Nat de salida outbound duda



  • Buen dia.

    Tengo pfsense 2.1.4-RELEASE (amd64), con el siguiente  esquema:

    em0 Lan  192.168.1.1
    em1 wan1  100.0.0.2
    em2 wan2  200.0.0.2

    Las IP Wan son Fijas, pero son 2 proveedores de servicios diferentes (isp), van a la misma velocidad.

    Lo primero que hice fue crear un balanceo de carga para la salida de internet (multiwan), y me funciono sin problemas. (squid transparente + squidguard)

    Luego configure 2 reglas de failover, por si se cae wan1, trabaje wan2 y vicerversa.

    Allí todo bien, entre algunas reglas de nat para el servidor web (servidor en la lan), etc.

    Mi duda:

    Se tenia un servidor (correo) del enlace em2 con 2 tarjeta de red, una para la lan  y otra para la wan con una ip publica 200.0.0.3, para corregir el esquema inseguro, se bajo la tarjeta de red con la ip publica dejando al servidor solo con la ip de la red lan. Se aplicaron las reglas de nat para los servicios públicos (webmail, imaps, etc)

    1. Los correos empezaron a salir por la IP publica em2 y em1… y no por la 200.0.0.3, investigue y encontré los de la "IP virtual", encones cree la ip 200.0.0.3 con el alias para em2. Y funciono, pero me salían las  entonces por la 200.0.0.2 y por 100.0.0.2 que es em1. funcionada de afuera hacia adentro solamente. (nat)

    2. Seguí  investigando y me encontré con nat outbound, entonces lo active de forma manual (AON) y cree la regla de salida para el servidor que esta en el segmento 192.168.1.0, y cree otra para los demas usuarios 192.168.2.0.  El problema que se me presento es que los paquetes si estaban saliendo por la em2 con ip 200.0.0.3, pero funcionaba aveces, aveces si, aveces no (la conexion) como lo probaba? simple hacia ssh a un servidor publico y al conectarme ejecutaba w para ver quien estaba conectado y desde que servidor. pero si salia y volvia hacer ssh se quedaba esperando y daba time out, lo mismo pasaba con el ping, aveces respondía y en el segundo intento no.

    3. Investigando vi que tenia que crear la outbound para la salida de los 2 enlaces.

    A la final quedo el nat outbound

    wan2    192.168.1.2/32  por  200.0.0.3  (servidor de correo). 
    wan1    192.168.0.0/16  por wan
    wan2    192.168.0.0/16  por wan2

    Esto mejoro los tiempos de respuesta (ssh y ping) de las pruebas que estaba realizando.

    Pero tengo un detalle:  me sigue saliendo tanto por wan2 como por wan1, lo que quiere decir que los correos me van a salir por las 2 ip publicas, haciendo  que los que  salgan por wan1 puedan caer en spam por el tema del registro MX del correo por la relacion con la IP publica de wan2.

    Muchas gracias. espero sus comentarios.



  • Hola.

    Creo que podia ayudar que crees una regla en el firewall para tu servidor de correo con los puertos adecuados y que le especifiques el gateway a ocupar ( policy routing )

    Esto debe ser antes de tu regla general de salida.



  • Gracias por Responder.

    Hice esto a la final, y me esta funcionando.

    En la reglas de firewall,  (LAN)

    IPv4 * 192.168.1.17 * * * WANGW none

    Donde 192.168.1.17  es mi servidor de correo, y le dije que salga por el  gateway (WANGW)

    Hasta ahora esta funcionando y todo esta llegando con la ip de wangw (lo valido haciendo ssh desde 192.168.1.17 hacia IP publicas de servidores que tengo)

    Ahora el outbound nat lo deje por defecto, es decir automático. En teoria, todo lo que es salida por internet, va a salir por los 2 gateways.

    Mantengo mi balanceo (multiwan) para efectos de internet/.

    Pero todo lo que salga de correo 192.168.1.17 debe irse solamente por wangw y no por wangw2.

    Se que si agrego otra IP publica (IP VIrtual) alli si tendria ue apoyarme con outbound nat.



  • Al parecer creo que diste con el problema si has creado en nat de salida te ha faltado indicar en las pestañas de abajo por cual gateway especifico deseas salga el trafico con esto siempre deberia salir por el mismo enlace del isp correspondiente. Estamos a tu orden