Juniper = D-Link = pfSense - como fazer WAN para pfSense

Question

Juniper = D-Link = pfSense - como fazer WAN para pfSense

#1 resposta do (0 votos)

1

Ssory para, talvez, pergunta estúpida (e inglês ruim), eu sou novato em administração de sistemas, mas é tarefa.

Temos este esquema de rede - visão simples:

ISP Gateway

   ||

Juniper SRX240H(our gateway)

   ||

D-Link DGS1210-48

   ||

pfSense

Temos dois endereços IP: 62.213.xxx.86/30 com o gateway ISP 62.213.xxx.85 217.22.xxx.162/30 com o gateway ISP 217.22.xxx.161

Na interface do Juniper, ge0/0/0.0 , temos ip 217.22.xxx.162/30 . Todos os portões do provedor disponíveis a partir do zimbro, também todos os clientes da LAN podem acessar a Internet através do nosso portão ISP.

Mas como posso dar o segundo endereço IP da WAN para pfSense com acesso à internet? Se eu criar uma interface WAN com o ip 62.213.xxx.86/30 e o gateway padrão 62.213.xxx.85 , o pfSense me fornecerá informações sobre "o gate está off-line". A LAN funciona perfeitamente, mas a WAN não quer. Eu não consigo pingar o gate 62.213.xxx.85 do pfSense. Eu posso pingar o Juniper-gate pela LAN, mas não posso fazer ping pelo Juniper-gate pela WAN.

Eu acho que preciso configurar a rota, mas onde e como? Em um zimbro ou em um pfSense? Ou, talvez, eu preciso configurar em uma porta na D-Link?

Estou confuso com isso já, você poderia me ajudar? Ou dê uma dica, onde eu devo procurar.

juniper pfsense wide-area-network

por Yan 06.06.2018 / 13:13

1 resposta

Tags juniper pfsense wide-area-network

VPN IPsec do Google Cloud: Incompatibilidade de proposta no IKE SA (fase 1) Determine qual versão do TLS é usada por padrão (cURL)

score 0 · Answer 1

você deve configurar o NAT de destino

Este exemplo tem os seguintes requisitos: 1. O tráfego para o destino 62.213.xxx.86 é traduzido para 192.168.1.100 O endereço IP real e os números de porta dos hosts são configurados como o pool de IP de destino. Proxy ARP deve ser configurado para o dispositivo responder ao ARP para os endereços no pool de IP.

Políticas de segurança para permitir o tráfego de zona não confiável para zona de confiança devem ser criadas. Como os conjuntos de regras NAT de destino são avaliado antes de uma política de segurança, os endereços referidos na política de segurança devem ser o endereço IP real do fim host.

[edit security]
set zones security-zone trust address-book address server-1 192.168.1.100/32
[edit security policies from-zone untrust to-zone trust]
set policy server-access match source-address any destination-address [server-1 server-2]
application any
set policy server-access then permit
[edit security nat destination]
set pool dst-nat-pool-pfsense address 192.168.1.100
set rule-set rs1 from zone untrust
set rule-set rs1 rule r1 match destination-address 62.213.xxx.86
set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
set rule-set rs1 rule r2 match destination-address 1.1.1.101
set rule-set rs1 rule r2 match destination-port 80
set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 
[edit security nat]
set proxy-arp interface ge-0/0/2.0 address 62.213.xxx.86

veja também: link