Pfsense 2.1.5 NAT 1:1 tetap ke blok



  • Met pagi, pak admin, senior dan teman2 forum.
    Salam kenal dan salam sejahtera utk semua.

    Saya baru saja menggunakan pfsense 2.1.5 dengan topologi  sbb :

    WAN1 bce0–------->            _ DMZ (ix0)
                                  |Pfsense|
    WAN2 bce1--------->            |_ DC  (ix1)

    hardware menggunakan HP DL380

    keterangan (maaf jika sebagian disamarkan)

    WAN1 = ISP A address 222.x.x.194/27 IPv4 Upstream Gateway nya 222.x.x.193 --> default gateway pada settingan routingnya
    WAN2 = ISP B address IP.x.66.178/30 IPv4 Upstream Gateway nya IP.x.66.177 yg mana kami mendapat IP publik/24 lagi dari provider tersebut sebut saja IP.x.81.0/24
    DMZ  = segment 172.20.100.0/24
    DC      = segment 26.1.76.0/24

    Saya mencoba untuk membuat 2 NAT 1:1 ke DMZ dgn 2 ISP dengan langkah2 sbb:

    Pada menu Firewall -> Virtual IPs saya membuat data:

    Virtual IP address Interface Type
    222.x.x.200            WAN1      ifAlias
    IP.x.81.200              WAN2      ifAlias

    test ping dari luar jaringan utk kedua IP tsb bisa reply, kemudian saya membuat NAT 1:1 sbb:

    Interface External IP Internal IP    Destination IP       Description
    WAN1      222.x.x.200      172.20.100.18            *                OpenVPN1
    WAN2      IP.x.81.200      172.20.100.19            *                OpenVPN2

    yang mana ip 172.20.100.18 dan 172.20.100.19 adalah ip lokal server vpn dalam LAN DMZ via interface ix0

    hasilnya adalah.
    1. test traceroute dan ssh dari luar ke jalur WAN1 menuju IP 222.x.x.200 bisa tembus ke server OpenVPN1
        dan status dari OpenVPN1 dgn ip lokal 172.20.100.18 ketika mencoba checkmyIP status IP publiknya jadi 222.x.x.200
    2. tetapi test traceroute dan ssh dari luar ke jalur WAN2 menuju IP.x.81.200 tidak bisa tembus ke server OpenVPN2 (spt kena blok)
        dan status dari OpenVPN2 dgn ip lokal 172.20.100.19 ketika mencoba checkmyIP status IP publiknya masih 222.x.x.194 (IP Gatewaynya WAN1)

    Kenapa masalah no 2 bisa terjadi? Mohon bantuan dari senior dan teman2 semua.
    PS : kenapa Virtual IP yg sudah dibuat tidak bisa dihapus lagi ya? padahal tidak ada pesan error

    Terimakasih banyak, maaf jika penjelasan sblm pertanyaanya terlalu panjang :)



  • @cakraz:

    WAN1 bce0–------->            _ DMZ (ix0)
                                  |Pfsense|
    WAN2 bce1--------->            |_ DC  (ix1)
                                             
    test ping dari luar jaringan utk kedua IP tsb bisa reply, kemudian saya membuat NAT 1:1 sbb:

    Interface External IP Internal IP    Destination IP       Description
    WAN1      222.x.x.200      172.20.100.18            *                OpenVPN1
    WAN2      IP.x.81.200      172.20.100.19            *                OpenVPN2

    Tujuan NAT 1:1 itu hanya untuk bikin Server OpenVPN di pfsense gitu ya ?.

    Sebenarnya hanya dengan NAT 1:1 tanpa ke virtual ips juga bisa jalan.

    ip 192.168.2.2 yang ada di di client di NAT ke 222.x.x.201 Nah ip 192.168.2.2 itu kalo di test di  https://pfsense.org/ip.php akan muncul ip wan yang di NAT .



  • Dengan Banyak IP publik untuk membuat Server OpenVPN di pfsense akan lebih mudah, tanpa menggunakan Virtual IPs. .
    Virtual IPs akan lebih efektif kalau di kita menggunakan multi pfsense  ( master firewall dan secondary firewall ) .



  • @DeSastro:

    @cakraz:

    WAN1 bce0–------->            _ DMZ (ix0)
                                  |Pfsense|
    WAN2 bce1--------->            |_ DC  (ix1)
                                             
    test ping dari luar jaringan utk kedua IP tsb bisa reply, kemudian saya membuat NAT 1:1 sbb:

    Interface External IP Internal IP    Destination IP       Description
    WAN1      222.x.x.200      172.20.100.18            *                OpenVPN1
    WAN2      IP.x.81.200      172.20.100.19            *                OpenVPN2

    Tujuan NAT 1:1 itu hanya untuk bikin Server OpenVPN di pfsense gitu ya ?.

    Sebenarnya hanya dengan NAT 1:1 tanpa ke virtual ips juga bisa jalan.

    ip 192.168.2.2 yang ada di di client di NAT ke 222.x.x.201 Nah ip 192.168.2.2 itu kalo di test di  https://pfsense.org/ip.php akan muncul ip wan yang di NAT .

    Iya om, buat nat ke ip lokal mesin yg dibikin OpenVPN
    Sekarang malah aneh, baru bisa tembus sampai ke ip lokal mesin kalo dibuat rule port forward dari WAN2 ke ip lokal dan dari lokal ke WAN2.
    Padahal kan seharusnya kalo sudah NAT 1:1 tidak usah buat rule port forward lagi.
    Ini yg OpenVPN WAN1 yg tadinya bisa jadi error query ke dns nya padahal rulenya ga disentuh sama sekali :(
    Apa ada bugs dari 2.1.5? atau Coba install ulang pf nya?
    Terimakasih banyak atas waktu dan ilmunya om :)



  • Kalo di singkat saja topografisnya , semua Koneksi di handle oleh satu pfsense. Jumlah pcicard nya menyesuiakan kebutuhan, dengan cara seperti itu lebih mudah di manage nya.

    Meskipun dengan kondisi yang sudah ada juga bisa di manage.

    Untuk Kondisi NAT 1:1 (harusnya sdh jalan) tapi untuk memastikannya bikin ajan ip local yang yang dipakai NAT di bebaskan dari firewall.

    sori kalau tulisan dan tata bahasa saya tidak sesuai dengan grammar.



  • @cakraz:

    Ini yg OpenVPN WAN1 yg tadinya bisa jadi error query ke dns nya padahal rulenya ga disentuh sama sekali :(
    Apa ada bugs dari 2.1.5? atau Coba install ulang pf nya?

    Kalo OpenVPN di wan 1 akan lebih mudah lagi.. ..

    Sebentar biar sinkron.. OpenVPN di Wan 1 trus, nantinya client OpenVPN nanti akan akan IP Publik gitu kan maksudnya ??
    atau Client OpenVPN tetap dapat ip private ??

    Kalo Bug gak ada .. yang ada bug yang nyettingnya  :)  ;)

    Kira-kira seperti ini :

    @pciccone:

    In the next few weeks we will be doing a massive (physical) migration from one public /24 subnet to another public /24 subnet. We will have to update various settings, DNS, firewall entries, etc over 100 servers and related load balancers and appliances. During this time as we update systems we would like it if the old IP pool can forward (masquerade?) to the new IP pool, all ports, in a one-to-one mapping. For example:

    Source IP: 8.8.8.1 (all ports)
    Target IP 9.9.9.1

    Source IP: 8.8.8.2 (all ports)
    Target IP: 9.9.9.2

    We can leave one of our smaller pfSense boxes at the old location to do this forwarding. I know "port forwarding" and "NAT" but these are for proxying data between a public and a private IP. In this case, we need to masquerade/forward/proxy data from a public to a new public IP. We could also establish a site-to-site OpenVPN tunnel, but I am still not sure how to do this. Is this something easy to accomplish?

    Thanks ahead of time for your help, and spending the time to read this post!

    Phil

    @jimp:

    It can be done, with 1:1 NAT for the subnet, OpenVPN with assigned interfaces and the right set of rules.

    You will need to build a static key OpenVPN tunnel between the sites, assign the interfaces on both ends, and make sure to only have firewall rules on the assigned OpenVPN tab.

    If you happen to be a gold subscriber that is one of the topics I talked about in the "Advanced OpenVPN Concepts" hangout back in September.



  • sebelumnya trims atas bantuannya :)
    begini om, rekan saya kan buat virtual server linux utk OpenVPN1 di segment DMZ dgn ip lokal mesinnya 172.20.200.18 yg di NAT 1:1 ke IP publik A via GW ISP A (WAN1)
    lalu satu mesin virtual lagi utk OpenVPN2 di segment DMZ dgn ip lokal mesinnya 172.20.200.19 yg di NAT 1:1 ke IP publik B via GW ISP B (WAN2)
    GW defaultnya di menu Routing - System - Gateways pake ISP A (WAN1)
    nah biasanya kan kalo di buat di NAT 1:1 harusnya sudah langsung bisa nyebrang kan dari :

    IP WAN1-> ip lokal server OpenVPN1 -> IP WAN1
    IP WAN2-> ip lokal server OpenVPN2 -> IP WAN2

    Jadi ada 2 server openvpn di dalam jaringan DMZ, yg akan di akses client dari WAN via pfsense.
    Yang satu lewat ISP A dan dan yg lain lewat ISP B

    Dimana nanti Client OpenVPN tetap dapat ip private saat terkonek dgn server linux didalam DMZ tadi dan saat test buka https://pfsense.org/ip.php maka ip publik yg di define di NAT 1:1 akan muncul.
    Nah ini ga bisa nyebrang alias ke blocked om, tapi ketika saya nambah rules dari WAN ke DMZ dan dari DMZ ke WAN baru mau konek. Tapi setelah konek dari cuma bisa masuk jaringan LAN tapi ga bisa query ke DNS nya utk browsing.Padahal sblmnya bisa, dan rule server OpenVPN1 ga disentuh2 sama sekali.

    Gitu ceritanya om, makasih banyak atas waktu, ilmu dan kesabarannya :)



  • ya … kendala jelas di Firewall nya ..

    NAT 1:1 ...

    Karena setelah di test ternyata jalan, Topografi diatas...

    Coba gak usah pakai virtual IPs


Log in to reply