IP´S Validos - POOL



  • Prezados, bom-dia. Trabalho em uma universidade e eles estavam usando o fortigate até que o mesmo deu pane. Para resolver o problema de internet, roteamento e firewall eu instalei o Pfsense, fazendo o papel do Fortigate. Acontece que tudo esta mil maravilhas, porém, sempre tem um  porém,  tenho um pool de ips validos num total de 1024 ips, e pelo fortigate, todas as maquinas da rede quando saiam para a internet, saiam com um  destes IP`s validos. Com a implementação do PFsense, todas as maquinas estão saindo com o mesmo IP,  de entrada da minha Wan. Como faço para implementar este pool de IP´s para que todas as minhas maquinas saiam novamente com um IP valido, mas sem ter que mudar o endereço da minha rede interna que é 172.16.12.0 ate 172.16.12.255 sendo que o Pfsense esta com ip 172.16.12.254 na minha rede interna….Pelo amor de DEUS me ajudem.



  • Configura primeiro um proxy arp para essa faixa de ip, depois cria um outbound nat aplicando essa faixa

    Nunca usei dessa forma, mas olhando a gui rapidamente, parece ser o caminho…






  • Marcelo fiz o que você sugeriu e continua saindo por 200.19.157.186 que e o ip fixo da minha wan, não fez translate para a faixa 200.131.xx.0/16 que eu quero que as maquina da rede saiam para a internet.
    voce pode ver pelo meu ip no forum….deveria estar pegando 200.131.xx.xx



  • Confere a ordem do outbound nat e o tipo. Acredito que so vai funcionar no modo manual.



  • Conferido, eu coloquei no manual. A partir dai, perco a conexão com a internet. Conforme figura anexa, perco a conexao com a internet, então voltei para o modo automatico e a conexao voltou.




  • Essa faixa de ip/mascara que cadastrou nao esta correta se sao 1000 ips, é um /22 no lugar de /16



  • Sim,mas nas outras unidades tem  fortigates que pegam as outras faixas, 200.131.73 / 74 /75  ====> mais a 200.131.72.0/16 para só pegar 255 hosts, que são os que preciso aqui nesta unidade com o pfsense. somadas 1024 ips. publicos



  • Aqui esta a configuração outbound com o  /22.  Não funcionou, a internet agarrou …. não chega a ficar toda inoperante, fica muiiitooo lenta  e o ip pelo  MEUIP.com.br permanece o 200.19.157.186 que e o fixo da minha WAN.... Eu estou querendo provar para eles que o fortigate perde para o PFSENSE e não gastar 18.000,00 reais na compra de um novo... mas tenho que configurar estes IPS publicos para deixar funcionando 100%...








  • Procura mais opções, faz uns tcpdumps, abre um tópico no fórum internacional, tenho certeza que consegue sair do outro lado.



  • A associação IP LAN x IP WAN no fortigate era aleatória?



  • Não, cada maquina saia com um ip publico, e sempre o mesmo…. mas o pessoal do fortigate também apanhou um pouco para fazer.... mas poderia ser randomico pelo pfsense, sem problemas....



  • Vc chegou a ver as regras do fortgate como eram?

    Acho que se fizer esse esquema do Nat Outbound endereço por endereço pode dar certo.



  • Amigo, simulei aqui com base da documentação, e funcionou como você quer.
    Cria um Proxy ARP com a Network de IPs válidos, coloca o Nat Outbound em Manual, cria uma entrada na Wan, com source na Lan Network e Translate em Other Subnet (Network definida na VIP Arp). Em pool Options vc define como vai ser a escolha do IP de saída.



  • Ok vou fazer amanhã como vc escreveu. Depois posto o resultado.



  • Caro colega Santello, fiz como você sugeriu e não deu certo. Perco a Internet, fico sem navegação.



  • Caro colega SanTTelo, a associação no fortigate é feita desta forma conforme figura anexa.

    ![fortigate ip poll setting.jpg](/public/imported_attachments/1/fortigate ip poll setting.jpg)
    ![fortigate ip poll setting.jpg_thumb](/public/imported_attachments/1/fortigate ip poll setting.jpg_thumb)



  • mais um teste



  • o ip mostrado no rodape do meu post esta na faixa 200.131.72.0/22.



  • Uma solução mas fácil seria VIP + NAT 1:1. O Resultado é o mesmo, mas o trabalho pra criação inicial é maior.

    Manda uma print da tela de edição do Nat oubound que vc está criando.



  • O que não estou entendendo e que quando pesquiso o meu ip no site MeuIp  ele aparece com o ip 200.19.157.186 e aqui



  • SanTTelo seguem as regras do outbound conforme pediu. Agora estão desabilitadas pois estou em produção e a faculdade esta trabalhando, eu aplico e a internet deles cai e o meu telefone não para de tocar, mas e assim mesmo…. e eu tenho que conseguir sair com ip valido pois pretendo trocar os fortigates pelo Pfsense. Conto com a ajuda de todos vocês, e se conhecerem alguém expert aqui em Belo Horizonte e que poderia me ajudar, eu agradeço. VAMOS A LUTA!

    ![OUTBOUND REGRAS.jpg](/public/imported_attachments/1/OUTBOUND REGRAS.jpg)
    ![OUTBOUND REGRAS.jpg_thumb](/public/imported_attachments/1/OUTBOUND REGRAS.jpg_thumb)



  • a imagem dentro da edição da primeira regra..



  • segue a ediçao da 1ª regra

    ![edicao da regra.jpg](/public/imported_attachments/1/edicao da regra.jpg)
    ![edicao da regra.jpg_thumb](/public/imported_attachments/1/edicao da regra.jpg_thumb)



  • Aparentemente tudo ok.

    Testou a opção do translate como Round Robin?



  • Não pois apenas muda a forma como o translate é feito  em relação ao mapa dos ips da rede interna…a que eu estou usando diz que será sempre o mesmo ip público para aquele endereço de rede interna...