[RESOVIDO]POOL's de IP's Válidos na WAN



  • Bem gente,
    Ao contrário de muita gente eu não tenho problemas de Escasses de IP's válidos.

    Tenho 4 Pools
    186.xxx.xx.170/30 - Configurado na Wan do PFsense com o seu gateway padrão fornecido pela operadora (186.xxx.xx.169)
    172.16.x.x - LAN

    Pool 1 - 186.xxx.xxx.172/30
    Pool 2 -186.xxx.xxx.176/28
    Pool 3 - 186.xxx.xxx.192/27

    Estou tentando migrar do RouterOS (mikrotik) para o pfsense , pela facilidade dos gráficos e logs que esse fornece.Acontece que , bastava , no RouterOS , inserir os Pools na Interface WAN e setar , manualmente, nas maquinas desejada (no caso servidores web) o ip válido , mascara e gateway correto e funcionava e "publicava" na internet.

    Tenho apenas 2 NIC's  , obviamente 1 para WAN e outra para lan ,  e preciso setar 1 IP válido para cada serviço que tenho no servidores.

    Cada servidor tem 2 NIC's também , 1 Com configurações de IP válido (186.xx.xxxx.xxx) e 1 de Rede interna ( 10.10.10.x/26).

    Problemas e Estranhezas:

    Minha Lan navega normal , o PFsense criou o srcnat - masquerade tranquilinho e automático (MAravilha ! ).

    Criei em Firewall> Virtual IP's :

    VIP :IP ALIAS 10.10.10.1/26 (Single address) na INTERFACE LAN  <–- Paras o servidores.

    VIP : IP ALIAS 10.50.1.1/26 (Single Address) na Interface Lan <--- Para Algumas RB's MIkrotik

    VIP : IP ALIAS 186.xxx.xxx.172/30(Single Address) na Interface WAN <--- Pool  1 de Ip's
    VIP : IP ALIAS 186.xxx.xxx.176/28(Single Address) na Interface WAN <--- Pool  2 de Ip's
    VIP : IP ALIAS 186.xxx.xxx.192/27(Single Address) na Interface WAN <--- Pool  3 de Ip's

    Minha lan Local normal de Clientes que eu passo por DHCP 172.16.x.x pinga e acessa normal em qualquer ip das redes 10.10.10.0/26 e 10.50.1.1/26.

    Os ip's Válidos quando eu digito no browser não dá nada , apenas cai no PFsense os IP alias Single address que eu criei. Notei então que não estava Adicionando o Pooll todos com o IP alias e sim um unico IP (Single Addres Dã). Gostaria de saber como adicionar o Pool todo , pois o que eu chamo de estranheza é que os Ip's da Lan 172.16.xx.x pingam tudo , os da rede 10.10.10.x também pingam entre sí , estes (da rede 10.10.10.x) são a Placa Lan de cada servidor web , o engraçado é que os servidores web mesmo manualmente configurados não pingam no pfsense (pelo Ip válido setado no Firewall > Virtual ip's) nem o PF sense neles , mas pela placa local vai ?! oO

    Essa questão do ping pode ser uma regra de firewall , mas minha Pergunta principal é :

    COMO EU ADICIONO TODOS OS POOL'S DE IP VÁLIDO NA PLACA WAN DO PFSENSE ?

    De verdade conto ( e preciso muuuuito) da ajuda de vocês , meus serviços estão parados :( !

    Grato !



  • Resumindo toda a História , não consegui adicionar a network toda no PFsense.

    Então fiz um Virtual IP > IP Alias , coloquei o IP válido na WAN.

    Fiz uma regra NAT 1:1 - External IP (O Ip válido que setei no alias)
                                          Internal IP (O IP Local da maquina).

    Em Firewall Rules :

    WAN >

    Criei lá que qualquer Source (any) , com Destido ao IP Local na máquina  , com qualquer destino de porta passe.

    Funcionou !

    Obrigado ao Forúm que me permitiu pesquisar e resolver o problema. Mas ainda fica a dúvida, como adicionar a network toda ?



  • Porque colocar servidores falando com a wan e lan? Esta configuração deixa várias possibilidades de se pular o firewall tanto na entrada quanto na saída.



  • Olá!

    Vou tentar abordar isso de um ponto de vista mais prático, já que também trabalho com soluções da MK.

    O seu cenário está um pouco confuso no que tange a funcionalidade e necessidade de um pool de endereços tão grande. Me deu até a impressão de que você usa IP's válidos para estações internas o que, por si, já é um sério problema de segurança.

    Se você possui um "CPD" ou Datacenter com servidores rodando serviços especificos que precisam de acesso direto por IP Válido, o PFSense estaria cumprindo apenas a função de Roteamento, já que não haveria NAT. Se esse é o seu cenário, continue com o Mikrotik e apenas implante um servidor de SysLog para armazenar os Logs do RouterOS.

    Qual sua RB? Precisa conferir também se a licença do RouterOS que você possui no equipamentos possui todos os recursos de LOG que você precisa.

    Bom, se o seu cenário requer NAT, vou pedir para você racionalizar melhor seu cenário e colocar em mente que você pode ter que modifica-lo para adequar ao funcionamento do PFSense, não digo os servidores em si, mas o esquema de rede.

    O PFSense requer a criação de Interfaces Virtuais para cada IP Válido que você for utilizar, isso requer um Switch Layer 3 para fazer a marcação das "Tags VLAN".



  • Eu meio que tentei imitar o que eu tinha no MK no Pfsense. Não deu tão legal , no fim como eu disse antes eu fiz IPvirtual e um NAT 1:1 passei o ip válido para o endereço local do servidor.

    Eu peguei a estrutura já com muitos ip's válidos e meio torta.Estou tentando adequar  a nova realidade.

    Agradeço os esclarecimentos e a ajuda!!

    Porém , Tenho mais uma dúvida agora para a rede Local.

    Tenho uma rede com aproximadamente 100 máquinas divididas em setores diferentes. Preciso criar ranges dentro da mesma rede tipo:

    Administração: 192.168.20.1 - 192.168.20.10 (ALIAS –> ADM)
    TI: 192.168.20.11 - 192.168.20.20 ALIAS ---> TI
    Financeiro: 192.168.20.21-192.168.20.22

    o GW no PF sense tá 192.168.0.1 e apenas para configuração inicial eu deixei /16(255.255.0.0)

    O que ocorre: Os setores estão interligados via Rádios (Locais físicos diferentes) em modo Bridge , que só repassam o DHCP e configurações de rede do PF sense. Eu preciso que o Intervalo 192.168.20.1-192.168.20.10 (ADM) não se comunique com o intervalo da TI , por exemplo.

    Eu criei uma regra no Firewall> Rules na Placa Lan que tudo que fosse "Source" do Single host ou Alias = ADM com Destination ao Alias "TI" para qualquer protocolo e qualquer porta fosse Blocked. Só que Pãn !

    Passa do mesmo jeito :( , ICMP , FTP , tudo... :(

    eu fazia a mesma regra (pelo menos eu acho que é a mesma) no MK e resolvia certinho. Alguém pode ajudar ? O.O



  • @gussmaster:

    Passa do mesmo jeito :( , ICMP , FTP , tudo… :(

    eu fazia a mesma regra (pelo menos eu acho que é a mesma) no MK e resolvia certinho. Alguém pode ajudar ? O.O

    Passa porque estão no mesmo segmento de rede.

    Se esta regra não estiver no rádio que faz a bridge, não vai funcionar.

    Não tem como você bloquear no firewall um trafego que não passa por ele.



  • ok , Muito Grato Pela ajuda de Todos ! :D


Log in to reply