Nota: talvez o "Fundo" e o "Plano" não sejam realmente necessários; sinta-se livre para pular para o "Problema" imediatamente ...
Recentemente, migramos vários servidores de uma sub-rede para outra. Eles costumavam ter os endereços IP 192.168.0.0/24; agora eles têm 10.1.2.0/24.
Para evitar realmente alterar os endereços nos servidores e tornar a troca o mais simples possível, não alteramos nada deles; eles ainda estão configurados para usar 192.168.0.xe não sabem nada sobre 10.1.2.x.
Em vez disso, o roteador (pfSense 2.3.2) na frente deles faz NAT de 1: 1, mapeando entre as duas sub-redes.
Não há VLAN ou outra rede especial acontecendo aqui; apenas as duas portas ethernet físicas regulares de algumas máquinas, uma para LAN, uma para WAN (o lado da WAN é um uplink ethernet simples, sem dial-up / DSL ou algo parecido).
Tudo funciona muito bem e tudo está bem. Eu posso alcançar os servidores do lado de fora usando seus endereços 10.1.2.x (NATted pelo roteador); e posso alcançar o exterior dos servidores - e eles aparecem com seus endereços 10.1.2.x como seria de esperar.
Neste momento, o roteador tem o IP 192.168.0.1 na interface LAN, e esse IP é configurado como gateway padrão para os servidores (a configuração usual e trivial).
Agora queremos nos livrar dos endereços 192.168.0.x antigos e da tradução NAT. Para evitar ter uma única instância no tempo em que temos que fazer a troca, eu gostaria de fazer com que eu possa mover um servidor após o outro.
No meu entender, isso poderia ser feito dando à interface física do roteador o endereço IP adicional 10.1.2.1 (em uma máquina Linux, eu simplesmente adicionaria um alias de IP), adicionando os novos endereços IP nos servidores como Aliases de IP (não importa se todos ao mesmo tempo ou individualmente), alterne os servidores para usar 10.1.2.1 como gateway padrão em vez de 192.168.0.1, desative o NAT de 1: 1 para o IP desse servidor e conclua a ação. O servidor então usaria seu IP 10.1.2.x como IP "principal", e ainda ouviria o IP antigo, caso alguém dentro da LAN ainda o usasse. Podemos então eliminar gradualmente os IPs antigos ao longo do tempo.
Como configuramos o pfSense para ter um alias de IP em sua interface de LAN? É mesmo possível? Eu não consigo encontrar nenhuma menção sobre aliases IP (IPs secundários nas interfaces físicas).
Existe outra maneira de alcançar o que queremos usando o pfSense?
Sim, é possível, mas sua configuração está em um local que não é intuitivo. Veja como:
Tags pfsense ip-aliasing