Ip públicas dentro de la red



  • buenas noches

    por favor alguien me puede ayudar guiándome con la siguiente configuración.
    tengo servidores dentro de mi red privada que usan ip publicas directamente no en modo nat forward
    como podria hacer esto ya que ya que a estos servidores se accesan externamente
    si pongo la ip publica en el servidor y voy a www.cualesmiip.com si me muestra
    que salgo por la ip publica correcta el problema
    es que no tengo ni ping ni acceso externamente a esa ip

    gracias por su ayuda

    saludos cordiales,

    Leandro Segovia



  • El problema es que no tengo ni ping ni acceso externamente a esa ip.

    Y ¿para qué lo quieres?

    Si hiciste NAT Port Forward de los servicios a publicar en internet y ya te funcionan…

    Ver (con el mismo nombre) servidores publicados en Internet
    http://forum.pfsense.org/index.php/topic,23409.0.html

    ¿Igual lo que querías era esto?



  • Buenas dias
    muchas gracias por tu pronta respuesta

    por ahi me explique mal lo que necesito es usar publicas internamente dentro de mi red sin
    usar port forward ni nat 1:1

    osea poder utilizar las publicas puras directamente en mi red interna asignar ip publicas a los clientes que lo soliciten

    Saludos Coridiales,
    Leandro Segovia



  • Piensa bien qué quieres hacer. En una misma LAN no es seguro tener IPs privadas y públicas.

    http://doc.pfsense.org/index.php/Can_I_have_public_and_private_IPs_on_my_LAN_interface%3F



  • Buen dia

    te comento como proveedor de servicios de Internet si un cliente solicita una ip publica debo de entregarla pura
    sin restricción de puertos lo que el haga con esa ip publica ya es cuestión del cliente ya que la usan para diferentes cuestiones
    ya sean camaras servidores o cualquier otro servicio

    lo que necesito saber como seria la configuracion de pfsense para este caso
    te pongo un ejemplo

    internet–---pfsense-ip-10.10.10.1--------control-banda-ip-10.10.10.2-------switch-vlans1-186.42.x.0/24--clientes-186.42.181.2/24

    la idea esque el cliente tenga su propia ip publica

    es posible hacer esto ?
    te comento algo adicional si le pongo la ip publica al cliente y pongo www.cualesmiip.com me muestra la ip publica del cliente
    eso quiere decir que si esta saliendo con la ip publica asignada
    el inconveniente es cuando quiero entrar a esa ip publica remotamente no ingresa no me hace ni ping
    es como que en el pfsense se quedara la ip de ingreso

    Saludos Cordiales,
    Leandro Segovia



  • @leandro1979:

    Si un cliente solicita una ip publica debo de entregarla pura sin restricción de puertos lo que el haga con esa ip publica ya es cuestión del cliente ya que la usan para diferentes cuestiones ya sean camaras servidores o cualquier otro servicio.

    Entonces, ¿por qué pasas por pfSense?

    ¿Qué quieres que te haga pfSense con estos clientes?



  • te explico como esta mi red

    router-proveedor-190.95.232.233/30
    pfsense-WAN-190.95.232.234/30
    pfsense-lan-10.10.1.1/30
    control-banda-ETHER1-10.10.1.2/30
    control-banda-ETHER2-10.10.10.1/30
    Mikrotit-distribuidor-Ether1-10.10.10.2/30
    mikrotik-distribuidor-ether5-182.42.181.254/24-segmento publico
    mikrotik-distribuidor-ether5-172.16.1.254/24-segmento privado

    como puedes ver mi proveedor me entrega un pool /24 de ip publicas enrutado sobre la ip publica 190.95.232.234 para que yo use la red publica
    internamente como yo quiera distribuirla asi yo puedo hace varios segmentos y dristribuir mi  pool como yo crea conveniente
    osea el pool publico esta dentro de mi red interna no en el router de mi proveedor.
    paso por pfsence para que el ospf se pueda redistribuir y asi poder llegar a cualquier ip publica dentro de mi red
    y asi esta bien porque desde pfsence puedo hacer ping a cualquier publica interna eso quiere decir que el ospf esta funcionando correctamente
    el problema como te cuento esque no tengo ping a ninguna ip publica desde afuera de mi red
    un ejemplo
    intenta con esta ip publica 186.5.53.30 esta es una ip de un servidor remoto con windows

    gracias por tu ayuda

    saludos cordiales,
    leandro segovia



  • tracert 186.5.53.30
    
    Traza a la dirección host-186-5-53-30.uio.telconet.net [186.5.53.30]
    sobre un máximo de 30 saltos:
    
      1    <1 ms    <1 ms    <1 ms  
      2     2 ms     2 ms     1 ms  10.13.32.1
      3     2 ms     2 ms     2 ms  10.9.1.58
      4     3 ms     2 ms     2 ms  10.9.1.50
      5     2 ms     2 ms     2 ms  10.9.1.42
      6     3 ms     3 ms     2 ms  217.111.216.198
      7     4 ms     3 ms     3 ms  212.74.67.117
      8    33 ms    35 ms    34 ms  te0-0-0-0-pr2.PAR.router.colt.net [212.74.88.161]
      9    33 ms    35 ms    35 ms  80.157.129.249
     10    31 ms    82 ms    31 ms  217.239.38.114
     11    32 ms    31 ms    31 ms  213.140.52.173
     12   111 ms   110 ms   110 ms  Xe7-1-2-0-grtwaseq2.red.telefonica-wholesale.net [94.142.126.81]
     13   145 ms   145 ms   145 ms  Xe4-1-2-0-grtmiana3.red.telefonica-wholesale.net [94.142.123.161]
     14   161 ms   142 ms   142 ms  176.52.251.201
     15   241 ms   241 ms   241 ms  TELCONET-3-1-0-0-gramiana4.red.telefonica-wholesale.net [84.16.11.42]
     16     *        *        *     Tiempo de espera agotado para esta solicitud.
     17     *        *        *     Tiempo de espera agotado para esta solicitud.
     18     *        *        *     Tiempo de espera agotado para esta solicitud.
     19     *        *        *     Tiempo de espera agotado para esta solicitud.
     20     *        *        *     Tiempo de espera agotado para esta solicitud.
     21   244 ms   243 ms   243 ms  host-190-95-232-54.uio.telconet.net [190.95.232.54]
     22     *        *        *     Tiempo de espera agotado para esta solicitud.
     23     *        *        *     Tiempo de espera agotado para esta solicitud.
     24     *        *        *     Tiempo de espera agotado para esta solicitud.
     25     *        *        *     Tiempo de espera agotado para esta solicitud.
     26     *        *        *     Tiempo de espera agotado para esta solicitud.
     27     *        *        *     Tiempo de espera agotado para esta solicitud.
     28     *        *        *     Tiempo de espera agotado para esta solicitud.
     29     *        *        *     Tiempo de espera agotado para esta solicitud.
     30     *        *        *     Tiempo de espera agotado para esta solicitud.
    
    Traza completa.
    


  • Buen dia

    no se si tuviste oportunidad de ver el diagrama mas o menos como esta la red interna
    tengo tanto publicas como privadas
    cuando usaba mikroik si podia llegar a las publicas internas solo agregando l ospf pero migre a pfsense y ya no pude acceder
    desde pfsence si hago ping a mis publicas internas
    es como que pfsence las trabara

    una consulta como creo una regla que diga que cierto pool de ip tenga un gateway en especifico

    saludos
    leandro



  • A ver, por defecto, pfSense es un enrutador LAN/WAN (subredes distintas).

    Eso quiere decir que, por defecto:

    • El tráfico de LAN puede pasar a WAN con la regla default inicial.
    • Que con las peticiones de LAN se hace hace NAT Outbound. Es decir, que son vistas con IP:puerto de WAN.
    • Que no se admite tráfico de WAN a LAN.

    A partir de ahí puedes configurar pfSense como quieras, en modo enrutador (con o sin NAT) o en modo puente (bridge).

    http://forum.pfsense.org/index.php/topic,56806.msg303230.html#msg303230

    Quizás deberías revisar cómo estaban los Mikrotik.



  • @leandro1979:

    Como creo una regla que diga que cierto pool de ip tenga un gateway en especifico.

    Si trabajas en modo enrutador…

    Si el pool corresponde a una subred definida en pfSense no hay que poner rutas.

    Consulta Diagnostics: Routing tables para ver las rutas autodefinidas.

    Maneja System: Gateways para crear puertas y enrutamientos adicionales.

    Ajusta Firewall: NAT: Outbound a tus necesidades. Entiendo que hay conexiones que no deseas NATear.



  • como estas buen dia
    después de tanto intentar me puse a ver detalladamente como funciona pfsense y el problema era
    que el firewall por defecto bloquea todo lo que entra al router
    en este caso lo unco que hice fue crear una regla de destino que acepte mi pool publico
    y listo ya tuve acceso externo a mis ip publicas

    comprubalo porfavor ip: 186.42.181.70

    saludos cordiales,
    leandro segovia



  • Sin problemas…

    traceroute 186.42.181.70
    traceroute to 186.42.181.70 (186.42.181.70), 30 hops max, 60 byte packets
     1  1.454 ms  1.595 ms  1.939 ms
     2  254.Red-80-58-67.staticIP.rima-tde.net (80.58.67.254)  38.190 ms  39.777 ms  41.162 ms
     3  20.Red-80-58-32.staticIP.rima-tde.net (80.58.32.20)  43.680 ms  45.116 ms  46.559 ms
     4  et-1-0-0-0-100-GRTBCNES1.red.telefonica-wholesale.net (94.142.103.201)  50.550 ms  50.556 ms  67.263 ms
     5  213.140.49.42 (213.140.49.42)  129.589 ms Xe9-0-0-0-grtlontc1.red.telefonica-wholesale.net (84.16.15.150)  86.751 ms Xe10-0-0-0-grtlontc1.red.telefonica-wholesale.net (84.16.13.122)  89.934 ms
     6  Xe6-1-0-0-grtnycpt2.red.telefonica-wholesale.net (213.140.43.149)  239.493 ms Xe3-0-2-0-grtnycpt3.red.telefonica-wholesale.net (213.140.38.221)  141.880 ms Xe4-1-3-0-grtnycpt2.red.telefonica-wholesale.net (94.142.116.193)  144.369 ms
     7  Xe9-3-0-0-grtpaopx2.red.telefonica-wholesale.net (94.142.118.186)  210.470 ms  214.075 ms  213.834 ms
     8  te-4-2.car1.SanJose2.Level3.net (4.59.0.225)  221.462 ms  219.870 ms  225.153 ms
     9  vlan70.csw2.SanJose1.Level3.net (4.69.152.126)  318.363 ms  318.816 ms  319.519 ms
    10  ae-71-71.ebr1.SanJose1.Level3.net (4.69.153.5)  325.826 ms  327.875 ms  332.057 ms
    11  ae-2-2.ebr2.NewYork1.Level3.net (4.69.135.186)  331.620 ms  334.510 ms  312.699 ms
    12  ae-82-82.csw3.NewYork1.Level3.net (4.69.148.42)  306.151 ms  309.370 ms ae-92-92.csw4.NewYork1.Level3.net (4.69.148.46)  309.630 ms
    13  ae-3-80.edge1.NewYork1.Level3.net (4.69.155.142)  317.008 ms ae-4-90.edge1.NewYork1.Level3.net (4.69.155.206)  311.025 ms ae-1-60.edge1.NewYork1.Level3.net (4.69.155.14)  317.496 ms
    14  CORPORACION.edge1.NewYork1.Level3.net (4.78.132.202)  314.686 ms  317.470 ms *
    15  190.152.252.209 (190.152.252.209)  305.401 ms  305.729 ms  313.230 ms
    16  190.152.252.138 (190.152.252.138)  358.029 ms  358.034 ms  358.343 ms
    17  190.152.252.154 (190.152.252.154)  322.784 ms  304.796 ms  301.445 ms
    18  host-190-95-232-234.uio.telconet.net (190.95.232.234)  307.749 ms  314.389 ms  310.308 ms
    19  host-190-95-232-234.uio.telconet.net (190.95.232.234)  306.368 ms  306.968 ms  309.026 ms
    20  * * *
    21  * * *
    22  186.42.181.70 (186.42.181.70)  321.284 ms  318.934 ms  320.713 ms
    


  • Muchisimas gracias por tu ayuda
    se podria poner una seccion de ip publicas dentro de una red

    saludos cordiales,
    leandro segovia



  • como puedes ver mi proveedor me entrega un pool /24 de ip publicas enrutado sobre la ip publica 190.95.232.234 para que yo use la red publica
    internamente como yo quiera distribuirla asi yo puedo hace varios segmentos y dristribuir mi  pool como yo crea conveniente
    osea el pool publico esta dentro de mi red interna no en el router de mi proveedor.
    paso por pfsence para que el ospf se pueda redistribuir y asi poder llegar a cualquier ip publica dentro de mi red

    Hola Leandro,

    Quiero montar algo similar a tu solución, también quiero pasar unas IPs públicas por OSPF a un MikroTik, ¿me puedes explicar como realizaste dicha configuración?

    Me gustaría usar el pfsense para bloquear algunas conexiones, ¿lo podré realizar a pesar de usar OSPF?