“Atribuindo” IP público para máquina na LAN

0

Então eu comecei recentemente a brincar com o Windows Server, trabalhando muito bem até agora, então eu basicamente bati um muro de tijolos quando tentei configurar uma VPN.

Em termos mais simples, tenho 4 endereços IP públicos que comprei do meu provedor e gostaria de atribuir um desses endereços totalmente à máquina do Windows Server.

Eu tentei o DNS Forwarding, criei um Proxy ARP e criei uma regra NAT 1: 1 para o meu firewall, e tentei apenas o encaminhamento direto de portas, mas parece que não funciona. Não tenho certeza do que estou fazendo de errado.

Meu roteador está executando o pfSense.

Qualquer pista seria útil, obrigado!

    
por CristianHG 01.05.2018 / 18:51

2 respostas

1

Existem várias possibilidades, dependendo de como o ISP configurou sua conexão.

  1. Você atribui o endereço público ao roteador, DNAT (encaminha a porta) todas as portas relevantes para o endereço da LAN normal do servidor e, da mesma forma, SNAT todas as conexões de saída. (No pfSense, "1: 1 NAT" abrange os dois ao mesmo tempo.) Isso funciona independentemente do que o ISP espera, mas é claro que você ainda está por trás do NAT. Proxy-ARP não é usado, porque nenhum "proxy" está acontecendo: o roteador já gera respostas legítimas do ARP nessa configuração.

  2. Você atribui o endereço público diretamente ao seu servidor e, em seguida, adiciona uma rota de link em seu roteador (com o endereço como destino, LAN como interface e nenhum gateway). NAT não é necessário. Observação: tenho medo de que o pfSense não suporte a adição de rotas de link via webUI, ou pelo menos torne isso dolorosamente não óbvio.

    • Se o ISP espera que este endereço seja "on-link", isto é, atribuído diretamente ao roteador, você também deve habilitar o proxy-ARP no roteador (tornando o ISP pense que ainda está no link.

    • Se o ISP rotear o endereço por meio de outro de seus endereços, o proxy ARP não será necessário.

    • Se a conexão WAN for "ponto a ponto" (como PPPoE), o proxy ARP também não é necessário, porque não há nenhum ARP nesse tipo de conexão.

Em todos os casos, "encaminhamento de DNS" é a ferramenta completamente errada. (No pfSense, "DNS forwarder" é basicamente uma variante mais antiga da função "DNS resolver" - o último usa Unbound, e o primeiro usa dnsmasq.)

Como você descobre o que o ISP espera (supondo que a conexão WAN é como Ethernet, e não ponto a ponto)?

  • Primeiro, o roteador precisa ter uma função de "captura de pacotes" (ou "sniffer de pacotes") - como tcpdump . Você também precisará de uma maneira de fazer ping ou entrar em contato com o endereço de um sistema externo (vários sites públicos de "aparência" devem funcionar). Além disso, certifique-se de que o roteador não tenha o endereço atribuído e que não tenha ARP proxy ativo.

  • Enquanto o sistema externo está enviando pacotes para o endereço, verifique o que seu roteador vê. Se houver solicitações de ARP provenientes do ISP para esse endereço, espera-se que ele esteja "no link" (e é de onde vem o requisito do proxy-ARP). Se não houver nenhum, e os pacotes reais simplesmente chegarem com o MAC do seu roteador no cabeçalho, o endereço IP será roteado separadamente.

  • Novamente, isso não se aplica ao PPP / PPPoE: esse tipo de conexão não usa ARP (e, portanto, não precisa de proxy ARP); os pacotes simplesmente chegarão pelo túnel de qualquer maneira.

por 01.05.2018 / 20:14
0

Primeiro, você recebeu 4 IPs utilizáveis?

Como em 4 IPs, mais um IP para transmissão e um IP para ID de rede. Então 6 no total?

Ou você recebeu 4 IPs, como 4.3.2.0, 4.3.2.1, 4.3.2.2, 4.3.2.3

Eu estou supondo que este último, no último caso:

  • 4.3.2.0 é o seu ID de rede e não é realmente utilizável.
  • 4.3.2.1 normalmente seria o IP do seu gateway (por exemplo, o IP interno do seu modem)
  • 4.3.2.2 seria o único IP que você tem para uso gratuito (por exemplo, atribua isso ao seu computador).
  • 4.3.2.3 seria o endereço de transmissão.

Se eu estiver errado, mencione a configuração em sua postagem. Não inclua os IPs littais, sinta-se à vontade para escrever o seu IPS que você obteve como aaa.bbb.132.32-5 / 252.

Se você pretende usar NAT e endereçamento IP normal, mencione também isso.






Agora, se eu pudesse usar marcação apenas nos comentários, isso seria postado como um comentário, em vez de adivinhar qual seria a configuração.

    
por 01.05.2018 / 19:55