[RESOVIDO]POOL's de IP's Válidos na WAN

Portuguese
Log in to reply
  • G

    Bem gente,
    Ao contrário de muita gente eu não tenho problemas de Escasses de IP's válidos.

    Tenho 4 Pools
    186.xxx.xx.170/30 - Configurado na Wan do PFsense com o seu gateway padrão fornecido pela operadora (186.xxx.xx.169)
    172.16.x.x - LAN

    Pool 1 - 186.xxx.xxx.172/30
    Pool 2 -186.xxx.xxx.176/28
    Pool 3 - 186.xxx.xxx.192/27

    Estou tentando migrar do RouterOS (mikrotik) para o pfsense , pela facilidade dos gráficos e logs que esse fornece.Acontece que , bastava , no RouterOS , inserir os Pools na Interface WAN e setar , manualmente, nas maquinas desejada (no caso servidores web) o ip válido , mascara e gateway correto e funcionava e "publicava" na internet.

    Tenho apenas 2 NIC's  , obviamente 1 para WAN e outra para lan ,  e preciso setar 1 IP válido para cada serviço que tenho no servidores.

    Cada servidor tem 2 NIC's também , 1 Com configurações de IP válido (186.xx.xxxx.xxx) e 1 de Rede interna ( 10.10.10.x/26).

    Problemas e Estranhezas:

    Minha Lan navega normal , o PFsense criou o srcnat - masquerade tranquilinho e automático (MAravilha ! ).

    Criei em Firewall> Virtual IP's :

    VIP :IP ALIAS 10.10.10.1/26 (Single address) na INTERFACE LAN  <–- Paras o servidores.

    VIP : IP ALIAS 10.50.1.1/26 (Single Address) na Interface Lan <--- Para Algumas RB's MIkrotik

    VIP : IP ALIAS 186.xxx.xxx.172/30(Single Address) na Interface WAN <--- Pool  1 de Ip's
    VIP : IP ALIAS 186.xxx.xxx.176/28(Single Address) na Interface WAN <--- Pool  2 de Ip's
    VIP : IP ALIAS 186.xxx.xxx.192/27(Single Address) na Interface WAN <--- Pool  3 de Ip's

    Minha lan Local normal de Clientes que eu passo por DHCP 172.16.x.x pinga e acessa normal em qualquer ip das redes 10.10.10.0/26 e 10.50.1.1/26.

    Os ip's Válidos quando eu digito no browser não dá nada , apenas cai no PFsense os IP alias Single address que eu criei. Notei então que não estava Adicionando o Pooll todos com o IP alias e sim um unico IP (Single Addres Dã). Gostaria de saber como adicionar o Pool todo , pois o que eu chamo de estranheza é que os Ip's da Lan 172.16.xx.x pingam tudo , os da rede 10.10.10.x também pingam entre sí , estes (da rede 10.10.10.x) são a Placa Lan de cada servidor web , o engraçado é que os servidores web mesmo manualmente configurados não pingam no pfsense (pelo Ip válido setado no Firewall > Virtual ip's) nem o PF sense neles , mas pela placa local vai ?! oO

    Essa questão do ping pode ser uma regra de firewall , mas minha Pergunta principal é :

    COMO EU ADICIONO TODOS OS POOL'S DE IP VÁLIDO NA PLACA WAN DO PFSENSE ?

    De verdade conto ( e preciso muuuuito) da ajuda de vocês , meus serviços estão parados :( !

    Grato !

    0
  • G

    Resumindo toda a História , não consegui adicionar a network toda no PFsense.

    Então fiz um Virtual IP > IP Alias , coloquei o IP válido na WAN.

    Fiz uma regra NAT 1:1 - External IP (O Ip válido que setei no alias)
                                          Internal IP (O IP Local da maquina).

    Em Firewall Rules :

    WAN >

    Criei lá que qualquer Source (any) , com Destido ao IP Local na máquina  , com qualquer destino de porta passe.

    Funcionou !

    Obrigado ao Forúm que me permitiu pesquisar e resolver o problema. Mas ainda fica a dúvida, como adicionar a network toda ?

    0
  • marcelloc

    Porque colocar servidores falando com a wan e lan? Esta configuração deixa várias possibilidades de se pular o firewall tanto na entrada quanto na saída.

    0
  • L

    Olá!

    Vou tentar abordar isso de um ponto de vista mais prático, já que também trabalho com soluções da MK.

    O seu cenário está um pouco confuso no que tange a funcionalidade e necessidade de um pool de endereços tão grande. Me deu até a impressão de que você usa IP's válidos para estações internas o que, por si, já é um sério problema de segurança.

    Se você possui um "CPD" ou Datacenter com servidores rodando serviços especificos que precisam de acesso direto por IP Válido, o PFSense estaria cumprindo apenas a função de Roteamento, já que não haveria NAT. Se esse é o seu cenário, continue com o Mikrotik e apenas implante um servidor de SysLog para armazenar os Logs do RouterOS.

    Qual sua RB? Precisa conferir também se a licença do RouterOS que você possui no equipamentos possui todos os recursos de LOG que você precisa.

    Bom, se o seu cenário requer NAT, vou pedir para você racionalizar melhor seu cenário e colocar em mente que você pode ter que modifica-lo para adequar ao funcionamento do PFSense, não digo os servidores em si, mas o esquema de rede.

    O PFSense requer a criação de Interfaces Virtuais para cada IP Válido que você for utilizar, isso requer um Switch Layer 3 para fazer a marcação das "Tags VLAN".

    0
  • G

    Eu meio que tentei imitar o que eu tinha no MK no Pfsense. Não deu tão legal , no fim como eu disse antes eu fiz IPvirtual e um NAT 1:1 passei o ip válido para o endereço local do servidor.

    Eu peguei a estrutura já com muitos ip's válidos e meio torta.Estou tentando adequar  a nova realidade.

    Agradeço os esclarecimentos e a ajuda!!

    Porém , Tenho mais uma dúvida agora para a rede Local.

    Tenho uma rede com aproximadamente 100 máquinas divididas em setores diferentes. Preciso criar ranges dentro da mesma rede tipo:

    Administração: 192.168.20.1 - 192.168.20.10 (ALIAS –> ADM)
    TI: 192.168.20.11 - 192.168.20.20 ALIAS ---> TI
    Financeiro: 192.168.20.21-192.168.20.22

    o GW no PF sense tá 192.168.0.1 e apenas para configuração inicial eu deixei /16(255.255.0.0)

    O que ocorre: Os setores estão interligados via Rádios (Locais físicos diferentes) em modo Bridge , que só repassam o DHCP e configurações de rede do PF sense. Eu preciso que o Intervalo 192.168.20.1-192.168.20.10 (ADM) não se comunique com o intervalo da TI , por exemplo.

    Eu criei uma regra no Firewall> Rules na Placa Lan que tudo que fosse "Source" do Single host ou Alias = ADM com Destination ao Alias "TI" para qualquer protocolo e qualquer porta fosse Blocked. Só que Pãn !

    Passa do mesmo jeito :( , ICMP , FTP , tudo... :(

    eu fazia a mesma regra (pelo menos eu acho que é a mesma) no MK e resolvia certinho. Alguém pode ajudar ? O.O

    0
  • marcelloc

    @gussmaster:

    Passa do mesmo jeito :( , ICMP , FTP , tudo… :(

    eu fazia a mesma regra (pelo menos eu acho que é a mesma) no MK e resolvia certinho. Alguém pode ajudar ? O.O

    Passa porque estão no mesmo segmento de rede.

    Se esta regra não estiver no rádio que faz a bridge, não vai funcionar.

    Não tem como você bloquear no firewall um trafego que não passa por ele.

    0
  • G

    ok , Muito Grato Pela ajuda de Todos ! :D

    0

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

© 2021 Rubicon Communications, LLC | Privacy Policy