Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense 2.1.5 NAT 1:1 tetap ke blok

    Scheduled Pinned Locked Moved Indonesian
    8 Posts 2 Posters 2.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      cakraz
      last edited by

      Met pagi, pak admin, senior dan teman2 forum.
      Salam kenal dan salam sejahtera utk semua.

      Saya baru saja menggunakan pfsense 2.1.5 dengan topologi  sbb :

      WAN1 bce0–------->            _ DMZ (ix0)
                                    |Pfsense|
      WAN2 bce1--------->            |_ DC  (ix1)

      hardware menggunakan HP DL380

      keterangan (maaf jika sebagian disamarkan)

      WAN1 = ISP A address 222.x.x.194/27 IPv4 Upstream Gateway nya 222.x.x.193 --> default gateway pada settingan routingnya
      WAN2 = ISP B address IP.x.66.178/30 IPv4 Upstream Gateway nya IP.x.66.177 yg mana kami mendapat IP publik/24 lagi dari provider tersebut sebut saja IP.x.81.0/24
      DMZ  = segment 172.20.100.0/24
      DC      = segment 26.1.76.0/24

      Saya mencoba untuk membuat 2 NAT 1:1 ke DMZ dgn 2 ISP dengan langkah2 sbb:

      Pada menu Firewall -> Virtual IPs saya membuat data:

      Virtual IP address Interface Type
      222.x.x.200            WAN1      ifAlias
      IP.x.81.200              WAN2      ifAlias

      test ping dari luar jaringan utk kedua IP tsb bisa reply, kemudian saya membuat NAT 1:1 sbb:

      Interface External IP Internal IP    Destination IP       Description
      WAN1      222.x.x.200      172.20.100.18            *                OpenVPN1
      WAN2      IP.x.81.200      172.20.100.19            *                OpenVPN2

      yang mana ip 172.20.100.18 dan 172.20.100.19 adalah ip lokal server vpn dalam LAN DMZ via interface ix0

      hasilnya adalah.
      1. test traceroute dan ssh dari luar ke jalur WAN1 menuju IP 222.x.x.200 bisa tembus ke server OpenVPN1
          dan status dari OpenVPN1 dgn ip lokal 172.20.100.18 ketika mencoba checkmyIP status IP publiknya jadi 222.x.x.200
      2. tetapi test traceroute dan ssh dari luar ke jalur WAN2 menuju IP.x.81.200 tidak bisa tembus ke server OpenVPN2 (spt kena blok)
          dan status dari OpenVPN2 dgn ip lokal 172.20.100.19 ketika mencoba checkmyIP status IP publiknya masih 222.x.x.194 (IP Gatewaynya WAN1)

      Kenapa masalah no 2 bisa terjadi? Mohon bantuan dari senior dan teman2 semua.
      PS : kenapa Virtual IP yg sudah dibuat tidak bisa dihapus lagi ya? padahal tidak ada pesan error

      Terimakasih banyak, maaf jika penjelasan sblm pertanyaanya terlalu panjang :)

      1 Reply Last reply Reply Quote 0
      • P
        pfz
        last edited by

        @cakraz:

        WAN1 bce0–------->            _ DMZ (ix0)
                                      |Pfsense|
        WAN2 bce1--------->            |_ DC  (ix1)
                                                 
        test ping dari luar jaringan utk kedua IP tsb bisa reply, kemudian saya membuat NAT 1:1 sbb:

        Interface External IP Internal IP    Destination IP       Description
        WAN1      222.x.x.200      172.20.100.18            *                OpenVPN1
        WAN2      IP.x.81.200      172.20.100.19            *                OpenVPN2

        Tujuan NAT 1:1 itu hanya untuk bikin Server OpenVPN di pfsense gitu ya ?.

        Sebenarnya hanya dengan NAT 1:1 tanpa ke virtual ips juga bisa jalan.

        ip 192.168.2.2 yang ada di di client di NAT ke 222.x.x.201 Nah ip 192.168.2.2 itu kalo di test di  https://pfsense.org/ip.php akan muncul ip wan yang di NAT .

        1 Reply Last reply Reply Quote 0
        • P
          pfz
          last edited by

          Dengan Banyak IP publik untuk membuat Server OpenVPN di pfsense akan lebih mudah, tanpa menggunakan Virtual IPs. .
          Virtual IPs akan lebih efektif kalau di kita menggunakan multi pfsense  ( master firewall dan secondary firewall ) .

          1 Reply Last reply Reply Quote 0
          • C
            cakraz
            last edited by

            @DeSastro:

            @cakraz:

            WAN1 bce0–------->            _ DMZ (ix0)
                                          |Pfsense|
            WAN2 bce1--------->            |_ DC  (ix1)
                                                     
            test ping dari luar jaringan utk kedua IP tsb bisa reply, kemudian saya membuat NAT 1:1 sbb:

            Interface External IP Internal IP    Destination IP       Description
            WAN1      222.x.x.200      172.20.100.18            *                OpenVPN1
            WAN2      IP.x.81.200      172.20.100.19            *                OpenVPN2

            Tujuan NAT 1:1 itu hanya untuk bikin Server OpenVPN di pfsense gitu ya ?.

            Sebenarnya hanya dengan NAT 1:1 tanpa ke virtual ips juga bisa jalan.

            ip 192.168.2.2 yang ada di di client di NAT ke 222.x.x.201 Nah ip 192.168.2.2 itu kalo di test di  https://pfsense.org/ip.php akan muncul ip wan yang di NAT .

            Iya om, buat nat ke ip lokal mesin yg dibikin OpenVPN
            Sekarang malah aneh, baru bisa tembus sampai ke ip lokal mesin kalo dibuat rule port forward dari WAN2 ke ip lokal dan dari lokal ke WAN2.
            Padahal kan seharusnya kalo sudah NAT 1:1 tidak usah buat rule port forward lagi.
            Ini yg OpenVPN WAN1 yg tadinya bisa jadi error query ke dns nya padahal rulenya ga disentuh sama sekali :(
            Apa ada bugs dari 2.1.5? atau Coba install ulang pf nya?
            Terimakasih banyak atas waktu dan ilmunya om :)

            1 Reply Last reply Reply Quote 0
            • P
              pfz
              last edited by

              Kalo di singkat saja topografisnya , semua Koneksi di handle oleh satu pfsense. Jumlah pcicard nya menyesuiakan kebutuhan, dengan cara seperti itu lebih mudah di manage nya.

              Meskipun dengan kondisi yang sudah ada juga bisa di manage.

              Untuk Kondisi NAT 1:1 (harusnya sdh jalan) tapi untuk memastikannya bikin ajan ip local yang yang dipakai NAT di bebaskan dari firewall.

              sori kalau tulisan dan tata bahasa saya tidak sesuai dengan grammar.

              1 Reply Last reply Reply Quote 0
              • P
                pfz
                last edited by

                @cakraz:

                Ini yg OpenVPN WAN1 yg tadinya bisa jadi error query ke dns nya padahal rulenya ga disentuh sama sekali :(
                Apa ada bugs dari 2.1.5? atau Coba install ulang pf nya?

                Kalo OpenVPN di wan 1 akan lebih mudah lagi.. ..

                Sebentar biar sinkron.. OpenVPN di Wan 1 trus, nantinya client OpenVPN nanti akan akan IP Publik gitu kan maksudnya ??
                atau Client OpenVPN tetap dapat ip private ??

                Kalo Bug gak ada .. yang ada bug yang nyettingnya  :)  ;)

                Kira-kira seperti ini :

                @pciccone:

                In the next few weeks we will be doing a massive (physical) migration from one public /24 subnet to another public /24 subnet. We will have to update various settings, DNS, firewall entries, etc over 100 servers and related load balancers and appliances. During this time as we update systems we would like it if the old IP pool can forward (masquerade?) to the new IP pool, all ports, in a one-to-one mapping. For example:

                Source IP: 8.8.8.1 (all ports)
                Target IP 9.9.9.1

                Source IP: 8.8.8.2 (all ports)
                Target IP: 9.9.9.2

                We can leave one of our smaller pfSense boxes at the old location to do this forwarding. I know "port forwarding" and "NAT" but these are for proxying data between a public and a private IP. In this case, we need to masquerade/forward/proxy data from a public to a new public IP. We could also establish a site-to-site OpenVPN tunnel, but I am still not sure how to do this. Is this something easy to accomplish?

                Thanks ahead of time for your help, and spending the time to read this post!

                Phil

                @jimp:

                It can be done, with 1:1 NAT for the subnet, OpenVPN with assigned interfaces and the right set of rules.

                You will need to build a static key OpenVPN tunnel between the sites, assign the interfaces on both ends, and make sure to only have firewall rules on the assigned OpenVPN tab.

                If you happen to be a gold subscriber that is one of the topics I talked about in the "Advanced OpenVPN Concepts" hangout back in September.

                1 Reply Last reply Reply Quote 0
                • C
                  cakraz
                  last edited by

                  sebelumnya trims atas bantuannya :)
                  begini om, rekan saya kan buat virtual server linux utk OpenVPN1 di segment DMZ dgn ip lokal mesinnya 172.20.200.18 yg di NAT 1:1 ke IP publik A via GW ISP A (WAN1)
                  lalu satu mesin virtual lagi utk OpenVPN2 di segment DMZ dgn ip lokal mesinnya 172.20.200.19 yg di NAT 1:1 ke IP publik B via GW ISP B (WAN2)
                  GW defaultnya di menu Routing - System - Gateways pake ISP A (WAN1)
                  nah biasanya kan kalo di buat di NAT 1:1 harusnya sudah langsung bisa nyebrang kan dari :

                  IP WAN1-> ip lokal server OpenVPN1 -> IP WAN1
                  IP WAN2-> ip lokal server OpenVPN2 -> IP WAN2

                  Jadi ada 2 server openvpn di dalam jaringan DMZ, yg akan di akses client dari WAN via pfsense.
                  Yang satu lewat ISP A dan dan yg lain lewat ISP B

                  Dimana nanti Client OpenVPN tetap dapat ip private saat terkonek dgn server linux didalam DMZ tadi dan saat test buka https://pfsense.org/ip.php maka ip publik yg di define di NAT 1:1 akan muncul.
                  Nah ini ga bisa nyebrang alias ke blocked om, tapi ketika saya nambah rules dari WAN ke DMZ dan dari DMZ ke WAN baru mau konek. Tapi setelah konek dari cuma bisa masuk jaringan LAN tapi ga bisa query ke DNS nya utk browsing.Padahal sblmnya bisa, dan rule server OpenVPN1 ga disentuh2 sama sekali.

                  Gitu ceritanya om, makasih banyak atas waktu, ilmu dan kesabarannya :)

                  1 Reply Last reply Reply Quote 0
                  • P
                    pfz
                    last edited by

                    ya … kendala jelas di Firewall nya ..

                    NAT 1:1 ...

                    Karena setelah di test ternyata jalan, Topografi diatas...

                    Coba gak usah pakai virtual IPs

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.