Multiple IP sull' interfaccia WAN



  • Salve a tutti, spero che ci sia un'anima pia che mi possa dare una mano a risolvere questo problema, perché sono 2 giorni che ci provo ma proprio non ci riesco.

    Allora il mio ISP(interbusiness) mi fornisce 8 indirizzi IP pubblici da a.b.c.232 a a.b.c.239
    Come al solito l'indirizzo a.b.c.232 e quello a.b.c.239 non sono utilizzabili
    L'indirizzo a.b.c.233 lo ho assegnato al mio router
    I restanti da a.b.c.234 a a.b.c.238 li vorrei far gestire al mio firewall con pfsense.
    La mia rete LAN è 192.168.1.0/24
    Il firewall ha indirizzo 192.168.1.254

    Quello che vorrei fare è la cosa seguente:
    Le macchine da indirizzo 192.168.1.001 - 192.168.1.020 escono in NAT con l'indirizzo a.b.c.234
    Le macchine da indirizzo 192.168.1.021 - 192.168.1.040 escono in NAT con l'indirizzo a.b.c.235
    Le macchine da indirizzo 192.168.1.041 - 192.168.1.060 escono in NAT con l'indirizzo a.b.c.236
    Le macchine da indirizzo 192.168.1.061 - 192.168.1.080 escono in NAT con l'indirizzo a.b.c.237
    Le macchine da indirizzo 192.168.1.081 - 192.168.1.100 escono in NAT con l'indirizzo a.b.c.238

    Le restanti macchine da 192.168.1.100 a 192.168.1.253 non hanno possibilità di uscire in NAT.

    –---------------------------------

    Quello che per ora ho fatto io è essermi creato i vari Virtual IP da a.b.c.234 a a.b.c.238 ma quando vado nella sezione Firewall->NAT-> Outbound e abilito il Manual Outbound NAT non riesco a capire cosa devo fare.


    Mille grazie a chiunque possa darmi una mano.
    Saluti



  • Ci son gia parecchi post in giro, molti dei quali miei … ma ecco di nuovo il tutto, ovviamente basta che cambi gli ip che ho usato con i tuoi altrimenti cercami su msn ... info@mascomputer.net:

    ti rimando ad un mio vecchio post http://forum.pfsense.org/index.php?PHPSESSID=4fee23a7dba273b87649a17ad5cba176&topic=2993.0

    il concetto è questo:

    Esempio:
      IP messi a disposizione delle fastweb 192.168.16.44/29 (immagino)

    192.168.16.44                  192.168.16.45                    192.168.16.46
          |                                |                                      |
          |                                |                                      |
          +–-------------------- +---------------------------+
                                            |
                                            |
                                      PFSENSE
                                            |
                                            |
          +---------------------- +---------------------------+
          |                                |                                      |
          |                                |                                      |
    SERVER A                    SERVER B                          SERVER C

    Poi dei creare un configurazione di questo tipo ... :

    [ INTERNET ]
          |
          |
    [Router –- tipicamente fastweb ti sgancia un cisco 1721 gia impostato con nat chiusa e un suo ip]
          |
          |
    [pFsense –- così configurato --- Lato WAN static con IP dell'interfaccia preso dal range ... per es. 192.168.16.44 e come default GW usi l'ip che ha il router]
    [pFsense –- così configurato --- Lato LAN come ti pare rispettando le subnet]

    Ora in pFsense dovrai creare tanti virtualIP quanti IP ti restano o meglio quanti ne vorrai usare per cui:
    Firewall –> Virtual IPs --> Add [ qui crei che ne so IP 192.168.16.44(SRV WEB) - IP 192.168.16.45(SRV XXX) - IP 192.168.16.46 - IP 192.168.16.47 ]
    Poi dei andare e configurare la NAT:
    prima di tutto vai in NAT 1:1 e li agg. le nat per cui in Ext IP usi i Virtual IP e in Int sub usi gli IP dei SRV interni.
    ovviamente devi creare le rules nel firewall per lasciare passare le porte nella WAN delle relative destinazioni (per cui 80 per http, 443 per hhtps … ecc)
    come altro consiglio posso darti quello di abilitare la nat evoluta (Enable advanced outbound NAT) così da differenziare gli ip in uscita in base alle subnet della tua rete interna.

    Ciao

    by Ma.S.Caos.-



  • Grazie mascaos per la risposta, ma non è quello che vorrei fare io.
    Io non ho nessun server all'interno della LAN che voglio pubblicare su internet con un NAT1:1
    Come ho scritto nel mio post iniziale vorrei che un range di PC sia "nattato" su internet con un certo IP pubblico, mentre un'altro insieme di PC sia "nattato" su internet con un'altro.

    Come hai scritto tu io ho creato i vari Virtual IP
    Ma è proprio quando vado  ad abilitare la "Enable advanced outbound NAT" che non mi funziona più niente, in pratica non avviene più nessun NAT all'esterno.

    Faccio un esempio della mia configurazione:

    ** Firewall –> Virtual IPs **

    ---------------1--------------------
    Firewall: Virtual IP Address: Edit
    Type : Other
    Interface : WAN
    IP Address(es)
    Type : Single 
    Address : a.b.c.234
    Description : Primo IP Pubblico
    ---------------2--------------------
    Firewall: Virtual IP Address: Edit
    Type : Other
    Interface : WAN
    IP Address(es)
    Type : Single 
    Address : a.b.c.235
    Description : Secondo IP Pubblico

    ** Firewall --> NAT --> Outbound **

    Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))

    ---------------1--------------------
    Interface : WAN
    Source
    Type : Network
    Address : 192.168.1.0/25
    Destination
    Type : Any
    Port : <blank>Traslation
    Address : a.b.c.234 (Primo IP Pubblico)
    Port : <blank>---------------2--------------------
    Interface : WAN
    Source
    Type : Network
    Address : 192.168.1.128/25
    Destination
    Type : Any
    Port : <blank>Traslation
    Address : a.b.c.235 (Secondo IP Pubblico)
    Port : <blank>---------------2--------------------

    ** Firewall --> Rules --> LAN **

    ---------------1--------------------
    Action : PASS
    Interface : LAN
    Protocol : any
    Source
    Type : Network
    Address : 192.168.1.0/25
    Destination
    Type : any
    ---------------2--------------------
    Action : PASS
    Interface : LAN
    Protocol : any
    Source
    Type : Network
    Address : 192.168.1.0/25
    Destination
    Type : any

    Secondo me facendo così i primi 126 ip della LAN dovrebbero uscire su internet con il primo IP pubblico e i secondi 126 IP uscire con il secondo IP pubblico, ma purtroppo invece non esce niente....

    Rinnovo il grazie a chiunque possa darmi una mano.</blank></blank></blank></blank>



  • Per chiarezza riporto la mia configurazione in forma compatta:

    ** Virtual IP **

    Virtual IP address | Type    | Description 
    –-----------------|---------|----------------------
    a.b.c.234/32      | [Other] | Primo IP pubblico 
    a.b.c.235/32      | [Other] | Secondo IP pubblico

    ** NAT **

    Interface | Source          | Sour. Port | Dest. |  Dest. Port | NAT Address | NAT Port | Static Port | Description   
    –--------|------------------|------------|-------|-------------|-------------|----------|-------------|-----------------
    WAN      | 192.168.1.0/25  |    *      |  *  |        *  | a.b.c.234  |    *    |    NO      | Primi 126 IP 
    WAN      | 192.168.1.128/25 |    *      |  *  |        *  | a.b.c.235  |    *    |    NO      | Secondi 126 IP

    ** Firwall Rules LAN **

    Protocol Source Port Destination Port Gateway Schedule Description
    * 192.168.1.0/25 * * * * * Primi 126 IP
    * 192.168.1.128/25 * * * * * Secondi 126 IP


  • Da quello che ho potuto leggere mi sembra sessere tutto perfettamente corretto.
    Tant'è che io ho una configurazione simile e funziona perfettamente.

    Che versione di PF hai ? I PC non ti navigano proprio o non usano l'ip corretto ? Fatti sentire su msn

    Ciaoz.-

    PS: le regole del firewall sulla LAN sono in più se gia ne hai una per tutto il traffico generico.



  • Anche secondo me dovrebbe funzionare invece nisba…
    Le macchine proprio non riesco ad uscire su internet.

    Le regole sul firewall le ho aggiunte alla fine pensando che potesse essere quello che influiva, originariamente ne avevo una unica per tutta la rete 192.168.1.0/24.

    In ogni caso ho ripristinato la configurazione facendo uscire tutti i PC sull'unico indirizzo dell'interfaccia WAN perché per ora non ho tempo da dedicare a questa cosa. Appena trovo un po' di tempo faccio altre prove e magari vi faccio sapere.

    Grazie ancora.



  • I Client come sono configurati in IP statico ? DHCP ? … qual'è il loro defalut GW ?

    Matteo



  • I client sono configurati con IP statico
    Ovviamente il loro default gateway è l'indirizzo IP lato LAN del firewall nel mio caso 192.168.1.254



  • ciao,scusate se mi intrometto ma ho un problema simile.
    Sto provando il pfsense e per ora mi sembra molto buono:
    sono riuscito a configurarmi 2 wan senza problemi e a gestire separatamente failover e loadbalancing per subnet diverse..
    ora vorrei fare in modo che una delle due wan mi rigirasse su una stessa macchina interna 5 ip statici di cui dispongo.
    In pratica devo pubblicare un server http e ftp reperibile con 5 ip diversi.

    Posso ugualmente seguire la strada dei virtualIP e fare le stesse regole per ognuno di essi??

    Grazie
    Matteo



  • Si certo Delfino. E' come ti ho detto in chat.
    Direi che non ci sono problemi con le NAT 1:1 e VIP.

    Ciaoz.-

    Matteo


Log in to reply