IP´S Validos - POOL
-
Prezados, bom-dia. Trabalho em uma universidade e eles estavam usando o fortigate até que o mesmo deu pane. Para resolver o problema de internet, roteamento e firewall eu instalei o Pfsense, fazendo o papel do Fortigate. Acontece que tudo esta mil maravilhas, porém, sempre tem um porém, tenho um pool de ips validos num total de 1024 ips, e pelo fortigate, todas as maquinas da rede quando saiam para a internet, saiam com um destes IP`s validos. Com a implementação do PFsense, todas as maquinas estão saindo com o mesmo IP, de entrada da minha Wan. Como faço para implementar este pool de IP´s para que todas as minhas maquinas saiam novamente com um IP valido, mas sem ter que mudar o endereço da minha rede interna que é 172.16.12.0 ate 172.16.12.255 sendo que o Pfsense esta com ip 172.16.12.254 na minha rede interna….Pelo amor de DEUS me ajudem.
-
Configura primeiro um proxy arp para essa faixa de ip, depois cria um outbound nat aplicando essa faixa
Nunca usei dessa forma, mas olhando a gui rapidamente, parece ser o caminho…
-
Marcelo fiz o que você sugeriu e continua saindo por 200.19.157.186 que e o ip fixo da minha wan, não fez translate para a faixa 200.131.xx.0/16 que eu quero que as maquina da rede saiam para a internet.
voce pode ver pelo meu ip no forum….deveria estar pegando 200.131.xx.xx
-
Confere a ordem do outbound nat e o tipo. Acredito que so vai funcionar no modo manual.
-
Conferido, eu coloquei no manual. A partir dai, perco a conexão com a internet. Conforme figura anexa, perco a conexao com a internet, então voltei para o modo automatico e a conexao voltou.
-
Essa faixa de ip/mascara que cadastrou nao esta correta se sao 1000 ips, é um /22 no lugar de /16
-
Sim,mas nas outras unidades tem fortigates que pegam as outras faixas, 200.131.73 / 74 /75 ====> mais a 200.131.72.0/16 para só pegar 255 hosts, que são os que preciso aqui nesta unidade com o pfsense. somadas 1024 ips. publicos
-
Aqui esta a configuração outbound com o /22. Não funcionou, a internet agarrou …. não chega a ficar toda inoperante, fica muiiitooo lenta e o ip pelo MEUIP.com.br permanece o 200.19.157.186 que e o fixo da minha WAN.... Eu estou querendo provar para eles que o fortigate perde para o PFSENSE e não gastar 18.000,00 reais na compra de um novo... mas tenho que configurar estes IPS publicos para deixar funcionando 100%...
-
Procura mais opções, faz uns tcpdumps, abre um tópico no fórum internacional, tenho certeza que consegue sair do outro lado.
-
A associação IP LAN x IP WAN no fortigate era aleatória?
-
Não, cada maquina saia com um ip publico, e sempre o mesmo…. mas o pessoal do fortigate também apanhou um pouco para fazer.... mas poderia ser randomico pelo pfsense, sem problemas....
-
Vc chegou a ver as regras do fortgate como eram?
Acho que se fizer esse esquema do Nat Outbound endereço por endereço pode dar certo.
-
Amigo, simulei aqui com base da documentação, e funcionou como você quer.
Cria um Proxy ARP com a Network de IPs válidos, coloca o Nat Outbound em Manual, cria uma entrada na Wan, com source na Lan Network e Translate em Other Subnet (Network definida na VIP Arp). Em pool Options vc define como vai ser a escolha do IP de saída.
-
Ok vou fazer amanhã como vc escreveu. Depois posto o resultado.
-
Caro colega Santello, fiz como você sugeriu e não deu certo. Perco a Internet, fico sem navegação.
-
Caro colega SanTTelo, a associação no fortigate é feita desta forma conforme figura anexa.
-
mais um teste
-
o ip mostrado no rodape do meu post esta na faixa 200.131.72.0/22.
-
Uma solução mas fácil seria VIP + NAT 1:1. O Resultado é o mesmo, mas o trabalho pra criação inicial é maior.
Manda uma print da tela de edição do Nat oubound que vc está criando.
-
O que não estou entendendo e que quando pesquiso o meu ip no site MeuIp ele aparece com o ip 200.19.157.186 e aqui
-
SanTTelo seguem as regras do outbound conforme pediu. Agora estão desabilitadas pois estou em produção e a faculdade esta trabalhando, eu aplico e a internet deles cai e o meu telefone não para de tocar, mas e assim mesmo…. e eu tenho que conseguir sair com ip valido pois pretendo trocar os fortigates pelo Pfsense. Conto com a ajuda de todos vocês, e se conhecerem alguém expert aqui em Belo Horizonte e que poderia me ajudar, eu agradeço. VAMOS A LUTA!
-
a imagem dentro da edição da primeira regra..
-
segue a ediçao da 1ª regra
-
Aparentemente tudo ok.
Testou a opção do translate como Round Robin?
-
Não pois apenas muda a forma como o translate é feito em relação ao mapa dos ips da rede interna…a que eu estou usando diz que será sempre o mesmo ip público para aquele endereço de rede interna...
