NAT entre dos firewall



  • Buenas a todos, tengo el escenario que adjunto en esquema.png y tenga la siguiente duda,
    Tenga una red con 192.168.16.x donde su GW es 192.168.16.200 (Firewall GateProtect), a la vez este usa como WAN 192.168.99.200 con su GW 192.168.99.254 (pfsense) y este tiene su WAN 172.16.10.254 donde llegan todos los puertos del router 172.16.10.1 ( en el esquema se vera mas claro :( ….)
    Yo desde fuera haciendo port forwarding en pfsense puede acceder a los servicios de 192.168.99.254, pero no si redirijo los puertos a la 192.168.99.200, como podria o como se hace para hacer que todos los puertos que se redirijan a las 192.168.99.254 automaticamente se vayan a la 192.168.99.200??
    Adjunto también el Port Forwarding y tambien unos pantallazos de los pings que desde la WAN no logro ver 192.168.99.200  pero si la 192.168.99.254, yo creo que es como si los paquetes no supieran volver desde la 99.200 pero si hago los pings desde la interface VLAN_112(192.168.99.254) si funcionan bien,
    por favor a ver si alguien me puede ayudar porque llevo dias con esto y no logro cerrar el proyecto....y la cosa se alaaaarga....... :(
    Muchas gracias!!!






  • De dentro hacia afuera parece todo claro: LAN - WAN | LAN - WAN | LAN - WAN

    El camino inverso implica hacer NAT Port Forward en cada uno de los equipos. De afuera hacia adentro. No tiene más complicación.

    Estarás haciendo un triple NAT pero eso no debería ser problema.

    http://www.practicallynetworked.com/networking/fixing_double_nat.htm

    Hay formas de evitar los NAT encadenados.

    En el caso de pfSense tendrías que autorizar en WAN el tráfico procedente de redes privadas (desmarcando la casilla Block Private Networks de la interfase WAN) y poner la regla en WAN que autorice el tráfico procedente del enrutador BT. Otra posibilidad sería meter al equipo BT en modo puente o al propio pfSense.



  • Gracias Josep, como siempre!
    Pero con los cambios realizados los pings siguen sin funcionar desde la if WAN2
    adjunto pantallazos…. no se si estará bien la regla.......que puedo probar?? si no optare en poner modo bridge con router BT.
    gracias de verdad!!!




  • ¡Buf! No tengo manera de tener un escenario como este.

    Diría que NO vamos bien con…

    Tendrías que autorizar en WAN el tráfico procedente de redes privadas (desmarcando la casilla Block Private Networks de la interfase WAN) y poner la regla en WAN que autorice el tráfico procedente del enrutador BT.

    Para asegurar si eso funciona deberías probar a dejar pasar todo de WAN a LAN y de LAN a WAN, a ver qué.

    No estamos haciendo NAT entrante (Port Forward) y me pregunto qué pasa con el tráfico de vuelta, cómo le afecta el NAT Saliente (NAT Outbound).



  • hola Bellera,
    hice las pruebas de todo permitido de la lan (que en este caso es una vlan) y de la wan (que en este caso es la wan2) y nada , lo mismo.
    Pero no entiendo que tengo que hacer con:

    Diría que NO vamos bien con…

    Tendrías que autorizar en WAN el tráfico procedente de redes privadas (desmarcando la casilla Block Private Networks de la interfase WAN) y poner la regla en WAN que autorice el tráfico procedente del enrutador BT.

    …gracias!
    :(



  • En https://forum.pfsense.org/index.php?topic=62815.0 hay un caso parecido, en el que necesitan que desde equipos en WAN se pueda llegar a equipos en LAN.

    De todas maneras, por lo que explicas…

    El camino inverso implica hacer NAT Port Forward en cada uno de los equipos. De afuera hacia adentro.



  • Gracias por responder Bellera,
    al final se ha decidido quitar el fw GateProtect del medio, asi que ahora una complicación menos….
    Pero tengo la siguiente duda, he hablado con BT y ahora el NAT lo hago yo, a traves de Virtual IP y NAT OUTBOUND he conseguido asignar IPs publica de salida para la red que yo decida,
    Pero, tengo como 50 VLAN y al poner en manual el NAT OUTBOUND he tenido que hacerlo uno por uno, hay alguna opcion de poner todas las VLAN (menos las que yo decida) por una regla de NAT OUTBOUND para todos???
    Las que se genera automaticamente:
    WAN2 192.168.0.0/24 * * 500 WAN2 address * YES Auto created rule for ISAKMP - LAN1 to WAN2
    se pueden borrar? que funcion tienen?



  • Bueno, jugando con máscaras y/o negando seguramente puedes acortar la sintaxis.

    La regla automática es para el paso de IPSEC.


Log in to reply