Existem várias possibilidades, dependendo de como o ISP configurou sua conexão.
-
Você atribui o endereço público ao roteador, DNAT (encaminha a porta) todas as portas relevantes para o endereço da LAN normal do servidor e, da mesma forma, SNAT todas as conexões de saída. (No pfSense, "1: 1 NAT" abrange os dois ao mesmo tempo.) Isso funciona independentemente do que o ISP espera, mas é claro que você ainda está por trás do NAT. Proxy-ARP não é usado, porque nenhum "proxy" está acontecendo: o roteador já gera respostas legítimas do ARP nessa configuração.
-
Você atribui o endereço público diretamente ao seu servidor e, em seguida, adiciona uma rota de link em seu roteador (com o endereço como destino, LAN como interface e nenhum gateway). NAT não é necessário. Observação: tenho medo de que o pfSense não suporte a adição de rotas de link via webUI, ou pelo menos torne isso dolorosamente não óbvio.
-
Se o ISP espera que este endereço seja "on-link", isto é, atribuído diretamente ao roteador, você também deve habilitar o proxy-ARP no roteador (tornando o ISP pense que ainda está no link.
-
Se o ISP rotear o endereço por meio de outro de seus endereços, o proxy ARP não será necessário.
-
Se a conexão WAN for "ponto a ponto" (como PPPoE), o proxy ARP também não é necessário, porque não há nenhum ARP nesse tipo de conexão.
-
Em todos os casos, "encaminhamento de DNS" é a ferramenta completamente errada. (No pfSense, "DNS forwarder" é basicamente uma variante mais antiga da função "DNS resolver" - o último usa Unbound, e o primeiro usa dnsmasq.)
Como você descobre o que o ISP espera (supondo que a conexão WAN é como Ethernet, e não ponto a ponto)?
-
Primeiro, o roteador precisa ter uma função de "captura de pacotes" (ou "sniffer de pacotes") - como
tcpdump
. Você também precisará de uma maneira de fazer ping ou entrar em contato com o endereço de um sistema externo (vários sites públicos de "aparência" devem funcionar). Além disso, certifique-se de que o roteador não tenha o endereço atribuído e que não tenha ARP proxy ativo. -
Enquanto o sistema externo está enviando pacotes para o endereço, verifique o que seu roteador vê. Se houver solicitações de ARP provenientes do ISP para esse endereço, espera-se que ele esteja "no link" (e é de onde vem o requisito do proxy-ARP). Se não houver nenhum, e os pacotes reais simplesmente chegarem com o MAC do seu roteador no cabeçalho, o endereço IP será roteado separadamente.
-
Novamente, isso não se aplica ao PPP / PPPoE: esse tipo de conexão não usa ARP (e, portanto, não precisa de proxy ARP); os pacotes simplesmente chegarão pelo túnel de qualquer maneira.