Como configurar una Dnat en prerouting sobre una ip virtual



  • Hola,

    Quiero migrar una configuración de un cliente que esta sobre Shorewall a Pfsense.

    En el FW actual se hacen dos VPN sobre IPsec a dos proveedores de comunicaciones diferentes, estoy no es problema.

    Lo complicado es que se tiene una interfaz virtual dentro del FW con una IP y el script de firewall o que hace es que todo el trafico que llega a esta IP desde las VPN le cambia la IP destino a una de LAN antes de enrutarlo según el puerto al que va dirigido el paquete de datos.

    Luego este entra en el enrutamiento y lo envía al servidor final funcionando al contrario con la respuesta del servidor de APP al cliente.

    El esquema es un poco así :

    VPN IpSec                                                                        LAN
    VPN <–------------------------------>190.43.23.3:FW Linux IP:192.168.10.15 <--------------------------> Server 192.168.10.20                                                                           
    Cliente                                                              IP Virtual :192.168.90.2                                                                                             
    Paquete Original                                                                           
    Origen :192.168.5.20:1234          Cambiar en el FW el destino: 192.168.90.2:1234 to 192.168.10.20:1234
    Destino : 192.168.90.2

    Esta configuración no se puede cambiar ya que hay multiples dispositivos externos que la usan por lo que seria muy costoso el cambio.

    Hay que suponer que todas las rutas funcionan bien, el problema es mas del DNAT.

    Alguien me puede decir como podría hacer :

    1. Configurar una interfaz virtual.
    2. Como configurar esta regla de DNAT en preroueting.

    No se si es claro mi planteamiento por lo que si hay dudas me cuentan y si me pueden colaborar os agradecería.

    Gracias.



  • Segun lo que yo entiendo con interfaz virtual te refieres a vlan (Virtual LAN), si es así te dejo un manual de como hacer una vlan. Para hacer el dnat prerouting es un poco mas dificil pero creo que esto tambien te puede servir.

    http://networktechnical.blogspot.com.es/2007/04/pfsense-how-to-setup-vlans.html
    http://www.astaro.org/gateway-products/network-protection-firewall-nat-qos-ips/2018-nat-virtual-ip-addresses.html


  • Rebel Alliance


Log in to reply