Problema con nat creo
-
Hola escribo el siguiente hilo debido a que tengo el siguiente problema con especificamente el servidor de correo, pero creo que es debido al nat del pfsense. explico el problema.
Mi ISP me asigno el un rango wan 201.248.xxx.xxx / 30 el cual corresponde a mi ip wan y la que esta utilizando el pfsense. la otra ip es simplente mi GW.
Ahora adicionalmente el me entrega otro segmento 201.248.xxx.xxx / 29 la cual tiene 6 ip mas. de las cual cree otra interfaz en el pfsense a la que llame dmz en la cual uso la primera ip de este rango en esa interfaz y las restantes las uso en servidores con servicios publicos (pag web, correo, ftp, etc). el problema actual es el siguiente. en mi dns tengo mi correo apuntando a una direccion del rango con mascara 29 la cual de afuera responde bien y creo que no tengo problemas de ningun tipo con el dns. pero estado recibiendo el siguiente mensaje Client host rejected: cannot find your hostname, revisando el log me doy cuenta que este mensaje los recibo debido a que los correos estan saliendo no con la ip que estan en la red de mascara 29. si con la ip principal que corresponde a la mascara 30.
no se si hay alguna opcion en el pfsense no enmascare las ip publicas que estan dentro de esa red con su principal. ya que recibo correos de cualquier dominio de forma perfecta, el problemas es para enviar algunos domios en particular los cuale realizan la comprobacion de que si el dominio de donde se envio el correo corresponde a la ip original y me aparece otra ip que no es la que esta en mi mx declado.=<ejemplo@dominio.externo, 450="" relay="mail.dominio.externo[200.11.138.127]:25," delay="0.22," delays="0.11/0.01/0.02/0.08," dsn="4.7.1," status="deferred" (host="" mail.dominio.externo[200.11.138.127]="" said:="" 4.7.1="" client="" host="" rejected:="" cannot="" find="" your="" hostname,="" [201.248.xxx.xx]="" (in="" reply="" to="" rcpt="" command))<br="">en la ultima linea especificamente aqui , [201.248.xxx.xx] deberia aparecer la ip de mi mx y aparece la del pfsense</ejemplo@dominio.externo,>
-
En primer lugar, para tener servicios como los que dices en internet no es necesario que los servidores tengan ips públicas. Es más, es preferible que sean privadas y pfSense haga NAT entrante (NAT Port Forward) de los servicios.
Pero si lo necesitas (por ejemplo, porque son servidores que están así, tú no los mantienes y no puedes cambiarlo) lo más recomendable es el siguiente ejemplo:
Subred WAN 192.0.2.128/30
Puerta ISP 192.0.2.129
IP de WAN 192.0.2.130Nueva tarjeta OPT1
Subred OPT1 192.0.3.0/26
IP OPT1 192.0.3.1/26
Equipos en OPT1 de 192.0.3.2 a 192.0.3.62 con puerta 192.0.3.1Si con el juego de IPs que tienes no puedes hacer esto estarás obligado a algo semejante, consistente en hacer bridge entre WAN y OPT1. Entonces en OPT1 podrás colgar equipos que tengan la puerta del ISP.
¿Cómo hacer el brigde?
http://gutl.jovenclub.cu/wiki/tutoriales/pfsense-bridgeTras escribir todo esto también se me ocurre que puedes emplear alias de IPs para WAN y hacer NAT Port Forward o NAT 1:1 si montas los equipos en el lado LAN con IPs privadas.
¡Suerte!
Josep Pujadas-Jubany
-
Gracias Jose, la verdad estaba revisando a cada momento para ver si me respondias :-), tenia pensado lo de hacer el bridge pero me toca modificar unas vlan que pasan por esa interfaz y creo que no es lo mas recomendable por la configuracion actual que tengo. Creo que montar la virtual ip seria lo mas sencillo para realizar el cambio, pero deberia de cambiar igualmente la direccion del servidor de correo y crear un rango privado para la DMZ. Ahora no tendria problemas en publicar todo el segmento de la mascara 29 con virtual ip ? es que me confundi un poco con la configuracion que me entrego el ISP, ya que siempre me daban mis ip publicas directamente y no dos rangos :(. de todas formas dejame probar y estoy avisando.
saludos y muchas gracias