (y superiores) las reglas de NAT para IPSEC se crean de forma automatica, al pasar de NAT automatico a NAT manual, para todas las interfaces tipo WAN (con un GW definido).



  • En la version 2.0 (y superiores) las reglas de NAT para IPSEC se crean de forma automatica, al pasar de NAT automatico a NAT manual, para todas las interfaces tipo WAN (con un GW definido).

    Pues ayer estuve precisamente con esto en una 2.0 y no lo hace. Hay que decírselo…

    Si está en modo automático sí funciona. Que no sea que cuando trasteas deja de hacerlo. Pues lo hice en un cortafuegos con bastante historia...

    Saludos,

    Josep Pujadas-Jubany



  • Sres, lo solucione gracias por sus sugerencias, al final lo que hice es un vpn entre ambas redes lan usando PPTP, el cual me permite poner la ip que tendra el equipo una vez conectado a la vpn, con eso funciono mi sistema.

    Muchas gracias a todos.

    Saludos

    Woolder
    Lima - Peru


Locked