Dudas con posible NAT doble



  • Hola a todos,

    Acabo de entrar en esta comunidad de usuarios de pfsense ya que desde hace unos días está cumpliendo como un campeón en mi nuevo router con un cliente de OpenVPN.
    Pese a todo, soy un completo novato en el tema de redes y tengo una duda muy básica respecto a mi configuración:

    ISP –-> ROUTER_I (Firmware comercial) ---> ROUTER_II (pfsense) ---> SWITCH (LAN)

    ISP: ADSL (no es fibra óptica) y asigna IP dinámica
    ROUTER_I: Un TP-LINK todo-en-uno (modem, switch, AP) (192.168.1.1)
    ROUTER_II: ALIX con pfsense 2.1.5 (WAN:192.168.1.10 estática, LAN: 192.168.2.1 y DHCP para los clientes conectados al switch)

    Ambos con netmask: 255.255.255.0

    Ya sé que lo que pide el cuerpo es poner a ROUTER_I en modo puente y que ROUTER_II trate con la ISP por medio de PPPoE, pero no puedo. Esta es una red doméstica y no puedo ni imaginar al resto de mi familia desesperándose porque les tenga dos días sin internet mientras trasteo. Además, siempre viene bien tener un plan B de conexión por si ROUTER_II pasa a mejor vida.

    Mi duda de novato es que sospecho que estoy haciendo un doble NAT de libro cuando quiero abrir puertos en ROUTER_II. ¿Qué soluciones hay?
    1. Abrir los puertos que me interesan en ROUTER_I y ROUTER_II
    2. Configurar un DMZ en ROUTER_I y enganchar allí a ROUTER_II a través de 192.168.1.10
    3. NAT 1:1 (¿?) tendría que mirar cómo se configura y no sé si va a ser un lío tremendo después para configurar el cliente de OpenVNP

    ¿Cuál os parece la solución más sencilla y cuál la más profesional? Como es evidente, también acepto sugerencias.

    Muchas gracias y un saludo.



  • Saludos mi estimado, en primer lugar no entiendo porque indica que la unica forma que usara el routerI en modo puente es colocar pfsense en PPPOE es el unico modo de conexion con su isp???

    Si va a publicar servicio en internet en este escenario si estaria en presencia de doble nat algo no recomendado.

    Espero atento a su respuesta para prestarle ayuda en su caso



  • Estimado amnari, muchas gracias por responder.

    Es probable que no sea la única manera, pero como mis conocimientos de redes son más bien escasos y a nivel doméstico, esto es lo único que tengo en mente.

    Para extender más la descripción de mis necesidades respecto a los servicios que debe prestar ROUTER_II:

    1. Tráfico por openVPN. La conexión la tengo ya establecida desde ROUTER_II con un proveedor de servicios VPN (IPVanish) aunque sólo he sido capaz de configurarlo para toda la subred, no sólo para unos pocos clientes. Llevo con este proveedor ya hace un tiempo y me resulta útil ya que viajo mucho y no me apetece conectarme a sitios sensibles desde aeropuertos u hoteles de manera directa. A uno de mis colegas ya le han dado un susto (o eso dice) y no me apetece pasar lo mismo. Y ya que tengo este servicio, pues me parece útil configurarlo en el ROUTER_II de casa y no andar con el cliente instalado en cada ordenador de casa. Aquí es todo muy espinoso porque supongo que para hacer port-forwarding debe ser el proveedor el que te deje abrir el puerto en cuestión, y este proveedor no deja. El ejemplo típico es ponerte a bajar torrents como un loco y descubrir que tienes el famoso puerto cerrado, pero hay otras aplicaciones más legítimas que usan por ejemplo UPnP.

    2. Servidor FTP (o si ya tiro la casa por la ventana, Owncloud) tras ROUTER_II sin pasar por la VPN para compartir ficheros sencillitos (fotos y demás) con el resto de la familia lejana. Aquí supongo que tendría que tirar de algo como dynDNS y tener mucha idea de cortafuegos y seguridad para que nadie se meta hasta la despensa.

    Supongo que al menos en el caso 2 el doble-NAT está presente. De allí mis dudas a la hora de hacer port-forwarding en los dos escenarios que he descrito.

    Lamento si no puedo ser más claro con la descripción pero pfSense está siendo para mí un curso acelerado de redes  ;)

    Por cierto, si a alguien le interesa configurar pfsense con este proveedor de VPN, que mire esta guía. Con una serie de modificaciones ajustadas a las necesidades de cada uno al menos el túnel funciona: https://forum.pfsense.org/index.php/topic,66467.0.html

    Muchas gracias de nuevo


Log in to reply