Problema de nat



  • Saludos

    Estimados tengo actualmente dos proveedores de internet P1 y P2 con la siguiente arquitectura

    wan–-P1router---lan---------------------------------switch-----WAN192.168.40.5(PFSENSE-P2)LAN----
                  wan---P2router---lan-----------------------------------|    |-----WAN192.168.11.20(PFSENSE-P1)LAN   
                                    IP P1  MAILSERVER(192.168.11.2)--- |
                                    IP P1  WEBSERVER(192.168.11.3)---

    el server de correos y el web estan nateados con el router del P1; el problema que tengo es que los equipos que estan bajo el Pfsense P2 no pueden ver localmente a los dos servidores, intente con el nat en el pfsense pero no me resulta, con el dns forwarder me resuleve la direccion de los server pero no sube el ping.

    Espero me puedan ayudar.



  • No entiendo la topología.

    ¿Qué es? ¿Un pfSense con dos LANs y 2 WANs?

    Si es eso sólo tienes que dar permisos al tráfico ICMP, que es el que utiliza ping.



  • saludos Bellera….no...son dos pfsense distintos....uno del Proveedor1 y otro Proveedor2, lo que sucede que el pfP2 no puede llegar a los equipos que estan con los servicios en las ip 192.168.11.2 y 3



  • En las WAN tienes una opción que dice Block Private Networks.

    Es una seguridad porque se supone que normalmente más allá de WAN las IPs son públicas.

    Deshabilita esa opción, puesto que tienes una estructura WAN con IPs privadas.



  • gracias por el dato Bellera, ya realice el cambio pero nada, la configuracion nat que utilizo es la siguiente

    If      Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP       NAT Ports
    WAN TCP/UDP    *   *             WAN address 80 (HTTP) 192.168.11.2 80 (HTTP)

    If      Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP       NAT Ports
    WAN TCP/UDP    *   *             WAN address 443 (HTTPS) 192.168.11.2 443(HTTPS)

    Deberia de cargarme el sitio web del mail, pero aun no me resuelve…..



  • ¿Has probado de acceder a los servicios por IP en lugar de por nombre?



  • si…los he tratado de probar...pero nada aun.....



  • @will23b:

    wan–-P1router---lan---------------------------------switch-----WAN192.168.40.5(PFSENSE-P2)LAN----
                  wan---P2router---lan-----------------------------------|    |-----WAN192.168.11.20(PFSENSE-P1)LAN   
                                    IP P1  MAILSERVER(192.168.11.2)--- |
                                    IP P1  WEBSERVER(192.168.11.3)---

    Intenta explicarnos mejor la topología porque no acabo de entender qué está conectado a qué.

    ¡Gracias!


  • Rebel Alliance

    Un diagrama/esquema con gliffy sería mas fácil de entender ;)

    http://www.gliffy.com



  • Estimados, adjunto la imagen correspondiente a la red actual del problema, los equipos que estan bajo el pfsense1 no pueden ver los servicios del correo y pagina web con las ip 192.168.11.2 y 3

    ![PF NATEO.JPG](/public/imported_attachments/1/PF NATEO.JPG)
    ![PF NATEO.JPG_thumb](/public/imported_attachments/1/PF NATEO.JPG_thumb)



  • Si se emplea un único switch en las WAN y servidores, lo más sencillo es pasar la WAN de PF11 al tramo 192.168.11.0/254

    Al compartir tramos con el mismo switch, ¿estás empleando VLANs? Porque si no es así, poca seguridad hay.



  • Saludos mi estimado Will23b, segun entiendo estas usando los servers mail y web en la red wan un tanto inseguro esto . Yo pienso que tendrias una topologia de red mas segura creando una dmz en un solo pfsense trabajando a los clientes en una red opcional dando acceso a lo que desee o no para los clientes y obviamente tus servers protegido tanto de clientes como de wan quedando algo asi http://redsoporte.com.ve/pfsense/red.jpg Cualquier cosa estamos a la orden



  • muchas gracias por las aclaraciones….ya lo estoy implementando, gracias bellera y amnarl


Log in to reply