[RISOLTO] Problema con NAT da LAN su IP wan (nat reflection)



  • Ciao a tutti,
    sono un neo utilizzatore di PFsense e, sebbene stia funzionanto quasi tutto alla perfezione, ho un problema come da oggetto che cerco di descrivere meglio sperando in un Vostro consiglio.

    Ho un PFsense con 2 schede (LAN e WAN)
    in lan indirizzi privati (10.0.0.x)
    in WAN indirizzi pubblici (85.y.y.x)

    In LAN alcuni server che espongono servizi su Internet (www, SMTP… le solite cose) per i quali ho un IP pubblico ciascuno configurato come IPAlias sulla wan e nattato 1:1 sul rispettivo indirizzo privato in LAN

    ad esempio
    85.y.y.5 va su 10.0.0.5
    85.y.y.6 va su 10.0.0.6
    e così via.

    i servizi hostati sui server in LAN vengono risolti tramite DNS (es: www.xyz.com risolve 85.y.y.5)
    fin qui tutto bene a parte un problema:

    alcuni servizi devono "parlare" tra loro e le chiamate si risolvono tramite URL.

    accade quindi che se dal server 10.0.0.6 eseguo una GET a www.xyz.it, viene risolto come 85.y.y.5 ma questo indirizzo dalla lan non viene raggiunto. Funziona se la GET viene fatta su 10.0.0.5

    Non riesco a capire come ovviare al problema però.
    In una situazione precedente, in cui avevo un firewall gestito (credo un cisco ASA) le macchine avevano configurato il loro IP pubblico sulle rispettive NIC, posso eventualmente ottenere questo risultato senza il NAT?
    L'unica soluzione è attivare una risoluzione dei DNS diversa in base alla provenienza della query (indirizzi locali per richeiste locali) ma questo complica la configurazione del bind e vorrei evitare, come vorrei evitare di dover inserire i servizi necessari nei file hosts.

    Spero di aver illustrato il mio problema in modo chiaro!
    Grazie in anticipo anche per la sola lettura!



  • Purtroppo pfSense non supporta il NAT reflection in caso di NAT 1:1, quindi hai queste possibilità (che mi vengono in mente):

    • modificare i DNS (ma l'hai già scartato)
    • modificare il NAT outbound degli altri PC
    • rimuovere il NAT 1:1 e usare il port-forwarding + NAT Outbound


  • Ciao Gabri.91,

    grazie per la risposta, è stata "illuminante".
    Non sapevo si chiamasse NAT reflection.

    In effetti però PFsense lo supporta (con qualche limitazione su UDP mi è sembrato di capire), ho fatto i seguenti passi per abilitarlo:

    System -> advanced -> firewall / NAT

    dove ho disabilitato, nella sezione Network Address Traslation
    Disable NAT REflection for port forwards
    Disable NAT Reflection for 1:! NAT

    e attivato
    Automatically create outbound NAT rules which assist inbound NAT rules that direct traffic back out to the same subnet it originated from.

    Leggendo altri thread se3mbrava necessario anche disattivare, in interfaces -> wan
    l'opzione Block private network
    ma funziona anche con l'opzione attiva.

    Grazie per il prezioso aiuto.



  • Infatti così non hai attivato il NAT Reflection :D
    Praticamente, visto che non è ben supportato il reflection per l'1:1, pfSense crea automaticamente delle regole di NAT outbound per redirigere il traffico ma senza reflection, cioè quello che avevo segnato al 2° punto..



  • Non sono sicuro di capire, ho sempre il NAT 1:1 e nelle opzioni parla proprio di nat reflection.
    Comunque, grazie al tuo aiuto, ho risolto.
    Grazie 1000  ;)


Log in to reply